Futur BackDoors possible dans les solutions de communications ?

[GPA2SOU]

Salam a3laykoum

De mieux en mieux

L'accès aux données des solutions de communication chiffrée de bout en bout est un défi pour les forces de l'ordre dans l'exercice de leurs missions régaliennes.

En effet, ces solutions de messagerie instantanée ou de téléphonie telles que Whatsapp, I message ou Télégramme, ne permettent qu'aux utilisateurs, à partir du terminal (smartphone, tablette, etc) ayant part à la communication, d'accéder aux données échangées.

Cependant, l'accès aux données de ces solutions de communication à l'insu de l'utilisateur peut s'effectuer par plusieurs approches, à disposition des forces de l'ordre

D'une part l'approche traditionnelle est celle de l'investigation sous pseudonyme, c'est-à-dire par la participation aux échanges sans faire état de son identité ni de sa fonction.

Ensuite, l'accès aux données peut s'effectuer au titre d'une saisie du terminal.

Cela suppose que l'accès logique au terminal soit possible.

Le régime procédural en vigueur permet ainsi de déverrouiller le code d'accès et d'effectuer le déchiffrement des données si le système est chiffré dans son ensemble.

Une troisième approche réside dans la captation des données informatiques.

Il s'agit d'implanter un logiciel de captation de données dans le terminal à l'insu de l'utilisateur.

Les données qui s'affichent à l'écran, qui sont saisies au clavier ou qui sont stockées sur le support sont alors dupliquées et exportées avant qu'elles ne soient chiffrées. La loi du 16 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, a introduit cette capacité légale dans l'enquête judiciaire.

De plus, ces dispositifs particulièrement intrusifs et susceptibles d'être décelés par des solutions de sécurité informatique, nécessitent un très haut niveau de technicité en matière de conception et d'emploi opérationnel.

La concrétisation de cette ambition est classifiée et échappera encore durablement aux enjeux de lutte contre la criminalité de droit commun.

Il convient cependant de noter qu'une quatrième approche consiste à introduire des backdoors, c'est-à-dire un moyen de déchiffrer les données lors de leur transit entre plusieurs terminaux.

Cette évolution dépend cependant des négociations entre l'Etat et les concepteurs de ces solutions de communication.

Ces négociations ne sont pas rendues publiques.

De même cette approche nécessite des évolutions du cadre juridique existant qui doivent faire face aux divisions de l'opinion publique, opposant les exigences de sûreté nationale à la défense des libertés publiques.

Plus de lecture sur http://questions.assemblee-nationale.fr/q15/15-10778QE.htm

Ce truc la va surement ce négocier avec les concepteurs des solutions de communications les plus connues

@kamelia9575 tu aimes bien Whatsapp il me semble ?

De plus,

si c’est seulement les discussions de groupe alors ça va

Oui tout va pour le meilleur des mondes

Sauf que la, si ça ce fait, cela ne concernera pas uniquement les conversations de groupes

 

[3roubi]

Ah, les backdoors!!!
Intel, depuis 2007, fournit ses chipsets avec le "management engine".
En bref c'est un ordinateur dans l'ordinateur, avec son propre CPU (architecture x86 depuis la version 11 du ME, ARC auparavant) et son propre OS (basé sur Minix sur v11+), qui permet des tas de choses intéressantes, comme le contrôle total d'un PC, même éteint (tant qu'il est branché électriquement si c'est un fixe, ou que la batterie est présente si c'est un portable), la visualisation de l'écran, l'enregistrement des frappes clavier, l'accès à la RAM, le flash du BIOS, (etc..), et tout cela indépendamment de l'OS, du moment que le PC est relié à Internet.
Si c'est justifiable dans le cas d'un parc de PC professionnels (les technos AMT et AntiTheft s'appuient sur le ME par exemple), ça l'est beaucoup moins pour le PC des particuliers, surtout que le ME n'est pas (officiellement) désactivable.
Certains pensent même que c'est à la demande des services secrets US qu'Intel à mis en place le ME.

AMD n'est pas en reste avec une technologie équivalente, appelée PSP (Platform Security Processor).

Pour couronner le tout, plusieurs failles de sécurité ont été découvertes dans le ME (et de nouvelles le sont régulièrement), ce qui rend potentiellement vulnérable tout PC avec CPU Intel, quel que soit votre OS. D'où le gros problème avec Spectre et Meltdown en 2018.

Intel fournit des correctifs, mais les fabricants de carte-mères ne sortent pas toujours de mise à jour de BIOS, surtout sur les cartes-mères un peu anciennes, et de toute manière rares sont les utilisateurs à mettre à jour leur BIOS et encore moins leur ME.

