BLOG D’ENCROCHAT

Anglais Néerlandais Français Allemand Russe Espagnol turc

Initialement Publié: 28 Mars, 2016

Addendum: Mars 31, 2016

Mise à jour pour le faux billet de blog (la réponse initiale commence au début du sujet ci-dessous) :

On va faire ça sous forme de liste pour ne pas donner à ce faux "chercheur en sécurité" plus d'importance que nécessaire.

  • Ne pas vous identifier vous-même ou votre entreprise en raison de conflits internes est une excuse boiteuse. Il y a beaucoup de chercheurs et de consultants en sécurité crédibles et tous assument ce qu'ils écrivent. Écrire de manière anonyme vous donne zéro crédibilité.
  • Juste parce que vous tapez le mot VRAI, sans aucune explication quant à pourquoi c'est VRAI, Nous avons expliqué que chacun de vos points absurdes est FAUX, vous allez encore perdre toute crédibilité.
  • Encore une fois, vous dites que votre explication de Cellebrite est vraie même si c'est certainement faux. Expliquez à un utilisateur final comment il peut contacter une organisation qui ne discutera publiquement ses conclusions avec personne, surtout des personnes imaginaires comme vous dont les seuls écrits se composent d'articles attaquant EncroChat.
  • En fait, nous ne sommes pas détenus par une entreprise au Canada. Et ça n'a aucune importance puisque nous n'avons rien contre les Canadiens. On a rencontré face à face nos revendeurs et bon nombre de nos abonnés. Clairement, vous n'avez rien à offrir sauf une désinformation complète à notre sujet.
  • Oh et j'aime mon blog surtout parce qu'il contient des faits techniques réels, et non pas des mensonges et des absurdités. Vous voulez croire que le monde est plat. Je préfère croire que 1+1 = "2" et non "à peu près" comme vous.
  • J'aime votre commentaire qui dit que la preuve n'est pas importante. Wow, vraiment ? Donc, il ne s'agit pas de prouver votre point de vue, mais juste calomnier sans aucun fait établi ? Vous dites que vous protégez les utilisateurs avec votre expertise technique. Nous pensons en toute honnêteté que vous ne possédez pas cette expertise, enchaîner les termes techniques ne compte pas.
  • Comme évidemment cet article tourmente simplement les gens et nous sommes contraints de réagir puisque vous étalez votre bêtise par le biais de messages PGP aux abonnés, nous avons cette proposition : Nous vous rencontrerons à un endroit désigné où vous démontrerez votre "preuve". Nous savons que vous ne le ferez pas parce qu'il n'y en a aucune. Mais bon, vous pouvez répondre maintenant tout ce que vous voulez, vous avez n'avez pas de crédibilité. Au moins ce que nous écrivons, nous l'assumons, c'est pourquoi nous publions sur notre site d'entreprise (pas sur un blog anonyme). Oh et puisque nous existons réellement, nous allons sortir et rencontrer quelqu'un pour discuter de notre produit. Nous ne nous cachons pas.
  • Dernier mot : On ne prend pas votre blog au sérieux. Vous passez à côté de l’essentiel : Nous ne rions pas avec, mais DE vous. Voyez si vous pouvez comprendre la différence.

Sujet: La saga continue Partie II intitulée : mensonges, mensonges, mensonges et utilisation de faux blogs pour calomnier.

Des utilisateurs m'ont envoyé aujourd'hui un lien vers un blog jetable où un utilisateur avec un faux compte a posté des articles calomnieux sur EncroChat. Normalement, je ne ferais qu'en rire. Je veux dire qu'Internet est un endroit où n'importe qui peut écrire n'importe quoi. Par exemple, quand un rappeur a dit que la terre était plate, c'est devenu une actualité nationale et ça a créé un grand débat. Alors on va répondre pour rassurer tout le monde que tout va bien à EncroChat.

