La NSA espionne t'elle les mainteneurs de dépot?

EDIT ljf: Je me suis permis de couper la discussion qui était en train de dériver sur un autre sujet.

Presque. Ce sont des propos prononcé par un des porteurs de tails au cours d’une debian conf. Il doit trainer une vidéo du talk quelque part, mais ça remonte à vieux. Je recherche, et je te redis. Mais peut être que @dachary peut en causer. Vu que tails est|était usité également par des journalistes.

J’avoue mon ignorance sur le sujet. Mais étant donné que le web of trust de Debian GNU/Linux repose sur un protocole qui suppose la vérification de l’identité de la personne afin de s’assurer que le nom indiqué sur le courriel correspond, il ne peut pas être question d’anonymat dans ce contexte :slight_smile:

1 « J'aime »

Yalla! j’ai retrouvé la vidéo dans mon bordel.

https://laotzu.ftp.acc.umu.se/pub/debian-meetings/2015/mini-debconf-lyon/05_Contribuer_à_Tails_en_travaillant_sur_Debian_by_intrigeri.webm

Si vous avez la flemme ou si vous n’y comprenez rien, allez directement ici 29’00’’
Bien entendu, je vous invite à visionner l’ensemble de la video. N’oubliez pas non plus le contexte historique : quelques mois après les attentats de charlie, quelques mois avant la loi sur le renseignement numérique.

PS : une petite pensée pour le monsieur à droit avec le micro, décédé quelques temps après.

1 « J'aime »

Ce qui est dit dans la conf est un peu différent. La liste des personnes qui ont le droit d’upload des paquets dans Debian GNU/Linux est publique. Ces personnes sont donc des cibles identifiées pour quiconque voudrait abuser de ces droits à des fins malveillantes. Il ne dit pas que ces personnes sont surveillées mais qu’elles font évidement partie de la liste des personnes à surveiller.

Ta réflexion est très intéressante car je n’ai pas compris ça. Note que j’étais présent. Cela ne me donne pas plus de légitimité dans ce que je prétend être la bonne interprétation des échanges entre l’intervenant et le public. Mais je t’invite à faire une lecture in extenso et attentive de toute la vidéo.

1 « J'aime »

Ah, oui, il est possible que des choses aient aussi été dites en présence mais pas enregistrées. J’ai réécouté et transcrit le passage qui débute à la minute 29:20, c’est peut-être plus éclairant que mon interprétation ci dessus. J’avoue ne pas avoir écouté avec une totale attention l’intervention, tu penses qu’il y a un moment ou il est de nouveau question de ce sujet ?

Question: Est-ce que contribuer à Tails ou se retrouver dans cette communauté ne va pas nous faire se retrouver sur une liste d’une agence gouvernementale ou une autre ?
Réponse: Tu y es déjà. Tu as les droit d’upload dans Debian, et les personnes en question ont déjà tout à fait intérêt à être root sur ta machine. Si elle ne le sont pas encore.
Question: ça c’est pour la partie offensive mais …
Réponse: donc ça te monte un petit peu mais je pense … vous êtes sysadmin, vous êtes développeurs, vous avez les droit d’upload, vous êtes les trois de tout ça, vous êtes déjà sur la liste.
Question: ça c’est pour la partie outre atlantique, mais quand on voit le projet de loi renseignement qui se profile en France, est-ce qu’on ne va pas se retrouver hors la loi en essayant de garantir un minimum d’anonymat ?
(après ça la conversation dérive sur autre chose)

Ma réaction était plus vis à vis de ce que tu entendais par "Si vous êtes le mainteneur d’un dépot debian" => Les dépots ubuntu / linux mint / yunohost / sury / erlang … sont des repos debian (au sens où ils fournissent des .deb. Mais dans cette conf, ça parle de repo officiel de la distribution debian elle même (ce qui est différent).

Ceci dit, rien ne dit sur quoi se base la personne qui affirme que les personnes qui maintiennent officiellement debian sont sur surveillance. Probablement les révélations SNOWDEN ou une estimation de la probabilité de la chose.

Hors dans les faits, si on a un budget on va probablement préférer aller véroler des gestionnaires de paquet comme pip qui sont plus simple à infecter (car zéro contrôle en amont).

1 « J'aime »

Peut-on être plus clair? La bonne question à se poser est pourquoi une agence gouvernementale s’emmerderait à être root sur la machine d’un mainteneur Debian. Pas si elle est offensivement capable de le faire (cf «ce bon edgar»).

