lambda 5.02 / 18 mai 1999

ShortCuts

Le gouvernement indonésien innoverait-il dans la répression électronique? Le prestataire irlandais Connect Internet a du fermer temporairement au début de l'année, bombardé de courrier en nombre, vraisemblablement parce qu'il hébergeait un site contre la répression dans l'île de East Timor. La machine attaquée accueillait le sous domaine www.freedom.tp, inaugurant le code national "tp" d'une île toujours occupée. Cette déclaration d'indépendance par DNS interposé a fait grincer des dents le régime post-Suharto de Djakarta. o Source: Repressive regimes may be targeting Net service providers. 02/09/99. By Dan Gillmor / San Jose Mercury News. o Lambda 4.03

Le parlement européen a activé le Projet Enfopol vendredi 7 mai, lors d'amendements qui établissent l'harmonisation des procédures d'écoutes (mobile et données IP). Projet dont les premières discussions ont eu lieu au sein du 3eme pillier de l'UE (justice, terrorisme, sécurité) au début des années 90. o L'article du mag Telepolis o Le Monde Diplo, avril 1999. o ZDNet, édition du 15 mai 1999. o Lambda 3.02 (avril 1997)

Archives - Search

Sommaire 5.02

HISTOIRE: Crypto AG / NSA, le serrurier suisse était-il indic de la NSA? Un des nombreux mystère de l'OTAN...

TECHNO: Failles de sécurité et vol à la tire des traces personnelles numériques: tatouages invisibles à l'index.

Plus : Proxyflic + Crypto Updates.

---

Crypto A.G.

le serrurier suisse était-il indic de la NSA?

Plus rien peut-être ne vous surprendra venant des copains de la NSA. A part l'interdiction formelle des Furby's dans toutes les bases de l'agence pour éviter les fuites top-secretes (véridique), même la mise à nue du réseau d'écoute électronique Echelon n'est plus sujet à débat. Dans l'histoire qui suit on se rapproche plus de l'affaire Promis, ce logiciel piégé par le Justice Department US dans les années 80 à des fins d'espionnage économique.

C'est l'histoire de CryptoAG, société suisse, une institution dans l'industrie des codes secrets diplomatiques. Elle a des clients dans 120 pays et sa neutralité lui permet de chasser aussi bien sur les terres occidentales qu'au Moyen Orient: comme beaucoup dans la région, pour chiffrer ses communications les services de renseignements iraniens (VEVAK) utilisaient aussi les outils de chiffrement de la société suisse. En 1992 ils arrêtent le représentant à Téhéran de CryptoAG et l'accusent d'espionnage. Leurs doutes sont confirmés : le VEVAK vient de découvrir une "back-door" dans l'installation des chiffreurs suisses.

C'est ainsi que Wayne Madsen, dans la revue Covert Action Quaterly, nous embarque dans une folle histoire d'espionnage électronique ("CryptoAG: NSA's Trojan Whore" - "La pute de Troie de la NSA" sans le jeu de mots).

&laqno; Pendant des décennies, les USA ont régulièrement déchiffrés des messages protégés top secrets dans plus de 120 pays. Ces pays s'étaient payé la technologie de chiffrement la plus sophistiquée et réputée comme la plus sûre du monde, venant de CryptoAG. ... Les pays clients, persudadés que leurs appels étaient protégés, échangaient des messages avec leurs ambassade, leurs missons militaires, les milieux d'affaire ... via telex, radio, teletype ou facsimile. ... Les machines CryptoAG avaient été configurées pour qu'à chaque utilisation, la clé de chiffrement aléatoire soit transmise clandestinement à Washington avec le message chiffré d'origine. Les analystes de la NSA auraient lu le trafic aussi lisiblement que le journal du matin.»

La NSA parvient donc à placer des chevaux de Troie dans les produits CryptoAG, avec l'aide cette fois du BND, le contre-espionnage allemand, et son pilier informatique, le BSI (avec Promis c'était avec la complicité d'Israël). La mission du "plombage" des produits CryptoAG consistait à surveiller les menaces terroristes en Afrique et au Moyen-Orient. Et c'est à la suite de l'un de ces coups d'éclats - l'assassinat en plein Paris, au mois d'août 1991, de l'ancien premier ministre du Shah Shahpour Bakhtiar - que les services iraniens ont trouvé l'aiguille.

