Picocrypt est un logiciel de cryptage simple, sécurisé et gratuit qui utilise le chiffrement XChaCha20 et la fonction de dérivation de clé Argon2id pour protéger vos fichiers avec une facilité déconcertante. Il se démarque de ses concurrents tels que VeraCrypt, 7-Zip, BitLocker et Cryptomator par sa légèreté et sa portabilité, tout en offrant une interface intuitive même pour les débutants.

Dans une lettre ouverte publiée jeudi, plusieurs centaines de spécialistes de la sécurité et de la cryptographie contestent un texte bientôt soumis au vote au Parlement européen, parce qu’il impose aux navigateurs Web d’utiliser certains certificats de sécurité sélectionnés par les Etats membres.

Si le texte est adopté, les états pourront faire du MITM et nous pister sans qu'on y voie goutte 😡. Ouuuuuhhhhhh la belle faille de sécurité...

Picocrypt est très léger puisqu'il pèse seulement 3 Mo et il n'a pas besoin d'être installé : c'est une application portable qui présente l'avantage de ne pas demander les droits administrateur ! Pour autant, il ne néglige pas la sécurité puisqu'il s'appuie sur des algorithmes robustes et fiables :

• Algorithme de chiffrement XChaCha20
• Fonction de dérivation de clé Argon2

Au-delà des avantages qui viennent d'être cités, ce qui plait énormément, c'est sa facilité d'utilisation !

Il ne lui manque qu'une chose : un audit du code, mais c'est planifié comme le montre le tableau comparatif ci-dessus (dernière ligne). Mais bon, comme il est open source, rien ne vous empêche de jeter un coup d'œil à son code source.

Même s'il est comparé à BitLocker dans le tableau ci-dessus, à mon sens BitLocker et Picocrypt sont destinés à des usages différents : BitLocker pour chiffrer un volume complet (celui de Windows, par exemple) et Picocrypt pour chiffrer une arborescence ou un espace de stockage type "Drive".

Le chiffrement de disque LUKS de Linux utilise une fonction de dérivation de clé. Mais si cela fait un moment que vous l'avez mis en place, il utilise peut-être une fonction de dérivation trop ancienne (pas résistante aux attaques récentes) ou encore avec pas assez d'étapes de dérivation, ce qui risque de la rendre plus facilement cassable.
L'article donne les commandes pour vérifier et mettre à jour les entêtes LUKS.

Je n'avais jamais vraiment testé le chiffrement de clés USB sous Linux avec LUKS, mais ça marche très bien et c'est vraiment très simple d'utilisation.

• Formattage de la clé : Il suffit de cocher la case "LUKS" et d'entrer un mot de passe.
• Utilisation: Vous branchez la clé, il vous demande automatiquement le mot de passe.

On ne peut pas faire plus simple.
Vous pouvez même optionnellement demander à Linux de mémoriser la clé. Ainsi lors des branchements suivants vous n'aurez même plus à entrer le mot de passe. Vous branchez juste la clé et l'utilisez, avec la tranquillité d'esprit de savoir que personne ne pourra vous piquer les données si la clé est volée.
L'avantage aussi est que le chiffrement est solide, et ne dépend pas d'une solution foireuse inventée par les fabricants de clés (qui se trouvent généralement être bourrées de failles de sécurité, ou nécessiter un logiciel à la con).
Là, vous pouvez chiffrer absolument n'importe quelle clé USB ou disque externe, même si le fabricant n'a rien prévu.

Mais bien entendu, cela ne fonctionne que sous Linux.
(Si vous voulez un chiffrement compatible Linux et Windows, prenez VeraCrypt (https://veracrypt.fr/).

Phase 1 : « Mais vous êtes parano, qu'est-ce que ça peut bien faire que Google ou Facebook collecte des données sur moi ? Je n'ai rien à cacher, je ne fais rien d'illégale. »
Phase 2 : Des états rendent l'avortement illégal.
Phase 3 : Les états exigent des GAFAM les données qu'ils ont collectées. Les GAFAM collaborent pour respecter la loi.
Phase 4 : Les états poursuivent les gens en justice à partir de ces données.

Le plus triste dans l'histoire, c'est que même des pharmacies partagent des données avec Google et Facebook, données qui ont donc pu ensuite être utilisées contre les personnes. Ah oui, les états ont également utilisé les messages échangés en privé dans Facebook comme preuves (HINT HINT UTILISEZ DES MESSAGERIES CHIFFRÉES DE BOUT EN BOUT !)
Si une femme en salle d'attente d'une clinique d'avortement a sorti son téléphone pour jouer à un jeu, cela suffit pour la poursuivre en justice puisque par défaut Google (et beaucoup de développeurs d'applications) collectent les positions GPS des appareils. Google a donc dans ses bases de données la date, l'heure et l'adresse exacte de la clinique d'avortement qu'a fréquentée cette femme.

Voilà, vous ne pourrez pas dire qu'on ne vous avait pas prévenu. 🤷‍♂️
Aucune collecte de données n'est sans conséquences, même celles qui vous paraissent anodines.

Un outil de chiffrement simple d’utilisation, sécurisé avec des clés « explicites » et sans configuration.

L’affaire est renvoyée à la cour d’appel de Douai qui refuse, en 2021, de suivre cette jurisprudence et confirme la décision de relaxe. Après un pourvoi du parquet général, c’est en assemblée plénière que la Cour de cassation a réexaminé cette question le 14 octobre. La haute juridiction a considéré que, dès lors qu’un téléphone portable était équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil pouvait constituer une « clé de déchiffrement » si « l’activation de ce code a[vait] pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès », selon le communiqué de la Cour de cassation.

Son détenteur est donc tenu de donner aux enquêteurs le code de déverrouillage. En cas de refus, le suspect commet l’infraction de « refus de remettre une convention secrète de déchiffrement ».

L'application de messagerie vient d'embaucher Meredith Whittaker. Elle a pour mission ni plus ni moins de convaincre les utilisateurs de payer pour continuer à utiliser cette application pour l'heure gratuite.

Merde :-(

Le micropoint est une technique stéganographique apparue pendant la guerre franco-allemande de 1870 et utilisée pendant les deux guerres mondiales pour transmettre des textes ou des photographies. Ainsi, un texte pouvait avoir la taille d'un point typographique comme le point d'un i minuscule.

Petit résumé (avec exemples) d'outils de cassage de chiffrement d'archives (zip, 7z, rar...)

[...] pendant de longues années ils [Microsoft] ont fourni à l'Europe une version d'Internet Explorer avec une crypto complètement affaiblie, afin que les européens aient un chiffrement faible. Les américains, eux, avec une version d'IE avec une crypto forte.

Elcomsoft est un spécialiste des solutions de déchiffrement. Leur constat ? VeraCrypt est beaucoup plus difficile à attaquer que BitLocker, LUKS ou FileVault2.
Le seul moyen d'attaquer VeraCrypt, c'est d'essayer de mettre la main sur les clés de chiffrement en mémoire pendant qu'une partition VeraCrypt est montée. Et même cette opération a été rendue plus compliquée par les développeurs de VeraCrypt avec un système de chiffrement de la RAM.