 

[GPA2SOU]

Ah, les backdoors!!!
Intel, depuis 2007, fournit ses chipsets avec le "management engine".
En bref c'est un ordinateur dans l'ordinateur, avec son propre CPU (architecture x86 depuis la version 11 du ME, ARC auparavant) et son propre OS (basé sur Minix sur v11+), qui permet des tas de choses intéressantes, comme le contrôle total d'un PC, même éteint (tant qu'il est branché électriquement si c'est un fixe, ou que la batterie est présente si c'est un portable), la visualisation de l'écran, l'enregistrement des frappes clavier, l'accès à la RAM, le flash du BIOS, (etc..), et tout cela indépendamment de l'OS, du moment que le PC est relié à Internet.
Si c'est justifiable dans le cas d'un parc de PC professionnels (les technos AMT et AntiTheft s'appuient sur le ME par exemple), ça l'est beaucoup moins pour le PC des particuliers, surtout que le ME n'est pas (officiellement) désactivable.
Certains pensent même que c'est à la demande des services secrets US qu'Intel à mis en place le ME.

AMD n'est pas en reste avec une technologie équivalente, appelée PSP (Platform Security Processor).

Pour couronner le tout, plusieurs failles de sécurité ont été découvertes dans le ME (et de nouvelles le sont régulièrement), ce qui rend potentiellement vulnérable tout PC avec CPU Intel, quel que soit votre OS. D'où le gros problème avec Spectre et Meltdown en 2018.

Intel fournit des correctifs, mais les fabricants de carte-mères ne sortent pas toujours de mise à jour de BIOS, surtout sur les cartes-mères un peu anciennes, et de toute manière rares sont les utilisateurs à mettre à jour leur BIOS et encore moins leur ME.

C'est triste à lire mais malheureusement vrai

Après pour ceux ou celles qui en ont les capacités, rien de mieux que de monter sa machine soit même

Bien sur de ce renseigner au préalable sur tout les composants etc que tu viens de citer et même aller chercher encore plus loin

Après j'ai pour habitude de dire que chaque problème à sa solution

Comme d'habitude une phrase qui revient souvent que ce soit dans le monde réel ou sur internet et qui est, si une personne ne fait "rien de mal", alors pourquoi ce soucier de tout ça, pourquoi vouloir ce cacher etc ?! bref toi même tu sais

Sinon le mieux également et je dirais en fonctions des activités reste de posséder 2 machines minimum

Merci à toi de ta participation et bonne journée

PS: Désolé de ma réponse tardive, mais je viens de la voir que mnts

 

[SIGURD]

C'est triste à lire mais malheureusement vrai

Après pour ceux ou celles qui en ont les capacités, rien de mieux que de monter sa machine soit même

Bien sur de ce renseigner au préalable sur tout les composants etc que tu viens de citer et même aller chercher encore plus loin

Après j'ai pour habitude de dire que chaque problème à sa solution

Comme d'habitude une phrase qui revient souvent que ce soit dans le monde réel ou sur internet et qui est, si une personne ne fait "rien de mal", alors pourquoi ce soucier de tout ça, pourquoi vouloir ce cacher etc ?! bref toi même tu sais

Sinon le mieux également et je dirais en fonctions des activités reste de posséder 2 machines minimum

Merci à toi de ta participation et bonne journée

PS: Désolé de ma réponse tardive, mais je viens de la voir que mnts

Il est chaud @3roubi

 

[GPA2SOU]

Il est chaud @3roubi

En effet il es caler dans le domaine

Sinon tu parles de @3roubi ou @Alkhanafous ou les deux en 1 ?

Car,

Tu peux nous dire maintenant que toi et @3roubi êtes une seule et même personne.

 

[origami]

En effet il es caler dans le domaine

Sinon tu parles de @3roubi ou @Alkhanafous ou les deux en 1 ?

Car,

Hashtag #Jesuis3roubi

 

[GPA2SOU]

Hashtag #Jesuis3roubi

Hashtag Tu le suis comment, #En voiture, à pied ou en vélo ?

