La Maison Blanche renonce au contournement du chiffrement

La Maison Blanche renonce au contournement du chiffrement

Juste après l'invalidation du Safe Harbor

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

12/10/2015 8 minutes
46

La Maison Blanche renonce au contournement du chiffrement

Le gouvernement américain ne demande finalement pas aux entreprises du pays de créer des portes dérobées et autres mécanismes de contournement pour le chiffrement. Une victoire pour les associations de défense de la vie privée, mais qui intervient également à une date commode.

Le chiffrement était l’objet de toutes les attentions depuis plus d’un an. Il est rapidement devenu un enjeu important après les révélations d’Edward Snowden, dont les documents dérobés à la NSA montraient comment l’agence de sécurité avait le pouvoir de s’infiltrer à peu près partout. Mais lorsque iOS 8 et Android 5.0 sont arrivés, le chiffrement s’est retrouvé activé par défaut sur un nombre croissant d’appareils.

Un chiffrement qui peut également servir aux criminels

Dès lors, une véritable guerre s’est ouverte entre les entreprises américaines d’un côté, largement touchées par une crise de confiance, et les autorités qui cherchaient à endiguer la montée en puissance de technologies qui les bloquaient dans certaines enquêtes (sans parler de la surveillance et de l’espionnage). James Comey, directeur du FBI, n’avait d’ailleurs pas caché ses craintes après les annonces d’Apple et Google : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ».

Car là était tout le problème selon lui : « Les deux entreprises sont conduites par des gens bien, répondant ainsi à ce qu’ils perçoivent comme une demande du marché. Mais ils nous emmènent dans un lieu dans lequel nous ne devrions pas aller sans une réflexion approfondie et un débat en tant que pays ». En clair, le chiffrement pouvait tout aussi bien être utilisé par des utilisateurs classiques que par des terroristes. Dès lors, comment les débusquer si de telles zones d’ombre devenaient courantes ? Une réflexion qu’on a retrouvée peu de temps après au Royaume-Uni, ainsi qu’en France, le procureur de Paris ayant remis en cause l’intérêt « marginal » du chiffrement face aux enquêtes bloquées.

Crise de confiance et tentatives de communication

Depuis environ un an qu’iOS 8 et Android 5.0 sont disponibles (et remplacés depuis par de nouvelles versions), le débat s’est axé outre-Atlantique sur un point bien précis : s’il faut laisser le chiffrement envahir peu à peu les produits électroniques de consommation de masse, ne faudrait-il pas prévoir un moyen de le contourner ? Portes dérobées, système de clés fractionnées et autres méthodes ont été abordés, soulevant une vague de scepticisme. Car les risques inhérents au chiffrement se retrouvent tels quels dans les moyens de le contourner : s’ils existent, ils peuvent alors être trouvés par d’autres. Dès lors, l’intérêt même du chiffrement est perdu puisque les utilisateurs savent déjà qu’une faille existe.

La pression était devenue particulièrement importante pour les grandes entreprises du cloud grand public, dont Apple, Google et Microsoft. La plupart ont communiqué sur le sujet, rejointes par d’autres telles que Dropbox. L’important était de montrer que même si des informations étaient transmises aux autorités, c’était presque à leur corps défendant. En réalité, ces informations étaient réclamées dans le cadre d’enquêtes et faisaient l’objet de demandes spécifiques de différentes lois s’appliquant dans ce domaine. Depuis environ 18 mois, la communication des sociétés touchées par la crise de confiance passe ainsi par la publication régulière de rapports de transparence, dans lesquelles elles indiquent par exemple le nombre de demandes faites (parfois une simple fourchette, telle qu’imposée par la loi), et surtout celui des requêtes acceptées.

