Re: [Toulibre] Signal est vulnérable?
Bonjour tous, Je rappelle que j'y connais rien, mais si on a accès à tout le téléphone, on peu supposer qu'au moins un mot de passe quelconque est accessible, et si la personne utilise le même mot de passe dans toutes ses applis, c'est gagné. Çà vous semble une explication ? Le lun. 4 mai 2020 à 21:45, Augustin via Toulouse-ll < toulouse-ll@toulibre.org> a écrit : > Salut, > > Perso je n'ai jamais utilisé Signal mais à priori le code est ouvert et > le chiffrement de bout en bout (source : > https://fr.wikipedia.org/wiki/Signal_(application)). > > A priori les clefs pour déchiffrer les messages sont donc sur les > terminaux des utilisateurs et sont protégées par le mot de passe de > l'utilisateur, et les messages chiffrés également. > > Donc si tu récupères les messages et la clef chiffrée comme c'est le cas > dans ton exemple, tu peux faire une attaque par force brute ou via une > méthode plus subtile pour obtenir la clef. J'imagine que s'ils y sont > arrivés rapidement c'est que le mot de passe présentait des faiblesses. > > Rien ne permet de dire que c'est inhérent à Signal, tout repose de toute > façon sur le mot de passe, et si celui-ci est faible ... > > Donc à priori à propos de "Signal est vulnérable quand le contenu du > téléphone est dumpé" : ça aide d'avoir tout sous la main pour chercher à > casser le mot de passe, et si tu y arrives, tu peux déchiffrer tous les > messages en ta possession, donc les données sont plus vulnérables, mais > ce n'est à priori pas à cause du code source de Signal. > > Après je n'ai pas de compétences en cryptographie et je ne connais pas > Signal, super si d'autres participants à cette liste ont autre chose à > apporter à l'échange :) > > Bonne soirée, > > Augustin > > On 04/05/2020 17:05, Mathias via Toulouse-ll wrote: > > Le 04/05/2020, Mathias a écrit : > >> Ici il y a des gens qui sauront mieux. À votre avis Signal est > >> vulnérable quand le contenu du téléphone est dumpé? > >> > > NB: > > > > C'est ce passage qui me donne cette impression. Signal stocke les > > messages en clair sur le téléphone? > > > > La messagerie Signal, une application qui permet de crypter les > > communications, est verrouillée par un mot de passe sur le > > téléphone d’une mise en examen ? L’appareil — ainsi que six clefs > > USB et un ordinateur portable — est envoyé au Centre technique > > d’assistance (CTA), un organisme interministériel spécialisé dans > > le déchiffrage des données numériques. Les juges d’instruction y > > ont souvent recours pour les affaires de stupéfiants. Ses outils > > techniques et ses moyens sont couverts par le secret défense. Le > > CTA réussit à craquer le mot de passe de la militante et renvoie > > quelque 800 messages « mis au clair » aux enquêteurs. Ils sont > > aussitôt versés au dossier d’instruction. > > ___ > > Toulouse-ll mailing list > > Toulouse-ll@toulibre.org > > http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll > ___ > Toulouse-ll mailing list > Toulouse-ll@toulibre.org > http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll ___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
Re: [Toulibre] Signal est vulnérable?
