Ce que j'aime bien, c'est "vos données qui sont d'ailleurs chiffrées en AES-256". Mais, si le gouvernement les demandes alors on les décrypte et on les lui donne. A quoi sert donc le cryptage ?

Heu non ;) Ce cas n'existe plus depuis un moment ^^ Prend ton ordi, génère une clef de 2048bits, chiffre un fichier avec, et dis moi comment le gouvernement à ta clef ... Idem pour les routeurs cisco qui offre des VPN par exemple (on parle donc d'un truc commercial vendu à grande echelle aux us, plus de toto @home). C'est l'admin qui génère la clef, et il ne la transmet pas au gouv. Donc, bon ...

"Mais, si le gouvernement les demandes alors on les décrypte et on les lui donne. A quoi sert donc le cryptage ?" si la JUSTICE américaine demande (un juge, face à un dossier transmis par la police ou l'état) les fichiers, dropbox sera dans l'obligation de les donner. les ficheirs sont cryptés AES et la police est bien embêtée. (non, l'Etat Franc-maçonnique du complot Arabosioniste du kgb chinois des hommes taupes de l'infra-monde n'a PAS DE CLE SECRETE ! ces algos sont industriels, ultra connus, et les logiciels sont _surveillés_ à la loupe, pas simplement le code) alors que fait la police ? ben elle redemande au juge cette fois ci de VOUS exiger de fournir les clés. et là, ben vous allez obtempérer parce que sinon, ben on vous condamne déjà pour ce refus. Avantage : le mandat va limiter ce que la police aura le droit de fouiller, sera précisé les seuls fichiers/accés nécessaires pour l'enquête en cours. Second avantage: vous êtes prévenu, vous pouvez tenter de convaincre le juge que non, y a aucun besoin d'en savoir plus. - "Les gouvernements ont toutes les clés de toute façon sinon les cryptages sont interdits. Ils n'autorisent pas un cryptage trop élevé." les codages et autre chiffrements ne sont pas anodins. C'est pour cela que les USA limitent leurs exportations, que tout logiciel commercial doit faire une déclaration au près du ministère du commerce des USA, etc. mais non, y a pas de "clé secrète", parce que fondamentalement ce ne sont pas des connaissances obscures de Mutants Géniaux, mais des mathématiques enseignées en université (on fait mieux comme lieux secrets). donc... imaginons que les ETats fassent les gros yeux et disent "zinterdit de distribuer des algos de cryptage, rogntudujujuju !" ben ça passerait sous le manteau, les algos seraient créés par des mathématiciens sans le dire et tout un petit monde coderaient sans le dire. comment on le sait ? parce qu'on a déjà connu une telle situation. ce fut bof.

une raison supplémentaire pour ne pas confier ses données dans "les nuages"

@multi [21/04/2011 15:31] "une raison supplémentaire pour ne pas confier ses données dans "les nuages"" ben c'est exactement comme si vous me confiez vos fichiers et je vous jure mes grands dieux que jamais je ne les lirai et que si la police me téléphone, je vous préviendrai avant d'obtempérer (pour que vous ayez vite le temps de courir chez votre avocat et demander un contre-ordre). avez vous confiance en moi ?

@elamapi [21/04/2011 15:28] " Idem pour les routeurs cisco qui offre des VPN par exemple (on parle donc d'un truc commercial vendu à grande echelle aux us, plus de toto @home). C'est l'admin qui génère la clef, et il ne la transmet pas au gouv. " chais pas, moi je suis admin et toutes les clés je les donne à ma grand-maman :) #complotGrandMaman

@oomu. Si j'ai bien compris ce que tu as dis. Dropbox à comme obligation de fournir les fichiers cryptés, et nous (l'accusé) de fournir la clef ? Ou alors, Dropbox (ou les autres) possede de quoi décrypter les fichiers cryptés. Car ça fait toute la nuance. Dans un cas, je peux trouver ça normal (la juste peut demander des comptes). Dans l'autre, ça veux juste dire que le stagiaire du coin chez Dropbox à virtuellement accés à tout.

Cryptez vos données avec : données XOR un masque (TRNG) et les gouvernements pourront toujours se gratter. Apres autorisé ou non, ceux qui veulent cacher leurs données à la "No Such Agency" s'en contre foutent à mon avis et utilisent encore moins Dropbox.

Je ne suis pas certain que Dropbox encrypte TOUT. Par exemple si j'uploade une chanson très connue achetée sur iTunes, comme par hasard son upload est immédiat. Pourquoi? Parce quelqu'un d'autre avait déjà uploadé cette chanson sur son compte à lui, et Dropbox veille à ne pas stocker physiquement deux fois des fichiers strictement identiques. J'ai eu des cas similaires sur des fichiers de près de 1 Go: upload instantané : c'était des films comme par exemple des reportages assez populaires de la BBC et Arte que les gens s'échangent.