La situation se détend subitement

Au Sénat pourtant, le contournement des mesures de chiffrement provoquait un large débat. Un sénateur en particulier, Ron Wyden, de l’Oregon était monté en créneau déjà en décembre de l’année dernière : « Un chiffrement fort et une solide défense informatique sont les meilleurs moyens de préserver les données des Américains des pirates et menaces étrangères. Ce sont les meilleurs moyens de protéger nos droits constitutionnels à une époque où la vie entière d’une personne peut être trouvée sur son smartphone » indiquait-il alors. Et le débat a fini par enfler au point que la Maison Blanche a fait machine arrière.

Le gouvernement américain a en effet décidé de ne plus chercher à contourner le chiffrement et ne réfléchit donc plus à une législation en ce sens. La conséquence la plus directe est que les technologies mises en place ou en passe de l’être vont rester telles quelles, sans doute au grand soulagement des entreprises.

Les forces de l'ordre devront continuer à travailler comme elles le faisaient

Mais le New York Times apporte des compléments intéressants sur la manière dont l’administration Obama envisage désormais la situation. Les forces de l’ordre et les agences de sécurité continueront ainsi de procéder comme elles le font depuis longtemps, à savoir par émission de demandes spécifiques d’informations, validées par des juges. L’équivalent des commissions rogatoires et des autorisations de recherche. Cependant, et c’est un point crucial, il ne sera plus demandé aux entreprises de chercher à exploiter d’éventuelles faiblesses dans leurs propres produits. Comprendre évidemment des portes dérobées.

Cette décision risque fort de provoquer l’indignation chez les forces de l’ordre, car la problématique des enquêtes bloquées n’était pas feinte. Des statistiques indiquaient déjà l’année dernière une hausse du nombre d’affaires non résolues à cause du chiffrement des appareils mobiles. Jeudi, le sénateur Chuck Grassley, directeur du comité judiciaire, critiquait ainsi ouvertement le gouvernement pour son absence de position ferme sur le chiffrement. Avec cette décision, seules les données stockées dans le cloud pourront être fournies aux forces de l’ordre, à moins qu’elles ne réussissent à se faire communiquer les codes PIN et les mots de passe par les prévenus.

Contrebalancer la perte du Safe Harbor ?

Le New York Times indique également que les entreprises ne sont pas pleinement satisfaites, les intérêts étant évidemment contraires. Elles aimeraient ainsi que le gouvernement communique très clairement sur la question, pour que la tâche d’huile soit visible depuis l’Europe et la Chine, quand plusieurs pays réfléchissent effectivement à bannir le chiffrement. Or, cette décision américaine intervient à un moment particulièrement bien choisi : l’invalidation du Safe Harbor par la CJUE, retirant aux États-Unis le statut de « zone de confiance » pour l’hébergement des données personnelles européennes.

Cette importante décision vient frapper de plein fouet les entreprises américaines, qui ont déjà du mal à faire comprendre aux clients qu’ils peuvent avoir confiance. Il n’y a aucun secret dans l’attitude d’un Apple qui cherche à montrer ses positions strictes sur la vie privée, ou dans celle d’un Microsoft qui se bat pour que des données stockées en Irlande ne soient pas transférées à un juge de New York, même dans le cadre d’une enquête criminelle. Il est possible que la Maison Blanche ait cherché à contrebalancer ce nouveau coup aux entreprises nationales par une position beaucoup plus souple sur le chiffrement.

Notez dans tous les cas que les documents dérobés par Edward Snowden ont donné un aperçu assez précis du type d’activité que mène la NSA (entre autres). Le fait que le gouvernement renonce à pousser une législation anti-chiffrement ne signifie en aucun cas que l’agence de sécurité renoncera par exemple à débusquer les failles en vue de les exploiter, voire à plonger dans les équipements réseaux en vue de les modifier avant leur expédition vers d’autres pays. Des révélations qui avaient déjà poussé l’Allemagne à ne plus importer les produits américains dans ce domaine.