 

[GPA2SOU]

Ah, les backdoors!!!
Intel, depuis 2007, fournit ses chipsets avec le "management engine".
En bref c'est un ordinateur dans l'ordinateur, avec son propre CPU (architecture x86 depuis la version 11 du ME, ARC auparavant) et son propre OS (basé sur Minix sur v11+), qui permet des tas de choses intéressantes, comme le contrôle total d'un PC, même éteint (tant qu'il est branché électriquement si c'est un fixe, ou que la batterie est présente si c'est un portable), la visualisation de l'écran, l'enregistrement des frappes clavier, l'accès à la RAM, le flash du BIOS, (etc..), et tout cela indépendamment de l'OS, du moment que le PC est relié à Internet.
Si c'est justifiable dans le cas d'un parc de PC professionnels (les technos AMT et AntiTheft s'appuient sur le ME par exemple), ça l'est beaucoup moins pour le PC des particuliers, surtout que le ME n'est pas (officiellement) désactivable.
Certains pensent même que c'est à la demande des services secrets US qu'Intel à mis en place le ME.

AMD n'est pas en reste avec une technologie équivalente, appelée PSP (Platform Security Processor).

Pour couronner le tout, plusieurs failles de sécurité ont été découvertes dans le ME (et de nouvelles le sont régulièrement), ce qui rend potentiellement vulnérable tout PC avec CPU Intel, quel que soit votre OS. D'où le gros problème avec Spectre et Meltdown en 2018.

Intel fournit des correctifs, mais les fabricants de carte-mères ne sortent pas toujours de mise à jour de BIOS, surtout sur les cartes-mères un peu anciennes, et de toute manière rares sont les utilisateurs à mettre à jour leur BIOS et encore moins leur ME.

Officiellement oui mais officieusement ?

Sinon, La source du cc, Hardware ?

Sinon, pour les passionnées, les intéressées par le sujet

Quelques liens https://www.zdnet.com/article/intel-warns-of-critical-security-flaw-in-csme-engine/

Station-Drivers - Verifier votre vulnerabilité (CPUs intel)

Articles

www.station-drivers.com

Sinon @3roubi La probabilité qu'il y ait un petit cadeau dans cet outil https://downloadcenter.intel.com/download/28632/Intel-CSME-Detection-Tool

Existe ou pas du tout ?
La probabilité qu'il y ait un petit cadeau dans cet outil

 

[3roubi]

La probabilité qu'il y ait un petit cadeau dans cet outil https://downloadcenter.intel.com/download/28632/Intel-CSME-Detection-Tool

Je ne connais pas donc, aucune idée. Désolé.

Sinon, La source du cc, Hardware ?

Yes.

Et pour rassurer @Zaheer73 , nous sommes bien, bibi et si @GPA2SOU , deux personnes distinctes.

 

[3roubi]

Il est chaud @3roubi

Tu sais, ça ne sort pas de ma tête tout seul. Je m'informe, j'apprends, j'essaie de retenir et j'applique. That's all.

 

[SIGURD]

Tu sais, ça ne sort pas de ma tête tout seul. Je m'informe, j'apprends, j'essaie de retenir et j'applique. That's all.

Tu t informés comment ?

 

[GPA2SOU]

Je ne connais pas donc, aucune idée. Désolé.


Yes.

Et pour rassurer @Zaheer73 , nous sommes bien, bibi et si @GPA2SOU , deux personnes distinctes.

En tout cas la prudence, la prudence est de mise avant de télécharger quoi que ce soit

Je me disais bien que cela venais de hardware et tout cas merci pour ta franchise

 

[GPA2SOU]

Tu sais, ça ne sort pas de ma tête tout seul. Je m'informe, j'apprends, j'essaie de retenir et j'applique. That's all.

The same for me

 

[GPA2SOU]

Tu t informés comment ?

Via internet "peut être"

 

[SIGURD]

Via internet "peut être"

Parfois tu as des sites sérieux qui regroupe ce genre d informations

 

[GPA2SOU]

Parfois tu as des sites sérieux qui regroupe ce genre d informations

C'est vrai, mais les sites ils émanent d’où ?

D'internet non ?

 

[origami]

Tu sais, ça ne sort pas de ma tête tout seul. Je m'informe, j'apprends, j'essaie de retenir et j'applique. That's all.

The same for me

C’est ce qu’il faut faire ^^
Grave à ça j’ai pu préparer une certification très rapidement ^^

 

[SIGURD]

C'est vrai, mais les sites ils émanent d’où ?

D'internet non ?

