And many more in fact.
— Permalien
The original cypherpunks were mostly Californian libertarians. I was from a different tradition but we all sought to protect individual freedom from state tyranny. Cryptography was our secret weapon. It has been forgotten how subversive this was. Cryptography was then the exclusive property of states, for use in their various wars. By writing our own software and disseminating it far and wide we liberated cryptography, democratised it and spread it through the frontiers of the new internet.
The resulting crackdown, under various "arms trafficking" laws, failed. Cryptography became standardised in web browsers and other software that people now use on a daily basis. Strong cryptography is a vital tool in fighting state oppression. That is the message in my book, Cypherpunks. But the movement for the universal availability of strong cryptography must be made to do more than this. Our future does not lie in the liberty of individuals alone.
[...]
These are just some of the important ways in which the message of the cypherpunks goes beyond the struggle for individual liberty. Cryptography can protect not just the civil liberties and rights of individuals, but the sovereignty and independence of whole countries, solidarity between groups with common cause, and the project of global emancipation. It can be used to fight not just the tyranny of the state over the individual but the tyranny of the empire over smaller states.
The cypherpunks have yet to do their greatest work. Join us.
— Permalien
You may not be able to run your own email or instant messaging server software but you may know a trusted entity (friend, organization) who (knows someone who) runs his own server and can create an account for you: a server you can trust and which does not do business by collecting your data. On your side, you need some appropriate software that additionally does crypto, and there we go!
A quick example:
an open standard for instant messaging is XMPP (formerly called Jabber);
existing XMPP servers I trust are jabber.ccc.de and xmpp.telecomix.org (it is also possible to run one yourself);
easy-to-use FLOSS clients allow you to connect to any XMPP server: Pidgin (with the OTR plugin for encryption) for Windows and GNU/Linux, Adium for Mac OS, Jitsi for these three platforms, Gibberbot for Android, etc.
See? No need of a US-based Gmail, Facebook or a Russia-based ICQ. Go further with other usages, by consulting this or this lists of relevant software.
This article does deliberately not cover in detail software solutions and technical considerations, nor issues related to the need of anonymity and to the importance of meta-data. It shows that decent privacy improvements can be made with little effort and that it can make a substantial change if massively applied. You can move on with this good pedagogical introduction from Quinn Norton.
So, remember: decentralization and cryptography through appropriate tools and behavior.
Do not expect laws to efficiently protect your privacy, as secret services will increasingly have means to silently and massively circumvent law obligations.
If governments wanted to promote privacy (and, through this, free speech and democracy), they would setup teaching of these key concepts to children at school and would promote FLOSS and internet decentralization. For now, they are mostly going the opposite way - corruption talks.
— Permalien
OVH se prépare à lancer la phase alpha publique de son service de VPNSi le VPN d'OVH est évoqué depuis maintenant près d'un an, on semble enfin s'approcher d'une phase de test un tant soit peu concrète. En effet, après quelques mois d'essais en interne, celui-ci devrait être proposé de manière publique dans une version alpha, sans doute afin de tester l'infrastructure mise en place par le géant de l'hébergement.
— Permalien
Régulièrement, vous entendez l’argument «Qui n’a rien à cacher n’a rien à craindre», pour justifier la surveillance de plus en plus envahissante de nos vies. Cet argument est non seulement dangereux, mais en plus malhonnête et pleutre.
— Permalien
We have created an “ALL-STAR Team” of the world’s top cryptographers and security engineers who are the creators of the world’s most widely-used encryption products (PGP, Apple Whole Disk Encryption, ZRTP). We also believe that a sound understanding of physical security measures and real-world knowledge of the newest threats all over the world are critical. That’s why we have two Navy SEALs and three British 22nd SAS Special Forces communications experts within the fold. They have crossed borders, communicated on every conceivable medium, navigated around hostile surveillance methods and used both commercial and government secure communication platforms to stay private and evade detection. We have a “fingertip feel” for the degradation of individual privacy around the world and have seen at first hand what happens when the rights to free speech, association and exchange of opinions are curtailed. That is not the future that we seek for our children.