En tout cas, je m'égare. Penchons-nous sur ce premier article de blog disant qu'il y a des preuves que nous travaillons avec la NSA et d'autres autorités. Tout d'abord, c'est bien que quelqu'un apprenne assez bien Photoshop pour faire une image de l’un de nos appareils près du logo de la NSA. Bien fait. Nous sommes effrayés. L'article de blog est censé être une sorte de lanceur d'alerte et que EncroChat est la propriété de "Super Lock Tight". Um, C'est qui exactement ? Apparemment un des plus importants fournisseurs de PGP au Canada et ils ont travaillé avec la NSA et le FBI en raison des bons de souscription émis. Vraiment, pour une si grande entreprise, on ne sait même pas qui est Super Tight Lock. Il continue en disant qu'un gars nommé Jeff possède EncroChat et permet aux autorités d'accéder aux serveurs. Hein ? Jamais entendu parler de lui non plus. Oh et que les autorités étaient en mesure de tirer des clés PGP privées et des messages stockés des comptes OTR, bla bla.. Eh bien tout d'abord, nous n'avons pas de clés PGP privées sur nos serveurs pour notre application PGP transitoire. La clé PGP publique/privée est générée à l'aide de notre client PGP sur l'appareil EncroChat de l'abonné et la clé privée ne quitte JAMAIS l'appareil. Nous n'utilisons pas le protocole OTR pour démarrer. Les revendeurs PGP qui sont nos concurrents ne cessent de répéter ça. Donc une fois pour toutes les gars, nous ne l'utilisons pas. Nous utilisons un dérivé d’OTR (nous aimons le concept d’OTR, mais on a plusieurs problèmes avec le protocole spécifique, donc nous l'avons grandement amélioré). En outre, en utilisant EncroChat, nos abonnés négocient leurs propres clés directement entre eux et ces clés changent constamment à chaque message.

Donc en examinant le reste de cet article, je suis étonné de l'absence totale de vérité. Commençons par l'angle Super Tight Lock à nouveau. EncroChat n'a aucun noyau PGP. Nous avons commencé en tant qu'EncroChat, non en tant que Super Lock Tight (on ne peut trouver personne qui sache qui est cette société). Le fait que les revendeurs PGP nous bloquent à cause de cela, est amusant. La seule raison pour laquelle nous sommes bloqués par les revendeurs PGP et leur groupe de domaines est d'ordre financier. Ils perdent beaucoup trop de clients pour notre plateforme EncroChat, il a été prouvé que leur plateforme est non sécurisée et exposée par des journalistes et techniciens de médias reconnus (rapporté sans notre aide, je pourrais ajouter).

L'article de blog brouille les pistes en essayant de comparer le double OS d'EncroChat au double profile de Blackphone, donc les deux sont semblables et c'est pourquoi nous sommes sensibles aux logiciels malveillants et aux keyloggers. L'article de blog déclare qu'EncroChat est fautif en opérant deux systèmes d'exploitation ! Wow. Eh bien tout d'abord, ce sont deux systèmes d'exploitation distincts, ce qui signifie que l'un ne voit pas l'autre ou sait même qu'il existe (la même chose qu'avoir deux appareils physiques). Une infection de l’OS Android standard n'infecte pas le système d'exploitation sécurisé d’EncroChat. Elles sont deux plateformes différentes, c'est pourquoi il faut redémarrer pour accéder à l'un ou l'autre. Comparer ceci au changement de profil est tout simplement ridicule. Un principe totalement différent. Oh, et si ce "chercheur en sécurité" avait pris la peine d'examiner le système d'exploitation Android standard que nous fournissons, il verrait qu'il est lui-même sécurisé.

Puis cet article suggère que le Wi-Fi aurait une porte dérobée et que la CIA, en utilisant FinFisher, pourrait accéder à l'appareil et envoyer des captures d'écran. Comment ? Quelle absurdité rocambolesque. Je vais poster un article séparé sur la comparaison entre le Wi-Fi et le réseau cellulaire (SIM) expliquant que, tandis que les WI-FI et le cellulaire sont tous les deux des environnements hostiles, le Wi-Fi est effectivement préférable. FinFisher n’est pas un programme Wi-Fi et la CIA ne peut pas simplement accéder à votre téléphone à travers le WI-FI. C'est de la pure invention.