Je sais sa vient d internet
Je voulais qu on me propose des sites
Flemme de chercher tous seul

 

[GPA2SOU]

C’est ce qu’il faut faire ^^
Grave à ça j’ai pu préparer une certification très rapidement ^^

Ah te voila toi (lol)

Tes contribution dans le domaine me manquent

Sinon @Kuzan il es vraiment très calé aussi d'après ce que dit @farid_h sur un ancien topic

 

[SIGURD]

Ah te voila toi (lol)

Tes contribution dans le domaine me manquent

Sinon @Kuzan il es vraiment très calé aussi d'après ce que dit @farid_h sur un ancien topic

Sa dépend en quoi te calé
Sécurité
Réseau
Developper
Logiciel

 

[GPA2SOU]

Je sais sa vient d internet
Je voulais qu on me propose des sites
Flemme de chercher tous seul

Mais la frère nous sommes sur Bladi de plus tu veux des sites pour faire ou apprendre à faire quoi au juste ?

@origami s'il te plait dis lui qu'ici il y a que des gentils dans le domaine JPP 2 vous (lol)

 

[SIGURD]

Mais la frère nous sommes sur Bladi de plus tu veux des sites pour faire ou apprendre à faire quoi au juste ?

@origami s'il te plait dis lui qu'ici il y a que des gentils dans le domaine JPP 2 vous (lol)

Sa fait 5 ans que j ai pas touché un pc de façon sérieuse
Du coup il me faut remette dans le bain
Des sites sur la vieille technologique
Des trucs sur le réseau et la sécurité

Des trucs gentils histoire de ce chauffer

Sinon développement sa change pas
Algorithme je gère et le codage j ai des sites

 

[GPA2SOU]

Sa dépend en quoi te calé
Sécurité
Réseau
Developper
Logiciel

On va pas trop raconter ici en plus je connais quasi rien dans le domaine

Sinon pour en revenir à ce que tu viens de dire, des personnes peuvent être très calé dans un domaine bien spécifique mais il peuvent aussi en connaitre d'autres et les maitriser + au - voila pourquoi comme le mentionne @3roubi c'est important de chercher afin de ce cultiver chaque jour un peu plus car l'informatique ça évolue vraiment très vite

En ce qui concerne la sécurité et surtout pour les personnes possédant des sites internet je dirais que c'est la base de chercher quotidiennement comment faire pour amélioré la séc

Sa fait 5 ans que j ai pas touché un pc de façon sérieuse
Du coup il me faut remette dans le bain
Des sites sur la vieille technologique
Des trucs sur le réseau et la sécurité

Des trucs gentils histoire de ce chauffer

Sinon développement sa change pas
Algorithme je gère et le codage j ai des sites

Tu as une BM ?

 

[SIGURD]

On va pas trop raconter ici en plus je connais quasi rien dans le domaine

Sinon pour en revenir à ce que tu viens de dire, des personnes peuvent être très calé dans un domaine bien spécifique mais il peuvent aussi en connaitre d'autres et les maitriser + au - voila pourquoi comme le mentionne @3roubi c'est important de chercher afin de ce cultiver chaque jour un peu plus car l'informatique ça évolue vraiment très vite

En ce qui concerne la sécurité et surtout pour les personnes possédant des sites internet je dirais que c'est la base de chercher quotidiennement comment faire pour amélioré la séc


Tu as une BM ?

Non une Mercedes
Lol

 

[GPA2SOU]

Sa fait 5 ans que j ai pas touché un pc de façon sérieuse
Du coup il me faut remette dans le bain
Des sites sur la vieille technologique
Des trucs sur le réseau et la sécurité

Des trucs gentils histoire de ce chauffer

Sinon développement sa change pas
Algorithme je gère et le codage j ai des sites

Tu aimerais avoir un condensé de tout ça ?

Jre plus tard, le biz m’appelle

 

[GPA2SOU]

Non une Mercedes
Lol

En plus j'avais pas fini d'écrire le texte donc pour finir, ceux qui possèdent un ou des sites devrais automatiquement ce soucier de la sécurité de ceux ci ils devrais le faire quasi quotidiennement (tester la sécurité) de leur sites pire pour les personnes possédant un ou des sites de vente en ligne

Mais la base enfin je trouve le minimum syndical c'est qu'avant de mettre un site en ligne sa sécurité devrais être testé

Sinon, ta BM roule bien, elle monte à combien ?

 

[SIGURD]

En plus j'avais pas fini d'écrire le texte donc pour finir, ceux qui possèdent un ou des sites devrais automatiquement ce soucier de la sécurité de ceux ci ils devrais le faire quasi quotidiennement (tester la sécurité) de leur sites pire pour les personnes possédant un ou des sites de vente en ligne

Mais la base enfin je trouve le minimum syndical c'est qu'avant de mettre un site en ligne sa sécurité devrais être testé

Sinon, ta BM roule bien, elle monte à combien ?