Oui, juste après. Je n’ai pas retranscrit. Mais ma lecture est la suivante.

Il faut se rappeler du contexte de 2015. Dans la discussion sur la loi sur le renseignement numérique, il n’a jamais été question de remettre en cause l’utilisation d’algorithme de chiffrement. Souvenez vous de l’usage décrié de Telegram à ce temps là.

Dans leur grande majorité, les principaux cipher que nous utilisons ont été développé ou soutenu par l’expertise de la nsa, google, amazon, microsoft, etc… Et visent en premier lieu à prévenir du piratage informatique des entreprises et des consommateurs. Le web of trust.

En France, l’usage de librairie implémentant un algorithme de chiffrement a été déclassifié «confidentiel défense» assez récemment (en 1997 par le ministre de l’éco de l’époque, il me semble) et ce pour permettre le développement de la nouvelle économie numérique en assurant la confiance (web of trust) du futur cyber-consommateur. Pas du cyber-citoyen dont personne n’en a rien à faire la plupart du temps. Notez que les mathématiques sur lesquelles reposent ces algorithmes sont parfaitement connues et publics. Seul l’usage releve de la prérogative de l’état à les autoriser en dehors de ses propres besoins.

La conséquence de cela est qu’une distribution comme tails ou que le réseau tor ne peuvent pas être interdit car cela releverait d’une «auto incrimination». En effet, rendre illégal l’usage de cette distribution ou le réseau tor nécessiterait de rendre illégal de facto tous ces cipher qui assurent de la confiance dans l’économie du numérique. Et encore, la loi ne fait que parler de l’action «défensive».

(Nous avons déjà eu une discussion autour de cette notion car elle est justement très encadrée.)

À l’instar du romain national Français «nos ancetres les gaulois», j’ai le sentiment parfois que collectivement les chatons se sont inventés un roman autour «vie privée et logiciel qui te libère». Et grosso-modo, c’est le même message que fait passer l’orateur au cours de ce talk. AMHA et sans aucune forme de cynisme.

1 « J'aime »

Pour moi web of trust fait référence à un trucs technique bien précis (une toile de confiance de personne qui s’entre signe) et qui n’est pas ce que tu décris (à moins de considérer x509 comme du web of trust ???).

Dans la vidéo dont tu parles à un moment Lunar dans le public évoque le principe d’auto-incrimination vis à vis du fait de devoir « donner les clés de chiffrements à la demande sans délais ». Mais bon j’en déduis pas les mêmes choses que toi.

Tu as raison de rappeler l’opposition entre ces deux principes d’établissement de la confiance. Pour autant, la notion de web of trust n’est pas copyrighté par openpgp. Du point de vue de l’utilisateur·trice final·e, son navigateur ne fait littéralement confiance au web que si le site visité dispose d’un certificat x509. (Encore que cela soit moins vrai aujourd’hui.)
Toutefois, tu remarqueras qu’il n’y a pas beaucoup de chatons qui n’utilisent pas par défaut let'encrypt. C’est quand même très paradoxal qu’un collectif revendique la décentralisation des internets tout en centralisant sa confiance, par facilité, dans une seule et unique autorité de certification.
Pour preuve, je n’ai pas vu beaucoup d’intérêt à la proposition faite par @FugazziPL dans ce topic https://forum.chatons.org/t/chatons-et-cacert/1171 .

Tu as raison, encore, mais partiellement, je pense.

Ce qui m’ennuie quand même, au final, c’est que tu n’as réagis qu’à un seul point de mon post. J’ai le sentiment que malgré ce cher edgar, et tous les autres, aucun enseignement n’en est resté.

TL;DR : cette discussion est un gaspillage de temps monumental. C’est pas le rôle des CHATONS que de repenser l’informatique pour qu’elle soit NSA-proof.


Je débarque sur ce topic car je lisais en diagonale le forum et franchement je désespère lorsque je tombe sur ce genre de discussion stérile full-chapeau-en-papier-d’allu. Quelle est son objectif ? Qu’est-ce qu’on essaye de faire ? Vers quoi on va ?

