pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

L'ADN n'est pas une preuve formelle - seconde partie

Mardi 18 aout 2009

Vous vous souvenez de mon article "L'ADN n'est pas une preuve formelle" ?

C'est encore plus vrai aujourd'hui, avec ce chercheur qui montre comment fabriquer des échantillons ADN. Vous avez bien lu.

La première méthode consiste à prélever un peu d'ADN à quelqu'un (par exemple un cheveu), puis utiliser les méthodes d'amplification génomiques pour le multiplier. Il n'y a plus ensuite qu'à saupoudrer la scène de crime avec l'ADN amplifié. Et voilà votre ADN partout sur la scène de crime.

Autre méthode: Se constituer une petite bibliothèque des séquences utilisées pour l'identification ADN. Quand on veut correspondre au profil d'une personne, il suffit de mélanger les bons éléments de cette bibliothèque dans les bonnes proportions afin que les 13 marqueurs utilisés pour les identifications ADN ressortent avec les mêmes proportions. Gagné.

Il faut à tout prix que l'on cesse de faire une confiance aveugle en la technologie lors des procès, surtout que l'ADN est encore trop considéré comme la preuve ultime... et certains scientifique ne supportent pas d'admettre leurs erreurs.


Mise à jour 23 août 2009: Il semblerait que des scientifiques aient trouvé le moyen de vérifier l'authenticité des échantillons ADN. Mais est-ce fiable ?

Mise à jour 17 septembre 2009: Un article édifiant sur l'excellent site BugBrother.

Il y a trop de logiciels de protection bidons

Mardi 18 aout 2009

C'est incroyable le nombre de logiciels qui existe pour "protéger un dossier par mot de passe". Ce qui est incroyable aussi, c'est la proportion de ces logiciels qui sont totalement bidons et qui n'offrent aucune sécurité réelle.

Je ne perds généralement pas de temps à démontrer qu'ils ne valent rien, mais de temps en temps ça me toque, comme par exemple récemment My Lockbox que je viens de démonter sur CCM.

Qu'est ce qui ne va pas avec ces logiciels ?

  • La plupart ne font que masquer les dossiers, les déplacer, voire changer le nom des fichiers. Ce qui se contourne en deux minutes en démarrant simplement sur un CD Linux.
  • Seuls les logiciels qui chiffrent (encryptent) les fichiers peuvent prétendre offrir une certaine sécurité, et encore pas n'importe comment:

    • Certains utilisent des algorithmes de chiffrement bidons (non fiables, voir carrément amateur), ce qui permet parfois de récupérer les fichiers en analysant le programme.
    • D'autres utilisent des algos fiables (comme AES), mais utilisent de mauvaises méthodes de vérification du mot de passe, ce qui rend le mot de passe facile à deviner (genre: stockage de la MD5 du mot de passe).
    • Certains logiciels ont aussi besoin d'une action pour re-vérouiller le dossier: Donc même si l'ordinateur est verrouillé, il vous suffit de presser le bouton RESET pendant qu'un dossier "protégé" est ouvert, et vous pouvez accéder aux fichiers. Et en cas de plantage, vos fichiers restent en clair.

Bref... dans la grande majorité des cas, les logiciels sont bidons, et ils sont très loin d'offrir la sécurité qu'ils annoncent.

Après avoir pas mal cherché, je reste sur TrueCrypt: L'auteur est loin d'être un imbécile et a pris un soin particulier à différents détails, comme la méthode de vérification du mot de passe, les algos et le mode de chiffrement, ou encore le cas où la machine est redémarrée de force alors que le dossier n'est pas re-vérouillé.

Ne confiez pas la sécurité de vos fichiers à n'importe quel logiciel, et ne vous arrêtez pas à ce que prétend l'auteur du logiciel.


PS: Si TrueCrypt vous intéresse, j'ai fait un petit didactitiel en vidéo pour expliquer son utilisation.