Ta des personnes que tu payes pour cela
La sécurité de ton site

Non moi c est à titre informatif

 

[origami]

Je sais sa vient d internet
Je voulais qu on me propose des sites
Flemme de chercher tous seul

Cybrary.
Après si tu veux faire de la pratique. Je te conseille les formations de alphorm pour débuter. Mais c’est payant (ou pas )

 

[origami]

Ah te voila toi (lol)

Tes contribution dans le domaine me manquent

Sinon @Kuzan il es vraiment très calé aussi d'après ce que dit @farid_h sur un ancien topic

Pas mal de boulot en ce moment mais je continue.
J’ai préparé une certification en 5 jours récemment avec un score d’obtention de 91 %

 

[SIGURD]

Cybrary.
Après si tu veux faire de la pratique. Je te conseille les formations de alphorm pour débuter. Mais c’est payant (ou pas )

Merci
Te un tueur

 

[SIGURD]

Pas mal de boulot en ce moment mais je continue.
J’ai préparé une certification en 5 jours récemment avec un score d’obtention de 91 %

Regarde la pièce jointe 231619

Tu m as donné envie de lire et apprendre

Merci
Continuez comme ça
De partager vos motivations et conseils

Sa change des prise de bec futils

 

[origami]

Merci
Te un tueur

Après en anglais tu as aussi securitytube.

tu as les megaprimers qui sont intéressant

 

[GPA2SOU]

Sa fait 5 ans que j ai pas touché un pc de façon sérieuse
Du coup il me faut remette dans le bain
Des sites sur la vieille technologique
Des trucs sur le réseau et la sécurité

Des trucs gentils histoire de ce chauffer

Sinon développement sa change pas
Algorithme je gère et le codage j ai des sites

Salam et désolé de mes réponses tardives

D'une j'avais du djob de deux cela ma permis de faire une petite cure de bladi

Je ne sais pas si tu maitrise l'anglais donc je vais partager un site que personnellement je trouve correct et qui regroupe plusieurs domaine

Dis merci à @origami car son partage ma donner envi de partager (mais pas trop) également

Comme j'ai déjà mentionner ici trop d'impolitesse, d'ingratitude lors de partage et ça me freine énormément

Bref voici pour toi https://www.my-mooc.com/fr/categorie/cybersecurite

Je ne connais pas ton niveau ni tes compétences et cela ne me regarde pas et d'ailleurs sur internet c'est pas trop bon de relater ses compétences dans le domaine de l'informatique bref je pense que @origami comprend ce que je veux dire

Pour en revenir au mooc, si ta aucune compétences ou très peu je te conseille de commencer par se former à la sécurité informatique

Sinon cela va de soit qu'il existe une multitudes de sites que ce soit payants, gratuits que ce soit en uk ou fr

Un petit conseil pour les sites payants, attention au scam exemple prix trop bas (pour ne citer que ça)

C'est vraiment dommage l'ingratitude et l'impolitesse wallah car ça limite énormément les partages me concernant bref c'est la vie et nous ne pourrons pas changer les gens

Bonne journée à toi, bonne formation et progression dans tout les domaines que tu décideras d'apprendre

 

[SIGURD]

Salam et désolé de mes réponses tardives

D'une j'avais du djob de deux cela ma permis de faire une petite cure de bladi

Je ne sais pas si tu maitrise l'anglais donc je vais partager un site que personnellement je trouve correct et qui regroupe plusieurs domaine

Dis merci à @origami car son partage ma donner envi de partager (mais pas trop) également

Comme j'ai déjà mentionner ici trop d'impolitesse, d'ingratitude lors de partage et ça me freine énormément

Bref voici pour toi https://www.my-mooc.com/fr/categorie/cybersecurite

Je ne connais pas ton niveau ni tes compétences et cela ne me regarde pas et d'ailleurs sur internet c'est pas trop bon de relater ses compétences dans le domaine de l'informatique bref je pense que @origami comprend ce que je veux dire

Pour en revenir au mooc, si ta aucune compétences ou très peu je te conseille de commencer par se former à la sécurité informatique

Sinon cela va de soit qu'il existe une multitudes de sites que ce soit payants, gratuits que ce soit en uk ou fr

Un petit conseil pour les sites payants, attention au scam exemple prix trop bas (pour ne citer que ça)

C'est vraiment dommage l'ingratitude et l'impolitesse wallah car ça limite énormément les partages me concernant bref c'est la vie et nous ne pourrons pas changer les gens

Bonne journée à toi, bonne formation et progression dans tout les domaines que tu décideras d'apprendre

Merci à toi
Et le remerciement est quelque chose de normal
Bref je comprends ton point de vue