46

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un chiffrement qui peut également servir aux criminels

Crise de confiance et tentatives de communication

La situation se détend subitement

Les forces de l'ordre devront continuer à travailler comme elles le faisaient

Contrebalancer la perte du Safe Harbor ?

Commentaires (46)


Loin de moi l’idée de crier au complot, mais ce genre de déclaration, n’a t elle pas déjà permis de s’assurer une forme de confiance tout en continuant à faire l’inverse de ce qui est déclaré?








Geologic a écrit :



Loin de moi l’idée de crier au complot, mais ce genre de déclaration, n’a t elle pas déjà permis de s’assurer une forme de confiance tout en continuant à faire l’inverse de ce qui est déclaré?







Oui, y’a des chances pour que blanchisse les entreprises, tout en ayant un gros trou pour la NSA



Mouais … comme si la NSA & co. n’avaient pas d’autres moyens d’avoir les info … <img data-src=" />








Vilainkrauko a écrit :



Mouais … comme si la NSA & co. n’avaient pas d’autres moyens d’avoir les info … <img data-src=" />







En même temps c’est leurs boulots <img data-src=" /> mais c’est pas une raison pour lire les emails de tout le monde.



En l’occurrence, je ne suis pas sûr qu’ils puissent. Tout dépend du chiffrement bien entendu, mais ça doit quand même leur mettre une bonne épine dans le pied.



Enfin bon, pour un pays qui échoue à réguler les armes sur son sol et qui enchaine les tueries domestiques, même quand ils disposaient des portes dérobées, ça ne va pas changer grand chose.



Plutôt que de vouloir augmenter le nombre de résolutions d’affaires en empiétant sur la vie privée, ils feraient mieux de prendre des mesures pour diminuer le nombre d’affaires…








thorspark a écrit :



Enfin bon, pour un pays qui échoue à réguler les armes sur son sol et qui enchaine les tueries domestiques, même quand ils disposaient des portes dérobées, ça ne va pas changer grand chose.





argument fallacieux… tout le monde sait que c’est à cause des jeux vidéos <img data-src=" />



“Il n’y a aucun secret dans l’attitude d’un Apple qui cherche à montrer ses positions strictes sur la vie privée”



Facebook aussi a une position stricte sur la vie privée: “qui n’en veut de la vie privé de mes utilisateurs? c’est pas cher ! vendons les tous !” <img data-src=" />


Et ça fait monter les profits de la vente d’armes et de cercueils, on est un bon patriote au service du PIB de son pays ou on ne l’est pas <img data-src=" />


C’est rigolo d’entendre à la radio/télé que la chine peut pirater nos routeurs, alors que le plus grand danger vient des US


C’est le chiffrage qui empêche de résoudre des enquêtes?

&nbsp;Comment les condés faisaient pour résoudre ces affaires avant les smartphones?

&nbsp;Surement qu’ils prenaient leurs chaussures pour aller sur le terrain, just sayin…&nbsp;


Ce sont des gentils, et les gentils ils ont le droit d’utiliser les armes qu’ils veulent si c’est pour le bien, même si ça se résume à raser 2 villes ou violer l’intimité de tout le monde.








la.maman.de.stifler a écrit :



C’est le chiffrage qui empêche de résoudre des enquêtes?



&nbsp;Comment les condés faisaient pour résoudre ces affaires avant les smartphones?       

&nbsp;Surement qu'ils prenaient leurs chaussures pour aller sur le terrain, just sayin...&nbsp;







Les chaussures des gendarmes elles sont mieux sous le sapin que sur le terrain. On aurait évité un bon nombre de fois dans le passé la détérioriation de preuves sur le lieu de l’incident. cf: KarlZero









CryoGen a écrit :



En même temps c’est leurs boulots <img data-src=" /> mais c’est pas une raison pour lire les emails de tout le monde.





et si ils en ont la possibilité ce serait quoi la raison de ne pas le faire ? <img data-src=" />



l’ordinateur quantique de la nsa dois être bientôt prés alors!








freefree33 a écrit :



l’ordinateur quantique de la nsa dois être bientôt prés alors!