Salut, Perso je n'ai jamais utilisé Signal mais à priori le code est ouvert et le chiffrement de bout en bout (source : https://fr.wikipedia.org/wiki/Signal_(application)). A priori les clefs pour déchiffrer les messages sont donc sur les terminaux des utilisateurs et sont protégées par le mot de passe de l'utilisateur, et les messages chiffrés également. Donc si tu récupères les messages et la clef chiffrée comme c'est le cas dans ton exemple, tu peux faire une attaque par force brute ou via une méthode plus subtile pour obtenir la clef. J'imagine que s'ils y sont arrivés rapidement c'est que le mot de passe présentait des faiblesses. Rien ne permet de dire que c'est inhérent à Signal, tout repose de toute façon sur le mot de passe, et si celui-ci est faible ... Donc à priori à propos de "Signal est vulnérable quand le contenu du téléphone est dumpé" : ça aide d'avoir tout sous la main pour chercher à casser le mot de passe, et si tu y arrives, tu peux déchiffrer tous les messages en ta possession, donc les données sont plus vulnérables, mais ce n'est à priori pas à cause du code source de Signal. Après je n'ai pas de compétences en cryptographie et je ne connais pas Signal, super si d'autres participants à cette liste ont autre chose à apporter à l'échange :) Bonne soirée, Augustin On 04/05/2020 17:05, Mathias via Toulouse-ll wrote: > Le 04/05/2020, Mathias a écrit : >> Ici il y a des gens qui sauront mieux. À votre avis Signal est >> vulnérable quand le contenu du téléphone est dumpé? >> > NB: > > C'est ce passage qui me donne cette impression. Signal stocke les > messages en clair sur le téléphone? > > La messagerie Signal, une application qui permet de crypter les > communications, est verrouillée par un mot de passe sur le > téléphone d’une mise en examen ? L’appareil — ainsi que six clefs > USB et un ordinateur portable — est envoyé au Centre technique > d’assistance (CTA), un organisme interministériel spécialisé dans > le déchiffrage des données numériques. Les juges d’instruction y > ont souvent recours pour les affaires de stupéfiants. Ses outils > techniques et ses moyens sont couverts par le secret défense. Le > CTA réussit à craquer le mot de passe de la militante et renvoie > quelque 800 messages « mis au clair » aux enquêteurs. Ils sont > aussitôt versés au dossier d’instruction. > ___ > Toulouse-ll mailing list > Toulouse-ll@toulibre.org > http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll ___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
Re: [Toulibre] Signal est vulnérable?
Le 04/05/2020, Mathias a écrit : > Ici il y a des gens qui sauront mieux. À votre avis Signal est > vulnérable quand le contenu du téléphone est dumpé? > NB: C'est ce passage qui me donne cette impression. Signal stocke les messages en clair sur le téléphone? La messagerie Signal, une application qui permet de crypter les communications, est verrouillée par un mot de passe sur le téléphone d’une mise en examen ? L’appareil — ainsi que six clefs USB et un ordinateur portable — est envoyé au Centre technique d’assistance (CTA), un organisme interministériel spécialisé dans le déchiffrage des données numériques. Les juges d’instruction y ont souvent recours pour les affaires de stupéfiants. Ses outils techniques et ses moyens sont couverts par le secret défense. Le CTA réussit à craquer le mot de passe de la militante et renvoie quelque 800 messages « mis au clair » aux enquêteurs. Ils sont aussitôt versés au dossier d’instruction. ___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
Re: [Toulibre] Signal est vulnérable?
Dans la deuxième partie de leur dossier, "L’État a dépensé un million d’euros contre les antinucléaires de Bure", https://reporterre.net/2-3-L-Etat-a-depense-un-million-d-euros-contre-les-antinucleaires-de-Bure ils donnent un lien vers la table des tarifs officiels pour les écoutes de Légifrance: https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=0BD2E5169568F66510DBD19313B3B5FF.tplgfr43s_2?idArticle=LEGIARTI41553495=LEGITEXT06071154=id= J'ai été surpris par cette table, je croyais qu'avec l'état d'urgence les polices pouvait avoir ces données gratuitement, et en fait ça doit rapporter pas mal aux opérateurs vu certains tarifs. Pour le MT40, "Détail des trafics écoulés dans un relais téléphonique (cellule) sur une période de 4 heures au cours des douze derniers mois." le tarif de 8,50 euros est donné pour une durée de 4h. (D'ailleurs j'ai été surpris par le prix relativement bas, je suppose que les IMSI-catcher doivent avoir un intérêt supplémentaire, parce que sinon ça doit être long à amortir comme appareil.) Par contre, il ne précise pas la durée pour l'interception des communications de téléphonie mobile (MI20 et MI27), pour "Mise en suivi du trafic" MS14 MS16 MS20 et "Interception du trafic DATA/IP émis et à destination de l'accès internet" (WI 01). Le tarif reste le même quelle que soit la durée? ___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
[Toulibre] Signal est vulnérable?
Dans cet article ils expliquent qu'une militante s'est faite casser son mot de passe Signal, ils disent pas comment. Mais ils avaient son téléphone sous la main, donc ils ont du dumper le contenu. J'imagine que c'était une attaque par dictionnaire et un mot de passe faible, mais ça fait douter. https://reporterre.net/1-3-La-justice-a-massivement-surveille-les-militants-antinucleaires-de-Bure Ici il y a des gens qui sauront mieux. À votre avis Signal est vulnérable quand le contenu du téléphone est dumpé? ___ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll