informatique et high-tech (les meilleures news) %) - Page 716

J'ai pas compris l'article comme ça, j'ai plutôt l'impression qu'ils voulaient avoir un accès direct à ses serveurs (donc ça revient à donner la clé de la boîte à clés).

J'ai surtout compris qu'ils voulaient toutes les clés...

the technological keys to intercept not just Snowden’s digital communications but those of all of Lavabit’s more than 400,000 users

Donc le FBI voulait bien tout le trousseau de clés de toutes les pièces de l'hôtel (et c'est le genre de clés que tu ne rends pas après visite...).

Zerosquare (./21451) :
J'ai pas compris l'article comme ça, j'ai plutôt l'impression qu'ils voulaient avoir un accès direct à ses serveurs (donc ça revient à donner la clé de la boîte à clés).

Sur http://linuxfr.org/users/khivapia/journaux/lavabit-co-l-explication-est-tombee-le-fbi-voulait-la-clef-privee-maitresse , il y a un résumé de l'affaire :


* Le FBI demande accès au compte de Snowden
* Lavabit ne peut pas le faire car Snowden a activé la fonction : clé personnelle
* Le FBI demande accès à la master key qui peut tout déchiffrer
* Lavabit pourrait le faire mais ne veut pas car cela compromettrait TOUS ses clients
* Le Juge ordonne la remise de la clé
* Lavabit file la clé sur papier
* Le juge ne trouve pas ça drôle, nouvelle demande assortie d'une pénalité de 5'000$ par jour en cas de blague

Donc ça revient bien à avoir mis la même clef pour tout le monde => solution pourrie

Il a aussi proposé de faire une solutions autre que "clef universelle" que le FBI a rejeté.

Question con, mais pourquoi il avait une master key comme tu dis? S'il n'en avait pas eu ça serait mieux, non?

melbou (./21455) :
Question con, mais pourquoi il avait une master key comme tu dis? S'il n'en avait pas eu ça serait mieux, non?

Ils ont l'obligation légale de pouvoir déchiffrer le courrier.

Pour le cas où le client perd sa clé ou la révoque, afin de ne pas perdre de données ?

edit : il suffit d'avoir toutes les clés dans un coffre fort de clés, lui-même crypté (et hors-ligne)

Non, ça tout le monde s'en fout. C'est pour que si les flics (ou assimilés) viennent taper à la porte de l'hébergeur, ils puissent avoir accès aux données.

Super

C'est pareil en France hein. Les admins de sites web sont obligés de garder des logs, pour le cas où il y a une enquête judiciaire et qu'un juge les demande.

Oui, oui, je sais... ça m'avait d'ailleurs toujours fait bizarre de voir sur nos calculatrices que, conformément à la législation US, on devait pouvoir en lire le contenu et en perturber le fonctionnement à distance...
(double cross)

Hein ? Tu confonds pas avec la certification FCC ?

Pour la France, il faut regarder la dernière version de la LOPPSI, parce que le choix des mots a un peu changé (et que ça a des impacts différents). La première version n'imposait les logs qu'aux FAI (classiques et mobiles). Si, en pratique, les grands FAI appliquent la loi (et encore, j'ai été surpris en voyant les statistiques des retours de la Hadopi, normalement les baux DHCP sont enregistrés avec horodatage, donc on sait quelle IP est à qui à quel moment), c'est moins le cas pour les entreprises, les structures universitaires (mais ça commence à changer avec la mise en place du 802.x au filaire) et encore moins pour les fournisseurs ponctuels (hotspots domestiques ou de restaurants).
Mais ça a peut-être été étendu aux fournisseurs de services au sens large, incluant alors l'ensemble des acteurs, même intermédiaires.
D'ailleurs, les FAI n'ont normalement pas le droit de regarder le contenu de ces logs, sauf si c'est pour résoudre un problème technique soulevé manifestement par ailleurs.
Et, depuis la LOPPSI, un simple OPJ peut faire une demande de consultation de logs, sans passer par un JI.

Zerosquare (./21462) :
Hein ? Tu confonds pas avec la certification FCC ?

Et la FCC, c'est pas une obligation pour qu'un matériel puisse être commercialisé aux US ? Obligation qui a des racines militaires, pour partie

melbou (./21459) :
Super

bof, faut bien que la police puisse travailler. Tant que ce n'est pas de façon automatique mais uniquement sur mandat… (tout comme les écoutes)

Il me semble que l'obligation concernait aussi les sites Internet, pas juste les FAI ou assimilés.

Sinon la certification FCC ne dit pas que le matos doit être brouillable, elle dit au contraire qu'il ne doit pas brouiller, ou être brouillé par, les autres équipements grand public. (D'ailleurs tu la trouve même sur des appareils comme les rasoirs électriques, si c'était militaire faudrait m'expliquer l'intérêt de brouiller un rasoir )

(Pour assassiner quelqu'un ?)

(c'est pas très performant, comme arme )

(Une fois brouillé, c'est terriblement efficace, pourtant )

Zerosquare (./21466) :
Il me semble que l'obligation concernait aussi les sites Internet, pas juste les FAI ou assimilés.