Moi, j’ai un ordinateur qu’en tiques









picatrix a écrit :



et si ils en ont la possibilité ce serait quoi la raison de ne pas le faire ? <img data-src=" />





J’ai la possibilité de lire tous les courriels de mes clients, ce n’est pas pour çà que je le fais <img data-src=" />

Confiance, loi, respect toussa…

Je sais bien qu’on parle de la NSA mais théoriquement (oui je sais <img data-src=" />) les lois çà vaut pour tout le monde.









la.maman.de.stifler a écrit :



C’est le chiffrage qui empêche de résoudre des enquêtes?

&nbsp;Comment les condés faisaient pour résoudre ces affaires avant les smartphones?

&nbsp;Surement qu’ils prenaient leurs chaussures pour aller sur le terrain, just sayin…&nbsp;





Une époque avec moins de criminalité, plus de moyen et pas des odres du genre faites du chiffre en centre ville avec le bon citoyen qui dira rien et intervenir au minimum là ou il y en aurai besoin…









la.maman.de.stifler a écrit :



C’est le chiffrage qui empêche de résoudre des enquêtes?

&nbsp;Comment les condés faisaient pour résoudre ces affaires avant les smartphones?

&nbsp;Surement qu’ils prenaient leurs chaussures pour aller sur le terrain, just sayin…&nbsp;



&nbsp;

Et comment faisaient les argousins pour arrêter les criminels avant l’invention de l’arme à feu ?&nbsp;Ils y allaient avec des sabres et des épées, just sayin…



Les moyens des criminels évoluent en permanence, les moyens des policiers&nbsp;doivent évoluer en même temps s’ils veulent avoir une chance de les arrêter… Si on adoptait ta logique les policiers seraient encore avec des bâtons, des pierres&nbsp;et des signaux de fumée pendant que les criminels ont des kalachnikov et des téléphones portables…



Donc oui, le chiffrage empêche de résoudre des enquêtes, tout comme les voitures qui font du 250 km/h empêchent d’arrêter ceux qui font des go fast si tu donnes pas aux policiers des véhicules capables de se déplacer aussi rapidement.









Pr. Thibault a écrit :



Donc oui, le chiffrage empêche de résoudre des enquêtes, tout comme les voitures qui font du 250 km/h empêchent d’arrêter ceux qui font des go fast si tu donnes pas aux policiers des véhicules capables de se déplacer aussi rapidement.







Non. Les voitures bridées à 250, ca fait juste rigoler.









Pr. Thibault a écrit :



&nbsp;

Et comment faisaient les argousins pour arrêter les criminels avant l’invention de l’arme à feu ?&nbsp;Ils y allaient avec des sabres et des épées, just sayin…



Les moyens des criminels évoluent en permanence, les moyens des policiers&nbsp;doivent évoluer en même temps s’ils veulent avoir une chance de les arrêter… Si on adoptait ta logique les policiers seraient encore avec des bâtons, des pierres&nbsp;et des signaux de fumée pendant que les criminels ont des kalachnikov et des téléphones portables…



Donc oui, le chiffrage empêche de résoudre des enquêtes, tout comme les voitures qui font du 250 km/h empêchent d’arrêter ceux qui font des go fast si tu donnes pas aux policiers des véhicules capables de se déplacer aussi rapidement.





pour arrêter les gofast, le meilleur moyen c’est encore l’interception à un point d’arrêt (péage, destination), pas une course poursuite sur l’autoroute. par contre faut des armes, mais une 106 suffit.