Ce que je me demande : Pour crypter en AES il faut une paire de clés (symétrique). Vu que l'on peut avoir accès à ses données sur différents ordinateurs, comment cela peut il fonctionner (la clé privé (celle qui sert à déchiffrer) ne peut pas être sur l'ordinateur) ?

un volume caché TrueCrypt permet d'invoquer le déni plausible. méthode efficace même contre un juge et un gouvernement. http://fr.wikipedia.org/wiki/TrueCrypt#Volume_cach.C3.A9 la maj du contenu d'un volume truecrypt provoque bien sa resyncho par dropbox, j'ai testé.

Il me semble que cela se passe de la façon suivante: le système envoie via un chiffrage asymétrique (clé publique/clé privée) une clée de chiffrage. Cette clé de chiffrage sert ensuite à établir la liaison sécurisée entre les deux ordinateurs/serveurs, cette fois via un chiffrage symétrique (plus rapide).

Sauf erreur de ma part, voici une petite explication. Lorsqu'on installe un produit sérieux de chiffrement de données, il est possible de générer une super clef, dite clef de recouvrement. Dans le cas de perte d'une clef d'un utilisateur, l'administrateur va alors être capable de déchiffrer les informations avec cette clef de recouvrement. (ou avec la sienne). On entends souvent dire que les systèmes de chiffrement tel que PGP ont une faille due à cette clef au passage Dans certains pays, comme les USA ou l'Algérie, il faut transmettre cette clef au gouvernement du moment on l'on chiffre des données. c'est une obligation légale. En France, il est obligatoire d'en avoir une, pour être capable de la transmettre sur demande de la police ou autre. Sinon il est important de bien différencier le chiffrement d'une communication (VPN) et le chiffrement des données (disque dur par exemple) qui ne sont pas soumis aux mêmes legislations.

Donc, suffit de faire une image disque chiffré pour etre tranquille :)

@ chris2002 : "cette fois via un chiffrage symétrique (plus rapide)". Dans ce cas, chez Dropbox, on peut (j'ai pas dis on fait) avoir accès aux données (seule la transmission est cryptée). @ sunysky: Certainement la meilleure chose à faire (un volume caché TrueCrypt).

ben moi j'ai confiance en oomu d'abord :-)

@bugman & @sunysky Et bien non, même ça on ne peux plus compter dessus : il y a TCHunt (http://16s.us/TCHunt/) Pour les détails en français, je vous renvoi à l'article de Korben : http://www.korben.info/tchunt-detecter-la-presence-de-conteneurs-truecrypt.html

Mais vous mettez quoi dans votre Dropbox les gars ? Votre numero de compte bancaire ? Le numero de compte de l'Elysée (LOL !) ? Les plans du sous-sol de la banque de France ? Le scénario détaillé de votre prochain plan détournement d'avion ? Ou comme moi des documents tout cons que vous avez envie d'avoir sous la main un peu partout et sans aucun enjeu sécuritaire ? Mais alors qu'est ce qu'il en a à faire de vos photos de vacances le stagiaire de chez Dropbox ??? A chaque fois que ce sujet revient sur la table, j'ai du mal à saisir... Quelqu'un pour m'expliquer ?

Moi j'en ai rien à foutre de crypter mes données, j'ai rien à cacher aux flics. Vous avez tous un problème ou des activités étranges dans votre vie privée ou quoi ?

@elamapi [21/04/2011 15:44] "Dropbox à comme obligation de fournir les fichiers cryptés, et nous (l'accusé) de fournir la clef ?" Si un juge, dans le cadre d'une enquête, en fait la demande. "Ou alors, Dropbox (ou les autres) possede de quoi décrypter les fichiers cryptés." non. "Dans un cas, je peux trouver ça normal (la juste peut demander des comptes). Dans l'autre, ça veux juste dire que le stagiaire du coin chez Dropbox à virtuellement accés à tout." si vous codez vous même avec un algorithme sérieux (par exemple actuellement: AES), que vous gardez la clé de décodage secrète, dropbox ne peut pas vous lire.

