EDIT: article sur mon blog:
http://sebsauvage.net/rhaa/index.php?2011/12/19/11/57/18-tor-est-casse-vraiment
ça sent un peu le pâté, le prétendu "hack" de TOR par Eric Filiol. Je ne dis pas qu'il a n'a pas trouvé de faiblesses dans TOR, mais de là à dire qu'il est cassé, je doute fortement.
Il suppose que AES est toléré car les gouvernement savent le casser (Je cite: «Peut-on imaginer un seul instant que les États autoriseraient des technologies pareilles s’ils ne les contrôlaient pas d’une manière ou d’une autre ? ») Je dis: Bullshit. Les gouvernement ne contrôlent pas OpenPGP, gnupg ou TrueCrypt et n'ont aucun moyen de les casser facilement. Mais ils ne sont pas interdit.
« un système de chiffrement comme l’AES serait une violation directe des lois concernant le contrôle de l’export et de l’arrangement Wassenaar s’il n’existait pas un moyen de le contrôler. Cela les gens ne le savent pas.» Il a trop regardé "Complots" et "Die hard 4".
En plus, il n'a rien compris à l'arrangement de Wassenaar: Cet arrrangement interdit l'exportation des techniques de crypto fortes vers les états "ennemis". En aucun cas il n'interdit l'utilisation de crypto forte dans les pays ayant signé cet arrangement.
Et les gens LE SAVENT. Il n'y a pas d'arrangement secret, de complot interdisant ces technos. C'est de la mise en scène.
«Seule la stéganographie est vraiment incontrôlable»
Ah bon ? Il peut m'expliquer comment le gouvernement contrôle la version de TrueCrypt et GnuPG que j'utilise ? Bullshit.
«Pour ma part, je conseillerais plutôt de protéger des messages avec des technologies comme Perseus »
Comme par hasard, la techno qu'il conseille est celle développée dans son école supérieure. Quel hasard.
« Je préconiserais également de communiquer en 3G, ce que font certaines personnes en ce moment en Syrie.»
C'est sûr, la 3G c'est plus sûr. Il n'y a presque pas de contrôle sur la 3G. Juste des opérateurs GSM qui font du DPI à mort et du trafic-shaping. Et puis c'est pas comme si les GSM n'étaient pas de petits cafteurs et donnaient à tout moment leur numéro d'identification unique IMEI à toutes les bornes GSM aux alentours. C'est bien mieux pour l'anonymat. Les barons de la drogue qui se sont faits arrêter grâce au signal de leur GSM peuvent en témoigner.
«Mais la principale faiblesse [de TOR] est conceptuelle : utiliser de la cryptographie.»
Hein ?
«Quand vous chiffrez, vous envoyez du bruit. Cela se repère facilement. TOR est en quelque sorte un pot de miel de tous ceux qui ont quelque chose à cacher, à tort ou à raison.»
Vieux arguments. Au contraire, il FAUT tout chiffrer, justement pour noyer le poisson. Moins vous utilisez de crypto, plus elle est évidente quand elle est utilisée. De plus, utiliser de la crypto ne signifie par qu'il y a crime.
«Et de ce point de vue, seule la stéganographie (en partie Perseus aussi) est capable de le faire.»
Est-ce qu'il a seulement conscience que la bande passante permise par la stégano ne permet pas de surfer correctement ?
Est-ce qu'il a conscience que la stégano sans la crypto, ça ne vaut absolument rien ? Même si vous mélangez votre message dans des communications plus larges, si votre message est en clair, vous êtes foutu.
«À ce jour, « aucun universitaire pointu » n’est capable de prouver la sécurité de RSA ou de l’AES»
Oups... oulà. Non non non. Le domaine de la crypto ne marche pas comme ça. Personne n'a à prouver que ces algos sont "forts". Au contraire, tant que personne n'a prouvé qu'ils sont faibles, ils sont parfaitement viables. A moins qu'il pense prouver qu'il peut résoudre un problème mathématique majeur (factorisation de grands nombres).
«RSA ou de l’AES,deux « productions « typiquement universitaires,»
Pardon ? L'algo RSA est à la base d'une grosse entreprise qui fait un fric monstre avec. Quant à AES, ça a été validé par des corps de standardisation industriels et gouvernementaux. Typiquement universitaire ? Il a une seule idée du nombre d'applications commerciales, techniques et industrielles sur la planète qui utilisent RSA et AES ? Ce ne sont pas juste des joujoux d'universitaires.
«Une belle vision de bisounours concernant un domaine dans lequel on sait que les choses pertinentes et efficaces sont très rarement publiées, intérêt stratégique oblige.»
...ou commenter pisser à la raie de tous les spécialistes en crypto du monde. Message: Votre travail, vos publications, c'est de la merde.
«Maintenant, pour un autre darknet, ... »
Tiens je croyais que tu venais de dire que les "darknet", c'était nul ?
«...je pense que notre projet à base de stéganographie, avec l’université de Cambridge devrait être aussi une solution intéressante»
ça y est, t'as fini de faire la promo de ton projet ?
C'est assez incroyable d'entendre quelqu'un censé avoir de grandes connaissances en crypto sortir des trucs pareils.
Mon avis ? Son attaque contre TOR est sans doute réelle, mais à mon avis loin d'avoir les impacts qu'il annonce. Le gars est surtout là pour faire du buzz sur lui et son projet en attaquant TOR.