&laqno; Le 7 août, un jour avant que Bakhtiar ne soit trouvé mort avec la gorge tranchée, le QG à Téhéran des services secrets iraniens (VEVAK) envoye un message codé à ses missions diplomatiques de Londres, Paris, Bonn et Genève, s'enquérant: "Bakhtiar est-il mort?". Les iraniens ont ensuite déduit de plusieurs articles de presse que les agents SIGINT britanniques et américains étaient parvenus à décoder ce message (comme l'a rapporté l'Express, de Paris) et savaient que l'Iran était derière l'assassinat. »

L'une des moulinettes à chiffrer de CryptoAG

La neutralité dont se drappait la firme suisse au nom de son pays serait même du toc. Comme l'écrit Madsen:

&laqno; Un document diffusé en 1995 par le Public Records Office britannique indique que la Suisse et l'OTAN ont conclu un arrangement secret en 1956. Le document "Top Secret", daté du 10 février, 1956, avec la référence "prem 11/1224", a été signé par le célèbre officier anglais de la WWII, le Field Marshal Bernard L. Montgomery. C'est en tant que vice-commandant de l'OTAN que "Monty" a évoqué l'alliance secrète avec le ministre suisse de la Défense Paul Chaudet. »

o The CAQ report (édition Q4/1998)
o La revue revient également, dans le même numéro, sur le bouquin Secret Power, qui a mis le feu aux poudres du réseau Echelon, écrit par le néo-zélandais Nicky Hager.

VIE PRIVÉE >>>>>>>>>>>>>>>

>>>>>> RELATIONS PUBLIQUES

Intel et Microsoft ont encore donné la preuve, si besoin était, qu'ils préféraient traiter les failles de sécurité lors des conférences de presse que de règler le problème une fois informé.

Cette formule est empruntée à Bruce Schneier, le cryptographe indépendant qui publie tous les mois son croustillant "Crypto-Gram", une lettre dédiée surtout aux failles de sécurité des logiciels. Schneier rappelle dans son édition 03/99 comment un certain David Foster, dès décembre 1997, avait repéré une faille dans Office 97. Le bog permettait à des pages web de faire tourner des exés sur l'OS de l'usager et à son insu.

&laqno; Problème évident pour ceux habitués à Word et à sa VBA (le langage macro de Word 97). Foster en parle de suite sur le site d'alerte d'Internet Explorer et de Word, mais pas de réponse de Microsoft. Fin 1998, il découvre que non seulement MS n'a pas débogué Word 97, mais que la faille subsiste aussi sur la béta de Word 2000. Il écrit à nouveau à Microsoft, et là il reçoit une réponse:

"Microsoft appreciates your input regarding this issue, however in lieu of modern technology being what it is, we all need to be personally responsible for knowing what we are downloading off the internet." »

Impossible de traduire le non-sens, cela va de soit.

MOUCHARDS

SNIPERS

A PROPOS des deux affaires de février - les tatouages de Pentium et d'Office - les deux géants du marché infotech ont tout bonnement piétiné les directives européennes sur le traitement internetique de données nominatives.

Les directives de 1995 et de 1997 ont incité un groupe de travail de la DG-15 de rappeler quelques fondamentaux dans deux notes du 23 février de "recommendations" : "Processing of Personal Data on the Internet", et "Invisible and Automatic Processing of Personal Data on the Internet Performed by Software and Hardware".

Le "traitement invisible et automatique" est donc le centre des préoccupations.

... Les "logiciels ou matériel conçus pour l'Internet devraient fournir aux internautes toute information sur les données qu'ils ont l'intention de récolter, de stocker ou de transmettre, ainsi que la finalité de telles opérations ". ... Chaque usager doit pouvoir "avoir la capacité d'accéder facilement à ces données" en vue de modification.

Autant de principes qui n'ont pas été respecté de la part des deux fabricants, au moins jusqu'à ce que la presse et les associations n'en révèlent les effets pervers.

Dans le détail en VE :

"A condition for legitimate processing of personal data is the requirement that the data subject is informed and thus made aware of the processing in question. Therefore, the Working Party is especially concerned about all kinds of processing operations which are presently being performed by software and hardware on the Internet without the knowledge of the person concerned and hence are "invisible" to him/her.

"Typical examples of such invisible processing are the "chattering" at the HTTP level, automatic hyperlinks to third parties, active content (like Java, ActiveX or others client based scripting technologies) and the cookies mechanism as currently implemented in the common browsers.

"Internet software and hardware products should provide the Internet users information about the data that they intend to collect, store or transmit and the purpose for which they are necessary.

"Internet software and hardware products should also give the capacity to the data user to easily access any data collected about him/her at any later stage."

La CNIL a officiellement lancé une "information", dans laquelle elle se contente de demander aux patrons des filiales France des deux fabricants de s'expliquer. Ses capacités d'intervention sont limitées, et elle ne pourra transmetter le dossier à la justice que si l'intention de nuire est démontrée. Contactée au milieu du mois de mai, la Commission se donne encore un mois pour faire la lumière sur ces deux affaires.

PENSEZ AUSSI à jeter un oeil au palmares 99 des Orwells USA - Big Brothers Awards à la mode US, apres les britanniques d'octobre dernier (lire 4.03). Les Orwell Français sont prévus pour cet automne.

PROXYFLIC

UPDATE

>>Tout de suite, les réactions dy sysop, quelques jours après

L'université de Toulouse I rajoute son nom à la liste encore courte, heureusement (lambda 4.01), des facs dont le réseau est sous la surveillance d'une moulinette informatique qui s'appuit sur des listes noires de sites cernés comme "non-académiques". Procédure efficace pour alléger le trafic, mais parfois sauvagement arbitraire. Les universités sont pour l'instant quasiment maitre à bord dans leur politique de filtrage. L'administrateur toulousain cite le Code pénal pour justificier de l'installation de son flic automatique, le "redirecteur" en langage sysop. Quand ça ne suffit pas, on brandit la charte Renater qui exclue tout contenu n'ayant aucun lien avec l'enseignement ou la recherche. A Toulouse on use du "redirecteur" SquidGuard, dont les bases de données de sites interdits sont élaborés aux Etats-Unis.

Extraits des recommendations du sysop:

- Pour pésenter l'intérêt d'un redirecteur, voici un script qui vous donnera une proportion, approximative, du volume occupé par les URLs pornographiques dans votre cache taille_porno.pl (j'ai eu le déplaisir de constater que malgré les redirections j'en suis encore à 5% environ) - Pour remettre à jour la base de données, ce script permet de recevoir par mail la liste des urls "susceptibles" d' être non souhaitables : recherche_porno.sh

- Pour que la mise à jour soit simplifiée, ce script permet d'utiliser la liste généréee par le script précédent : ajout_squidguard.sh . Il suffit dans l'éditeur de votre choix d'effacer les lignes réellement à interdire. - Un exemple de cgi de blocage : blocked.src - Comment obliger le passage par squid ? o Mettre un filtre sur le routeur : efficace, rapide, sans bavure o Mettre un outil tel que juggernaut sur le brin d'accès Internet : tordu ;-)

- Pour justifier la mise en place d'un tel outil :

&laqno; Article 227-24

Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, soit de faire commerce d'un tel message, est puni de trois ans d'emprisonnement et de 500.000 F d'amende lorsque ce message est susceptible d'être vu ou perçu par un mineur....»

Rappel : il suffit d'un seul mineur dans votre établissement.

Pour ceux qui veulent une base de "travail" régulièrement mise à jour:
o adult.tar.gz (73 Ko) site à caractère pornographique
o publicite.tar.gz (4 Ko) bandeaux de publicité
o forums.tar.gz (1 Ko) ceci n'est fait que pour certains postes à grande ouverture : interdiction des forums et mails gratuits (caramail, hotmail, lemel, etc....)
o Bientôt des sites Warez, Hacking, etc...