Sinon la certification FCC ne dit pas que le matos doit être brouillable, elle dit au contraire qu'il ne doit pas brouiller, ou être brouillé par, les autres équipements grand public. (D'ailleurs tu la trouve même sur des appareils comme les rasoirs électriques, si c'était militaire faudrait m'expliquer l'intérêt de brouiller un rasoir )

T'as jamais vu l'ennemi oser se présenter mal rasé au combat, CQFD (les mudjahiddine sont hors-catégorie, NldR).

Zerosquare (./21466) :
Sinon la certification FCC ne dit pas que le matos doit être brouillable, elle dit au contraire qu'il ne doit pas brouiller, ou être brouillé par, les autres équipements grand public.

47 C.F.R. 15.5 contains a general provision that devices may not cause interference and must accept interference from other sources.

(C'est bien ce qu'il y a pour la TI-92)

Nil (./21461) :
Oui, oui, je sais... ça m'avait d'ailleurs toujours fait bizarre de voir sur nos calculatrices que, conformément à la législation US, on devait pouvoir en lire le contenu et en perturber le fonctionnement à distance...

C'est ce que tu comprends de ce qui suit ?

Nil (./21473) :
47 C.F.R. 15.5 contains a general provision that devices may not cause interference and must accept interference from other sources.

Parce que la partie en gras dit juste que ça doit fonctionner même si un équipement génère des interférences.

Moi je comprends qu'on n'a pas le droit de blinder le dispositif pour le protéger d'interférences extérieures et qu'il doit rester perméable à tout élément extérieur.

RHJPP (./21474) :

Nil (./21461) :
Oui, oui, je sais... ça m'avait d'ailleurs toujours fait bizarre de voir sur nos calculatrices que, conformément à la législation US, on devait pouvoir en lire le contenu et en perturber le fonctionnement à distance...

C'est ce que tu comprends de ce qui suit ?

Nil (./21473) :
47 C.F.R. 15.5 contains a general provision that devices may not cause interference and must accept interference from other sources.

Parce que la partie en gras dit juste que ça doit fonctionner même si un équipement génère des interférences.

C'est toujours comme ça que je l'ai compris aussi.

FCC Title 47, Part 15 section 5.b
(b) Operation of an intentional, unintentional, or incidental radiator is subject to the conditions ... that interference must be accepted that may be caused by the operation of an authorized radio station, by another intentional or unintentional radiator, by industrial, scientific and medical (ISM) equipment, or by an incidental radiator.

Tiens, oui, vous avez raison... mais je trouve que la formulation courte manque de clarté (ou alors je suis parano et il me faut un anti pointnil, pour le coup )

En fait, tout appareil électronique ne doit pas émettre plus qu'un certain seuil de rayonnement électromagnétique (pour ne pas perturber les autres), et il doit pouvoir fonctionner correctement jusqu’à un certain seuil dans un champ électromagnétique de l'environnement où il va fonctionner.


Pour les essais, on place l'appareil au centre d'une cage à Faraday, et on mesure le rayonnement de l’appareil en fonctionnement minimal, nominal et en mode stresse.
Ensuite avec l'analyseur de spectre on vérifie qu'il ne dépasse pas le gabarit imposé par la norme/le pays dans lequel il est destiné sur une large bande de fréquence.
On peut d'ailleurs avec ces mesures déterminer certaines cause (genre un oscillateur mal placé sur le PCB, un problème de masse, etc...)

Dans la deuxième phase du test, l'appareil toujours en fonctionnement dans la cage à Faraday, on place différentes antennes qui vont cette foi émettre un champ électromagnétique à différente puissance sur les différentes bandes de fréquences jusqu’à ce que l'appareil fasse n'importe quoi (ou pas, si il est résistant ).


Si il passe correctement aux deux tests, on peut légitimement apposer le logo qui va bien (et on peut le prouver avec les rapports de l'entité qui a fait les mesures)

Nil (./21475) :
Moi je comprends qu'on n'a pas le droit de blinder le dispositif pour le protéger d'interférences extérieures et qu'il doit rester perméable à tout élément extérieur.

non, c'est bien que le device doit fonctionner en présence d'interférences.

C'est très classique dans les specs d'interopérabilité.

Autre exemple: dans les specs cartes, on définit par exemple un timeout max que la carte ne doit pas dépasser, mais on définit aussi un timeout min avant lequel le lecteur ne doit *pas* s'impatienter.

comme ça, on est sûr qu'il y a au moins une marge non nulle entre les deux valeurs, et que des petits dépassements de spec dans un sens ou dans l'autre ne vont pas causer de problèmes.

Aux USA, ils n'ont pas que des freezes de budgets, ils ont aussi des sites web à rendre jaloux voyages-SCNF

Et l'explication est la même que d'habitude : la presta a été confiée à des boîtes qui sont dans les petits papiers des politiques, mais qui sont techniquement incompétentes (et coûteuses).