Ensuite, l'article prétend avoir testé EncroChat avec leur propre équipe médico-légale, que EncroChat ne peut pas garantir ses prétentions de sécurité, et que Cellebrite a fait des observations sur EncroChat et a admis l'avoir piraté. Ouais, encore plus d'inventions pures et simples. Tout ce que j'ai à dire est : il faut soit apporter des preuves, soit se taire. Il est pathétique de répandre les mensonges et la désinformation. Si vous avez eu quoi que ce soit, vous l'auriez prouvé. Inventer des citations et des mensonges est une saloperie. Il faut grandir. Je suppose que vous pensez vraiment que les abonnés vont avaler toutes les absurdités que vous inventez. Pourquoi ne pas nous dire que la terre est plate pendant que vous y êtes ?

Suivant:

Deuxième article de blog du même faux compte indiquant un faible cryptage PGP et une absence de sécurité.

Comme ma réponse devient longue, on va essayer de résumer. Je vais juste répondre à chaque fausse déclaration dans le blog en termes simples puisqu'il essaie de brouiller les utilisateurs avec du jargon technique (Hé, beaucoup de termes techniques, ça doit être vrai...)

  1. Nous divulguons l'adresse IP privée chaque fois que vous envoyez un email PGP pour que votre appareil puisse être pisté. Les adresses IP privées sont non routables sur Internet. Elles sont conçus pour que les réseaux privés puissent utiliser des blocs d'adresses IP qui ne peuvent pas être routés sur l'Internet public (c.-à-d. pisté). C'est la définition même d'une adresse IP privée. Il y a littéralement des dizaines de millions d'ordinateurs utilisant le même espace d'adresses IP privées. FAUX
  2. Nous sommes vulnérables au bogue Heartbleed. Cela est dit de telle façon qu'un utilisateur peut faire une recherche Google et trouver qu'une telle chose existe. Nous ne sommes pas vulnérables à ce bogue. FAUX
  3. Nous utilisons des certificats auto-signés. C'est vrai à 100 %. Un remède de charlatan ? Vraiment ? Si l'article de blog prétend qu'il est préférable d'aller chez une autorité de certification (CA) et obtenir un certificat. Ces mêmes autorités sont soit subverties soit piratées par les agences gouvernementales pour obtenir un certificat par lequel elles peuvent pénétrer dans votre ordinateur, smartphone, etc. Nous n'acceptons AUCUNE autorité de certification sur notre plateforme, sauf la nôtre que nous plaçons sur toutes nos applications, donc personne ne peut se faire passer pour EncroChat ou pour l'une des 211+ autorités de certifications existantes. C'est vrai que nous utilisons des certificats auto-signés. L'argument est FAUX (et tout à fait ignorant en plus).
  4. Nous utilisons des faibles clés Diffie-Hellman (1024). Cela sonne bien puisque les utilisateurs ne savent même pas ce que c'est que Diffie-Hellman ? Ça sonne mal s'ils utilisent des clés 1024. L'échange de clés Diffie-Hellman établit un secret partagé entre deux parties qui peut être utilisé pour les communications secrètes et l'échange de données sur un réseau public. EncroChat utilise l'échange de clés Diffie-Hellman éphémère à courbes elliptiques 25519 (ECDHE) qui fournit à la fois la confidentialité persistante et future. L'allégation est de nouveau FAUX

Enfin, vous m'avez coûté un temps précieux aujourd'hui pour répondre à une absurdité totale. Petit conseil, celui qui écrit vos articles de blog est l'équivalent technique d’un imbécile.

GTranslate Your license is inactive or expired, please subscribe again!

Check-out BLOGUE pour les développements récents. Voir le Samsung Knox pirater la vidéo et la liste noire.

GTranslate Your license is inactive or expired, please subscribe again!