Les boites aux lettres gratuites n'occupent pourtant aucun espace-disque parmi ceux financés par le budget de la fac, mais c'est vrai : ça use de la fibre-optique, le mail gratuit -- c'est bien connu.

MISE A JOUR: On écrit au lambda

Date: Tue, 25 May 1999 18:43:21 +0200
From: fabrice prigent <Fabrice.Prigent@univ-tlse1.fr>
MIME-Version: 1.0
To: jt@freenix.fr
Subject: Lecture attentive de l'article sur l'Université ToulouseI

Je viens de découvrir Lambda. Très intéressant, les articles sont tout à fait dans le domaine qui m'intéresse.

Je viens aussi de découvrir aussi que l'on y parle de nous. Ou plus précisément de moi. J'avoue que j'aurais préféré être averti, cela aurait été plus correct, mais bon, on n'y pense pas toujours. Cela vous aurait aussi permis d'éviter quelques erreurs. Je vous accorde que les explications sur ma page était plutot "inexplicites" et méritent un travail plus approfondi.

1) la base de données n'est pas américaine mais norvégienne. Les ligues de vertu y sont moins répandues à ce que je crois ;-). De plus je rajoute moi-meme des urls et je corrige par là même les erreurs de la base. Aucune base n'est parfaite. Les étudiants n'ont aucun problème à me joindre, la page d'interdiction les invite d'ailleurs à signaler toute incohérence.

2) Le terme flicage me semble excessif : nous ne sanctionnons pas.

3) Les boites aux lettre gratuites ne sont pas interdites. Les étudiants les utilisent largement (10% de notre bande passante "web" tout de meme). Hotmail, Caramail et autres ne sont interdites qu'à partir des postes grand public (les bibliothèques par exemple).

4) Vous ne détaillez pas le contexte. C'est dommage. Un minimum de recul est nécessaire pour comprendre le pourquoi de cette implémentation : a) Notre bande passante avoisine les 90% d'occupation certaines journées. Il n'est donc pas inconcevable de considérer des priorités. Durant une certaine période j'ai eu à vérifier les taux approximatifs d'URL chez nos utilisateurs lorsque rien n'était filtré : on obtenait 30% du trafic web pour des urls pornos : Un peu excessif. L'étude portait sur des catégories d'URLs : pornos (28%), warez (2%), mail (7%, cela a évolué par la suite). b) Vous parlez ironiquement de "l'usure" de la fibre optique : je souscris à votre analyse mais vous oubliez qu'un utilisateur, quoi qu'il fasse, occupe une machine. Voir des étudiants monopoliser un poste pour regarder des URLs pornos, ou autre utilisation "légère" alors qu'une queue de 8 personnes (et cela arrive souvent) attend hors de la salle pour travailler , avouez que c'est rageant. c) Vous oubliez de préciser que TOUS nos étudiants ont droit à un email et un accès internet, que 360 postes sont disponibles, dont 300 sont en libre accès. C'est un détail, mais qui compte n'est-ce pas ?

Nous sommes une université qui fournit beaucoup d'effort pour permettre aux étudiants un accès égal aux ressources d'Internet. Nous avons choisi une politique, qui, si elle n'est pas parfaite, n'en n'est pas moins optimale vu nos conditions de travail et nos moyens. Il est dommage que vous n'en teniez pas compte. Cordialement

Fabrice Prigent Network Administrator

POUR APAISER CERTAINS DOUTES sur les ravages des filtres automatiques, à lire le dernier rapport du Censorware Project américain, qui a disséqué le dernier outil qui doit équiper écoles et bibliothèques (pas encore les High School, les facs) de l'Utah.

"Among the documents banned by Utah: the Holy Bible, the Book of Mormon, the Declaration of Independence, the United States Constitution, all of Shakespeare's plays, and The Adventures of Sherlock Holmes."