WereWindle a écrit :



argument fallacieux… tout le monde sait que c’est à cause des jeux vidéos <img data-src=" />







Plus précisément Activision (probablement une branche de l’Etat islamique ! (question de contexte hein !? Il y a 70 ans, j’aurais parlé du régime nazi)) ! <img data-src=" />



Pour en revenir au sujet, ce n’est ni plus ni moins qu’une réponse officielle. Dans les coulisses, ils doivent bien se marrer.









pentest a écrit :



Moi, j’ai un ordinateur qu’en tiques





Déjà que les consoles sont pucées…



Bah la solution est simple pour Obama, que les données soient envoyés à la NSA/FBI avant de les chiffrer sur le téléphone. Comme ça hop, données chiffrés sur le tel + données sauvegardés en sécurité sur les serveurs des Agences, pas de soucis.








hellmut a écrit :



pour arrêter les gofast, le meilleur moyen c’est encore l’interception à un point d’arrêt (péage, destination), pas une course poursuite sur l’autoroute. par contre faut des armes, mais une 106 suffit.







Sans avoir complètement tort, il est vrai que calmer vite fait l’individu en le rattrapant avant qu’il ne fasse un accident en faisant des victimes autour de lui peut aussi être une bonne idée non ?









CryoGen a écrit :



Sans avoir complètement tort, il est vrai que calmer vite fait l’individu en le rattrapant avant qu’il ne fasse un accident en faisant des victimes autour de lui peut aussi être une bonne idée non ?





ben justement non. le meilleur moyen d’éviter un accident, c’est bien de pas lancer une course poursuite avec les flics&nbsp;à 250 sur l’autoroute, parce que c’est là que les mecs tentent le tout pour le tout.









hellmut a écrit :



ben justement non. le meilleur moyen d’éviter un accident, c’est bien de pas lancer une course poursuite avec les flics à 250 sur l’autoroute, parce que c’est là que les mecs tentent le tout pour le tout.







Ca me fait penser à un cas particulier de ce genre survenu il y a qq années. Un motard s’était lancé à la poursuite d’un type comme ca, sauf que le motard s’est planté, et est mort sur le coup.

Ben le chauffard a été poursuivi pour avoir tué le motard.









Pr. Thibault a écrit :



Donc oui, le chiffrage empêche de résoudre des enquêtes, tout comme les voitures qui font du 250 km/h empêchent d’arrêter ceux qui font des go fast si tu donnes pas aux policiers des véhicules capables de se déplacer aussi rapidement.





S’il suffit de lire ou d’écrire sur le terrorisme pour en être un, alors je vais aller lire la Bible et écrire sur Dieu <img data-src=" />









eliumnick a écrit :



Ca me fait penser à un cas particulier de ce genre survenu il y a qq années. Un motard s’était lancé à la poursuite d’un type comme ca, sauf que le motard s’est planté, et est mort sur le coup.

Ben le chauffard a été poursuivi pour avoir tué le motard.



ça m’étonnerait que le type ai été jugé coupable.

(A ce que je sache on n’est pas responsable de la conduite des gens derrière nous.)



de toute manière c’est juste une question de ratio bénéfices/risques, et les bénéfices d’une bonne crypto sont infiniment plus élevés que les risques.








MuadJC a écrit :



ça m’étonnerait que le type ai été jugé coupable.

(A ce que je sache on n’est pas responsable de la conduite des gens derrière nous.)







Et bah si. Quand tu commets une infraction, et que les FDO te pourchassent, tu es responsable de leur capacité à te poursuivre sans se blesser.



merci pour l’info, je savais pas.<img data-src=" />


Euh, le mec a 250 n’est surement pas un pilote et surtout c’est un irresponsable. Mais les courses poursuites ca reste très rare : en général tu vois une bagnole de flic : tu lèves le pied direct…

Si le mec ce lance dans une course poursuite, la police peut aussi abandonner et t’attendre plus loin effectivement mais laisser faire est grave.








eliumnick a écrit :



Et bah si. Quand tu commets une infraction, et que les FDO te pourchassent, tu es responsable de leur capacité à te poursuivre sans se blesser.





raison de plus pour tout faire pour pas te faire chopper <img data-src=" />









eliumnick a écrit :



Ca me fait penser à un cas particulier de ce genre survenu il y a qq années. Un motard s’était lancé à la poursuite d’un type comme ca, sauf que le motard s’est planté, et est mort sur le coup.