La base de la discussion semble se résumer à « un type a peut-être sous-entendu que la NSA s’intéresse à corrompre les dépôts Debian » … Ce qui n’est pas révolutionnaire lorsqu’on a vaguement étudié les révélations de Snowden. Un jour un mainteneur Debian a peut-être effectivement commandé une clef USB Bob l’éponge sur Amazon, l’a branché à sa machine, et depuis la NSA est root sur l’infra Debian. Mais donc. En supposant que effectivement certains dépôts Debian soient compromis, qu’est-ce que ça veut dire ? Et quel rapport avec les CHATONS ? Est-ce que ça veut dire qu’il faut utiliser autre chose que Debian ? Est-ce qu’on va tous se mettre à lire les sources de tous les programmes qu’on installe, et compiler en local avec Gentoo ? Ou bien : on peut aller aider les gens comment Lunar à taffer sur les builds reproductibles pour démontrer que les paquets qu’on télécharge sont les bons.

Pareil pour x509 et les certificats : est-ce que la NSA a un intérêt à compromettre x509 ? Oui. Est-ce qu’elle l’a déjà compromis ? Probablement. Et donc ? Quel rapport avec les CHATONS ? Pour remettre un peu de contexte à propos de Let’s Encrypt : ça date d’une époque où encore trop de site n’étaient même pas en HTTPS et où la grande majorité des solutions étaient payantes. Même si x509 est cassé, Let’s Encrypt est gratuit (à la fois financièrement et en temps de mise en place) et automatique, ce qui n’est pas le cas de CAcert, et est à minima mieux que d’être en HTTP non-chiffré (si si même chez les geeks y’en a encore des tonnes je te promet). Mais sinon, plutôt que de remettre à la charge de tous les sysadmin de la terre de ne pas utiliser Let’s Encrypt, on peut : aller râler sur Firefox pour que soit implémenter le support de DNSsec et DANE TLS.

Dans le même genre, on peut parler de Github (« utiliser Github cépobien » vs. « effectivement aller aider les gens de ForgeFed ») ou bien des spéculations sur les ciphers (« moi j’ai un pote qui a entendu dire que le cipher Toto était peut-être créé par la NSA, mais heureusement il m’a dit d’utiliser le cipher Tata »)

L’objectif des CHATONS n’est pas de travailler à redéfinir le modèle de menace et les bonnes pratiques de sécurité de tous les adminsys de la terre. L’objectif des CHATONS, à mon sens, c’est de fournir de développer des alternatives aux GAFAMs qui soient crédibles et où les gens ont le contròle de leurs données plutôt que de créer un maxi-monopole-cyberspatial. Est-ce que la NSA a vérolé l’informatique mondiale ? Sans doute en partie. Est-ce qu’il faudrait repenser de l’informatique pour qu’elle soit NSA-proof ? Oui. Mais c’est clairement complexe et juste hors-sujet. Si on fait pas confiance à Debian et à x509, alors en l’état on fait rien. Par contre y’a sans doute pleins d’autres projets qui tentent de répondre à ces problématiques et qui auraient besoin de ton aide. Ou alors : parlons vraiment sécurité et montons une vraie analyse avec des vrais modèles de menace et des vrais bonnes-pratiques concrètes à mettre en place dans la vraie vie.

En attendant, les vrais problèmes des CHATONS c’est : monter efficacement des infras qui tiennent la route, avoir des services qui marchent, sont pertinents pour les gens et qui sont maintenus dans le temps, que les gens savent facilment trouver (c.f. entraide.chatons…), s’organiser collectivement, et faire de la comm’, etc… Et dans ce genre de projet on voit régulièrement des gens venir expliquer « comment il faudrait bien faire les choses », et souvent c’est étrangement pas les mêmes personnes qui font réellement les trucs ensuite…

1 « J'aime »

Le coup de la centralisation des autorités de certifications pour les certificats SSL est un problème épineux dont il est difficile de se défaire et j’avais déjà lu un article sur le sujet sur le blog d’Aeris qui résume bien le truc autour de ça.
Concernant le problème des logiciels, il y a des alternatives comme OpenBSD qui proposent un environnement plus sain et moins de failles et autres potentiels problèmes de sécurité, mais le niveau requis pour apprendre à le faire fonctionner n’est pas le même (même si ça passe encore sur certains aspects).

Mais, tu as raison sur plusieurs points et je trouve que ce message résume une partie de ce que je pense : on peut vouloir sauver le monde entier et défendre ses idéaux avec acharnement, on peut pas tout faire non plus

@Aleks : Et dans ce genre de projet on voit régulièrement des gens venir expliquer “comment il faudrait bien faire les choses”, et souvent c’est étrangement pas les mêmes personnes qui font réellement les trucs ensuite…

Oui et mille fois oui !