Quelques exemples, du plus théorique au plus farfelu : @ziovass [21/04/2011 17:58] @BioSS [21/04/2011 18:12] simple hygiène de pays libre et démocratique. Je ne suis engagé dans aucun combat politique (sauf l'éradication de la complexité des ordis et l'émancipation totale de tout le monde :) ) mais si demain cela arrive, oui, y a des choses que je garderais secrètes et si je dois les échanger et que ça concernerai des projets syndicaux, politiques ou autre, je chiffrerai. Rappelez vous le nombre de "cambriolages" de candidats lors des veilles d'élections. On crypte. - Plus théoriquement : vous ne savez pas comment un Etat peut virer au cours des décennies. Il est normal que les citoyens puissent protéger leurs intérêts et leurs secrets. Le codage est une réalité, il ne disparaitra pas, donc oui, c'est important de comprendre de quoi il en retourne. Nul ne vous dit de chiffrer vos photos de chats. C'est plus pour dire ce qui peut se faire. - Si je dois en urgence transférer des documents professionnels via un système tel dropbox, oui j'aurais tendance à les chiffrer. Simple hygiène : il peut y avoir des contrats, je pourrais les mettre en public par erreur, ca pourrait embarrasser un prestataire, etc etc, rien de bien méchant, mais on chiffre, et au moins, on est tranquille. - je n'apprécie pas tellement ces serveurs de stockage distant, mais si je voulais archiver des photos de familles, relations, épouse, enfants sur un tel service, je voudrais les chiffrer. Aucune raison particulière si ce n'est une sorte d'hygiène de vie : quantités de gens ne veulent pas que leur propre photos soient vu par tous ou qu'elles passent entre les mains de "on ne sait qui". Si chiffrer rassure, ça coute rien, hop. pourquoi ne pas faire plaisir ? - sur un portable, je crypte, par défaut. Pourquoi ? parce que si je me faisais voler un macbook, ca me gênerait que des voleurs parcourt nos photos de grimaces, mes courriers à la copine... (y a des adresses, etc).

Il y a des choses d'une banalité affligeante que l'on considère pourtant comme intime. Pourquoi ferme t'on la porte de la maison ? et pourquoi ne pas toujours laisser les volets grands ouverts ? quoi ? vous avez jamais vu qqun se gratter le c.. ? le chiffrage fait partie de la même chose : intimité et je vous emm.. :) - Cela dit très sérieusement : méfiez vous des recoupements que peuvent faire des gens avec seulement quelques informations Vos historiques de sites de commerces, vos éventuelles informations personnelles, tout ça peut aider à frauder sur votre identité pour voler vos comptes amazon, banquaires, etc. Y a pas besoin de parano : on crypte, ca coute rien, et puis zut ! si un malheur se produit, y a toujours cette couche de plus. - Voilà, y a pas besoin d'être Mulder dans X files pour vouloir coder ses données. - Croyez bien que les enquêtes pour débusquer les terroristes sont bien plus sophistiquées que simplement vouloir décrypter sa fichue clée usb encryptée (le chalo ! roooh, ben zut, on va pas pouvoir savoir si c'est un gros messant... ).

"Mais vous mettez quoi dans votre Dropbox les gars ? Votre numero de compte bancaire ? Le numero de compte de l'Elysée (LOL !) ? Les plans du sous-sol de la banque de France ?" bonjour, je voudrais une chambre avec vue sur la b... heu rue.

@ iPeP : Et ? Il verra un fichier qui lui semble crypté. Il n'y verra pas un "hidden" à l'intérieur. @ ziovass : Rien (pour ma part) qui puisse te porter préjudice. C'est juste un sujet passionnant. @ ommu : "et... (bzzzzz) l'éradication... (bzzz...zzz) totale de tout le monde" : GlaDOS sors de ce corps ! (Désolé... Je suis passé dans un tunnel (ou un portail, au choix) !) ;) "Pourquoi ferme t'on la porte de la maison ?" : Pour pas que tu rentres ! (je sors) ;)

Ce qui est génial quand on lit ces réactions c'est que l'on a l'impression que la quasi totalité des lecteurs de MacGé bossent pour les services secrets et cherchent donc le meilleur moyen de se soustraire à la "vue" des gouvernements (Américain" notamment…). ALors que dans la vraie vie (La mienne) je me branle comme de l'an 40 que la NSA inspecte mes devis clients ou les 3 photos de mes vacances à Center Park ;-) Donc à part une frange très restreinte de la population le fait que la justice puisse accéder à nos données m'en gratte une sans réveiller l'autre comme disait feu notre Président CHirac … Comment ? AH il n'est pas mort ? Pardon.

@ tempest :Qui sais ? Cela pourrait être utile un jour... Sinon, comme dit plus haut, c'est juste passionnant.

@ tempest : Qui sait ? Cela pourrait un jour être utile... Et comme dit plus haut, c'est passionnant. Concernant mes "devis clients"... cela ne regarde... que mes clients.

Oomu a largement couvert le sujet. Juste une raison pour crypter ses données: article numerama http://www.numerama.com/magazine/18609-filtrage-dans-les-box-adsl-et-atteinte-a-la-vie-privee-au-programme-de-l-hadopi.html

Le refus de transmettre la clé de cryptage est passible de 3 ans d'emprisonnement et 45.000 € d'amende. La peine peut être portée à cinq ans si le refus a empêché la résolution ou l'empêchement d'un crime ou d'un délit. Enfin, c'est une circonstance aggravante qui entraîne un alourdissement des peines encourues par ailleurs. Donc chiffrez en 1000 bits si ça vous chante, l'Etat a les moyens de vous faire chanter ;-)