Ben le chauffard a été poursuivi pour avoir tué le motard.





Et le platane ? il s’en est tiré ?

&nbsp;

#sauvonslaplanète



Euh LOL ! Et niveau course poursuite y en a eu une y a quelques mois chez moi, assez drôle de voir un mec prendre un dos d’âne avec seulement les gentes arrières qui font des étincelles, 10 voitures de flics derrière et dont une qui s’est paumé <img data-src=" /> (ils ont pris la mauvaise direction)








WereWindle a écrit :



raison de plus pour tout faire pour pas te faire chopper <img data-src=" />







Malheureusement oui <img data-src=" />









athlon64 a écrit :



Euh LOL ! Et niveau course poursuite y en a eu une y a quelques mois chez moi, assez drôle de voir un mec prendre un dos d’âne avec seulement les gentes arrières qui font des étincelles, 10 voitures de flics derrière et dont une qui s’est paumé <img data-src=" /> (ils ont pris la mauvaise direction)







Nan mais ce que je veux dire c’est que si les flics ont un accident lors de la poursuite, ca sera toi le responsable.



j’avais compris <img data-src=" />



Mais bon, ca me fait un peu sourire








athlon64 a écrit :



j’avais compris <img data-src=" />



Mais bon, ca me fait un peu sourire







Moué :x Moi je trouve ca triste qu’on pousse les flics à risquer leur vie pour un salaire de merde, qu’on leur bourre le crâne comme quoi leur taff est un devoir et un honneur, et qu’ils doivent être prêt à risquer leur vie.



Ca me rappelle vraiment l’épisode 9 de la 2eme saison de Rick & Morty : les riches font la fête pendant que les pauvres s’entretuent <img data-src=" />



&nbsp;La preuve que les stazuniens sont des gentils !

On peut donc refaire un safe harbor, pendant les 30 prochaines années <img data-src=" />

C’est quand même facile la diplomatie <img data-src=" />


D’où tous ces bugs…


Me fais pas dire ce que je n’ai pas dit. Je me réjouis pas de la mort de flics (ce sont juste les chiens d’attaque de l’État et comme souvent le problème c’est le maître pas le chien,et je n’ai pas confiance dans le.mettre donc pas de confiance dans le chien), juste que je trouve ça fort de tout mettre sur le criminel, alors que c’est un métier à risque flic et ca ils le savent des le départ.








athlon64 a écrit :



Me fais pas dire ce que je n’ai pas dit. Je me réjouis pas de la mort de flics (ce sont juste les chiens d’attaque de l’État et comme souvent le problème c’est le maître pas le chien,et je n’ai pas confiance dans le.mettre donc pas de confiance dans le chien), juste que je trouve ça fort de tout mettre sur le criminel, alors que c’est un métier à risque flic et ca ils le savent des le départ.







Euh ? Comment t’as fait pour croire que je sous entendais que tu te réjouissais de leur mort ??? T’avais encore pris trop de drogue ? ^^









eliumnick a écrit :



Et bah si. Quand tu commets une infraction, et que les FDO te pourchassent, tu es responsable de leur capacité à te poursuivre sans se blesser.



Mouais, si sa bécane est en panne et qu’il te course en vélo sur l’autoroute tu es donc responsable…

Si c’est vrai c’est juste une loi des plus débiles.



&nbsp;je pense (enfin j’espère) que le juge sera conscient du fait que courser un mec à vélo sur l’autoroute c’est stupide et dangereux en soi.

sinon faut interner le juge également. ^^


comment aucune idée, mais j’ai eu l’impression (a tort <img data-src=" />) que c’était implicitement ca <img data-src=" />



<img data-src=" />