— Permalien
Chiffrez tout !
Dès que l'on commence à parler de « sécurité » en informatique, il est facile de devenir paranoïaque : de qui veut on se protéger, qui peut nous protéger, que demande t'il pour le faire ? Peut on lui faire confiance ? Partons du principe que nous sommes en danger de mort si quelqu'un a accès à nos informations, nous avons besoin d'une confiance absolue, et pour cela, nous pouvons faire une croix sur des logiciels comme Skype (cf. l'Égypte / de Microsoft) ou UltraSurf (d'Ultrareach).
Il faut obligatoirement appréhender la sécurité comme un ensemble : physique, logiciel, architecture (architecture centralisée de BlackBerry) ou encore la surcouche opérateur (cf. « spyware » Carrier IQ).
Un bon système cryptographique est le plus souvent open-source (libre), massivement utilisé, et audité sur un laps de temps important (plusieurs années) par des programmeurs, des experts et des chercheurs. Les algorithmes « fermés » possèdent souvent des faiblesses.
La nationalité des logiciels est très importantes. Certains pays permettent l'utilisation de la cryptographie forte, mais pas son exportation (lire à ce propos l'histoire de Philip Zimmerman et de PGP ainsi que « laws concerning cryptography » de la société RSA. L'implantation d'une entreprise dans un pays peut être fait à la condition que les autorités puissent avoir accès aux serveurs, comme BlackBerry en Inde ou en Arabie Saoudite (et sans doute dans d'autres pays). La présence de spywares (comme des backdoors) peut aussi être de la partie (installation du système de surveillance d'Amesys en Libye) et des lois comme le Patriot Act américain peuvent forcer votre prestataire à laisser un accès à ses serveurs aux autorités.
Par exemple, la société Kryptos Communications développe un équivalent de l'application RedPhone de Whispersys avec des fonctionnalités alléchantes : Kryptos (chiffrement en AES 256 bit pour la communication, échange des clés d'authentification via RSA 2048 bit. Appels sécurisés via 3G, 4G, WiFi …), mais il faut avoir en tête certaines choses : Kryptos Communications est une société commerciale américaine (donc soumis au Patriot Act) qui propose un service payant (10 $/mois) avec inscription (et donc une base de données de ses utilisateurs), le tout avec un logiciel non open-source, qui fonctionne alors comme une boite noire, il est alors impossible de savoir ce qu'il fait vraiment.
Ce n'est pas parce que un logiciel utilise un ou plusieurs protocoles de cryptographie qu'il est pour autant fiable. Un des meilleurs exemple est « CrypTweet », qui permet d'envoyer des messages privés chiffrés sur Twitter. Les fonctionnalités sont intéressantes (SHA2, RSA et DES3), mais le tout mal implémenté et avec des manquements (pas de ssl pour accéder au serveur de clé public par exemple). Heureusement, le code source étant disponible (licence MIT), les problèmes ont été rapidement relevés.
En allant plus loin, l'accès direct à Google Play (anciennement Android Market), demande une authentification via un compte Gmail (autre service de Google) : pouvons-nous faire assez confiance à une entreprise qui collecte 600 gigaoctets de données (Wifi non sécurisés, SSID, adresses Mac, mais aussi pages web, textes, images, mots de passe) soi-disant à cause d'une « erreur de programmation » et dont le chiffre d'affaire provient de la vente de publicité ultra-ciblée ?
Pour finir, faites la différence entre un logiciel gratuit (freeware, ou « gratuiciel ») et un logiciel libre (free software}). Un freeware indique un logiciel « gratuit » mais en rien « libre », il peut être payant pour une utilisation commerciale et son code n'est pas accessible. Un logiciel libre permet son utilisation (le plus souvent gratuitement), son étude, sa modification (le code source étant disponible) et sa duplication en vue de sa diffusion. Cette différence est très importante, et quand on parle de cryptographie, elle peut sauver des vies.
— Permalien
Mobile Security For Android
— Permalien
While smartphones have been heralded as the coming of the next generation of communication and collaboration, they are a step backwards when it comes to personal security, anonymity and privacy.
— Permalien