Frederic de Villamil


, , , , ,


Partagez sur Twitter Partagez sur Facebook Partagez sur Google Plus Partagez sur Linkedin Plus

trousseau

En ces temps d’espionnite aigüe, alors que le monde entier s’inquiète des agissements de la NSA mais court confier ses données sensibles à des entreprises américaines hébergées dans le cloud (donc aux États-Unis), le chiffrement des données est un problème de plus en plus critique, même si vous n’avez strictement rien à vous reprocher (pour l’instant).

Il y a une douzaine d’années, je commençais toutes mes introductions à la sécurité des systèmes d’information par la même phrase :

Ce n’est pas parce que vous n’êtes pas paranoïaque que cela signifie que tout le monde n’est pas contre vous.

Trousseau est un logiciel multi plate-formes développé en Go par mon camarade en subversion informatique Théo (suivez-le sur Twitter et sur Github, c’est un ordre), qui permet de partager des documents chiffrés à plusieurs. Trousseau se base sur GPG, un autre logiciel libre, et un standard en matière de chiffrement.

GPG est très bien, mais il souffre de deux handicaps : non solum il ne permet de chiffrer des documents que vers un seul destinataire, sed etiam il ne permet pas de gérer un ensemble de documents à un seul endroit.

Trousseau apporte une solution à ces deux problèmes problème en utilisant un container unique chiffré, et en le rendant accessible à plusieurs utilisateurs dès lors qu’ils disposent d’une clé GPG. Il est possible de rajouter ou de supprimer simplement des destinataires, et le trousseau peut ensuite être synchronisé via git (même un compte public Github fait l’affaire, jusqu’au jour où une des clés se fait compromettre bien profond).

Techniquement, les données sont stockées dans un fichier plat sous la forme d’un ensemble de paires clés / valeurs, qui, chiffré, aura l’apparence de n’importe quel message GPG, c’est à dire un bloc ASCII (mais rassurez-vous ça marche aussi l’été).

Mais passons à la pratique.

Pour utiliser Trousseau, il vous faut :

  • Une clé GPG, valide, et de préférence publiée sur un serveur de clés. Je vous laisse chercher sur Google pour les tutos.
  • La dernière version de Trousseau.
  • Des amis avec qui partager des trucs (mais c’est pas obligé, les sans amis fixes peuvent aussi partager des trucs avec eux-même).

Installer Trousseau est simple comme bonjour. Il suffit de télécharger la dernière release disponible sous forme de binaire pour Linux et Mac OS X. Pour ce qui est de la configuration, RTFM c’est pas bien dur.

On va ensuite créer un trousseau. Il vous faut d’abord récupérer la clé des destinataires, en l’occurrence Alice et Bob (oui, ceux de Crypto Appliquée).

$ gpg --recv-keys --keyserver pgp.mit.edu bob@mail.com alice@mail.com
$ trousseau create 042D9183,alice@mail.com,bob@mail.com

Vous êtes maintenant prêt à partager tous vos petits secrets honteux avec Alice et Bob. L’utilisation est über simple :

$ trousseau set 123 abc
key-value pair set: 123:abc
$ trousseau set web.browser.shameful.history --file /home/fred/.chrome/history.bin
[lot of useless output]

On peut donc chiffrer aussi bien des chaines de caractères que des fichiers.

Pour récupérer les infos :

$ trousseau get 123 
123 key's value: abc

Et puisque c’est un logiciel libre, rien ne vous empêche de contribuer, ou d’en auditer le code pour vous assurer que Théo n’a pas rajouté sa clé GPG dans les destinataires en mode ninja. Quant à moi, je vous laisse, il faut que j’aille chiffrer la sextape de ma voisine d’en face avant que ma femme ne tombe dessus.



Frederic de Villamil

. @rtaibah You already made the first steps to #indieweb setting up your domain and adding a page with you rel="me" links. The next step is finding a tool that suits your needs, for POSSEing, and there’s the wiki Project page for that. Try, play, and hack if you can to make your tool of choice feel like home....



Frederic de Villamil

Your idea is nothing if someone does not make it live. Every Sunday, a thread will be posted on Hackers News to share product ideas so people who have no time / skills to make them can see their problems solved by people who’re looking for a new project to start but have no exciting idea yet. Definitely worth...



Frederic de Villamil

. @pefavre Sales driven development is critical to a company growth, but is often misunderstood both by product team and sales people. Sales driven development should mean driving your company according to the sales metrics, what works and what does not, with a long term perspective. Unfortunately it’s very...



Frederic de Villamil

. @fredhermelin Chaque fois que j’entends “le XXX français” ou “l’alternative à YYY” j’ai envie d’éventrer des bébés loutres avec les dents. Le Snapshat français ? Ça sert à quoi de le mentionner ? À nous rassurer et nous dire qu’on est un pays encore capable...



Frederic de Villamil

If you plan to start a new project, make it something really new. If it’s tech related, start with a technology that is completely new to you (maybe a new programming language). If it’s mostly a human one (they all have a human side), start with a brand new team. If you’re used to working alone,...




, ,

Fermeture du Rayon UX suite à une décision judiciaire

J’ai 10 jours pour fermer ce blog et en transférer contenu et nom de domaine à l’armée soviétique sous peine d’une astreinte quotidienne de 100.000 Roubles. Ce sont 11 ans passés à écrire ici, dont 8 pour ce seul blog qui vont donc partir en fumée. Fin janvier, j’ai reçu une mise en demeure…