LE WALL STREET JOURNAL du 6 mai 99 en rajoute une louche en citant un autre exemple des aprioris provoqués par les filtres: Surfwatch bloque un site de prières en ligne (www.plugandpray.com) parce qu'il a pu partager le numéro IP d'un autre site déjà blacklisté par la companie. Un autre est encore construction qu'il se retrouve déjà interdit de séjour dans la base de données prêt-à-morale de Surfwatch. Personne n'est parfait, encore moins un logiciel programmé par des humains.

CRYPTO

UPDATE

FRENCH CONNEXION: Les décrets sur la liberté de chiffrer en-deça de 128-bit est sorti le 19 mars, avec deux autres textes réglementaires.

L'AFUU (Association d'utilisateurs d'unix bien implantée dans l'industrie infotech), regrette que ces textes "continuent à soumettre la fourniture de ces outils à une procédure de déclaration préalable, avec l'obligation de fournir un dossier technique complexe". Obligations restant "sans équivalent chez nos principaux partenaires économiques et politiques".

"Il ne faudrait pas que de nombreux outils de cryptologie, correspondant à des standards sur les marchés internationaux, continuent à ne pas être autorisés sur le marché français ou à n'être disponibles en France que plusieurs mois après leur commercialisation au niveau mondial".

MISE A JOUR: Pour les Netscape users, pensez au patch 128-bit livré par Fortify. De quoi remplacer le module "export" SSL 40-bit fourni en standard dans tous les navigateur depuis octobre 1995.

o Décret n° 99-199 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation.

o Décret n° 99-200 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable.

FreeS/WAN - TUNNEL PRIVÉ LABELISÉ IPSEC. Un groupe de cypherspunks, dont le vétéran John Gilmore (l'un des fondateurs de l'EFF), ont présenté en avril FreeS/WAN, un système de chiffrement de cessions à distance, pour faire du tunneling sécurisé sans passer par les coffre-forts en or massif vendus à prix d'or sur le marché de la sécurité (il y en a même qui achètent Suisse pour le sérieux et la neutralité!). Conçu essentiellement au Canada, puis compilé et diffusé depuis deux sites européens, aux Pays-Bas et au Royaume Uni, cet outil d'authentification et de chiffrement des données passe donc à travers les mailles du filet réglementaire américain (règles ITAR obligent). FreeS/WAN s'installe uniquement sous Linux et respecte le standard IPSEC (Internet Protocol Security), norme internationale et l'une des composantes de l'IPv6, la nouvele génération du protocole IP.

o Article de SALON MAGAZINE

ITAR... TA GUEULE. L'EPIC a salué comme il se doit la décision de la court d'appel (U.S. Court of Appeals for the Ninth Circuit) a considéré que les blocages à l'export de matériels cryptographiques (les règles ITAR - International Trade Arms Regulations) violaient le droit à l'expression des scientifiques (1er amendement). Ce procès était celui de Daniel Bernstein, l'un de ces chercheurs es chiffre qui n'avait pas obtenu les licences d'exportation qu'il réclamait pour rendre public le code source d'un nouvel algorithme.

Surpassant quelque peu le fond de l'affaire, le juge fédéral s'est permis de faire cette petite précision rassurante, en VO - ca vaut le coup d'oeil:

&laqno; ... Whether we are surveilled by our government, by criminals or by our neighbors, it is fair to say that never has our ability to shield our affairs from prying eyes been at such a low ebb. The availability and use of secure encryption may offer an opportunity to reclaim some portion of the privacy we have lost. Government efforts to control encryption thus may well implicate not only the First Amendment rights of cryptographers intent on pushing the boundaries of their science, but also the constitutional rights of each of us as potential recipients of encryption's bounty. . . . [I]t is important to point out that Bernstein's is a suit not merely concerning a small group of scientists laboring in an esoteric field, but also touches on the public interest broadly defined. ... »

MEANWHILE, in Australia, RSA Data Security a ouvert un bureau à Brisbane, avec certains des créateurs de la fameuse "secure socket layer" (SSL), le module de chiffrement intégré aux navigateurs. D'après une dépêche, à vérifier, un contrat du ministère australien de la Défense a été confiée à la nouvelle unité pour exporter des modules de chiffrement surpassant les lois ITAR.