États-Unis : des sénateurs tentent de protéger le chiffrement contre les portes dérobées

États-Unis : des sénateurs tentent de protéger le chiffrement contre les portes dérobées

Et ce n'est pas suffisant

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

10/02/2016 7 minutes
20

États-Unis : des sénateurs tentent de protéger le chiffrement contre les portes dérobées

Aux États-Unis, deux sénateurs proposent un nouveau projet de loi pour protéger le chiffrement. Un mouvement qui permettrait de court-circuiter au niveau fédéral les tentatives actuelles de limiter le chiffrement dans certains États, notamment celui de New York et en Californie.

Mi-janvier, l’État de New York a proposé d’interdire la vente d’appareils mobile dont le chiffrement serait trop fort pour être contourné par qui que ce soit. Une semaine plus tard, une proposition équivalente apparaissait en Californie, avec les mêmes ambitions. Dans les deux cas, les textes insistaient sur l’obligation de briser de vrais blocages rencontrés par les forces de l’ordre, parfois dans l’impasse à cause d’un manque de moyens ou tout simplement parce que la technologie ne peut actuellement plus être rattrapée.

Deux textes qui illustraient alors une thématique qui n’a de cesse de revenir sur le devant la scène, et d’autant plus depuis les premières révélations issues des documents dérobés par Edward Snowden à la NSA. Une énième reprise de la problématique du curseur : où le placer entre sécurité publique et respect de la vie privée ? Mais tout le monde n’est pas de cet avis. Deux sénateurs viennent ainsi de proposer un texte qui agirait au niveau fédéral pour protéger le chiffrement.

Les portes dérobées en embucasde

Une telle loi manque actuellement dans la législation américaine. On se souvient qu’il a été de nombreuses fois question d’intégrer des portes dérobées dans les solutions de chiffrement afin que les forces de l’ordre et les agences de renseignement puissent faire leur travail. La Maison Blanche avait finalement indiqué que de telles solutions ne seraient pas adoptées, sans que cet avis ne soit accompagné d’un véritable engagement écrit, et surtout d’un texte protégeant une technologie que beaucoup souhaitaient miner.

Voilà justement l’objectif des sénateurs républicains Ted Lieu (Californie) et Blake Farenthold (Texas). Dans leur proposition, ils souhaitent protéger le chiffrement contre les tentatives de « minage » qui, d’une manière ou d’une autre, l’affaibliraient. Ils veulent bien entendu éviter toute velléité de porte dérobée, les tenants de cette solution n’ayant, selon eux, pas compris grand-chose aux problématiques modernes de la sécurité. Le nom même du projet est tout un symbole : l'ENCRYPT Act, pour « Ensuring National Constitutional Rights for Your Private Telecommunications ».

Le gouvernement incapable de montrer l'exemple

C’est en particulier l’avis de Ted Lieu, qui a déclaré à Ars Technica : « Il est particulièrement clair pour moi que ceux qui demandent une clé de porte dérobée pour le chiffrement ne comprennent pas la technologie. Vous ne pouvez pas avoir une telle clé pour le FBI. Soit des pirates la trouveront, soit le FBI se la fera voler ». Et de citer le cas récent piratage du Département de la Justice qui aurait abouti à la publication d’informations personnelles sur 20 000 agents du FBI. Ted Lieu enfonce le clou : « Si nos agences gouvernementales ne sont pas capables de protéger 20 millions d’enregistrements à la sécurité si sensible, je ne vois pas comment notre gouvernement pourrait garder ces clés de chiffrement en sécurité ».

C’est évidemment ici qu’est le cœur du problème, comme répété de nombreuses fois. Pour qu’une solution basée sur les portes dérobées soit viable, il faudrait garantir que les clés servant à les exploiter aient la garantie d’être protégées et de ne pas pouvoir être trouvées. Or, une telle garantie est impossible. Une porte, aussi protégée qu’elle le soit, pourra toujours être trouvée, et ce ne sera alors qu’une question de temps avant que la clé ne soit déduite.

Un problème que l’Electronic Frontier Foundation résume, tout en se félicitant de la nouvelle proposition de loi : « Je pense que nous avons des législateurs aux niveaux étatique et fédéral qui écoutent les experts quand ils disent qu’il est impossible aux fournisseurs et constructeurs de donner accès aux données sans affaiblir du même coup le chiffrement » indique ainsi l’avocat Andrew Crocker. « Nous avons également des législateurs qui proposent à la place des « solutions » vagues et/ou inefficaces au problème fondamental. C’est tout le souci de ces Crypto Wars : les pro-chiffrement ont tout le poids de l’expertise technique et pratique. Les antis répètent que ça peut être fait, sans jamais dire comment ».

Une lente maturation 

Le sénateur Ted Lieu n’en est pas à son premier « coup d’éclat ». Il s’en était pris l’année dernière à Daniel Conley, procureur de Suffolk County, quand ce dernier avait indiqué devant le Congrès que des entreprises comme Apple et Google aidaient les criminels avec leur chiffrement. Un avis qui faisait largement écho à celui d’Eric Holder, ancien directeur du Département de la Justice, ainsi qu’à celui de James Comey, directeur du FBI, qui ne comprenait pas comment ces entreprises pouvaient faire « la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Lieu s’était alors contenté de lui répondre qu’il n’avait qu’à « suivre cette fichue Constitution ».

Le contexte évolue cependant doucement. Plus récemment, James Baker, conseiller général du FBI, indiquait que le « génie du chiffrement » était « sorti de sa bouteille ». Il y a environ deux semaines, c’est le directeur de la NSA en personne, l’amiral Mike Rogers, qui expliquait que le chiffrement était là, que débattre de son utilité était « une perte de temps » et qu’il fallait plutôt travailler sur une infrastructure légale qui permettrait aux forces de l’ordre de faire leur travail, sans plus parler de portes dérobées. Il ne proposait cependant aucune solution concrète.

Le texte bloquerait les portes dérobées, mais pas l'interdiction de vente

La question est de savoir bien sûr si le nouveau projet de loi aurait effectivement les capacités suffisantes pour protéger le chiffrement face aux multiples attaques dont il est souvent la cible. Son point central est d’interdire toute « conception ou altération des fonctions de sécurité dans le seul d’autoriser une surveillance des utilisateurs ». Aucun État ou subdivision politique de ce dernier ne pourrait également réclamer le déchiffrement d’une information par le constructeur et qui serait, sans ce moyen, inaccessible.

Les protections sont particulièrement claires, mais elles ne court-circuitent pour autant pas complètement les propositions de lois dans les états de New York et de Californie. C’est ce que fait remarquer Amie Stepanovich, l’une des responsables d’Access Now, une association de défense des libertés civiles, notant que les deux textes « sont prévus pour bloquer la vente d’appareils possédant un chiffrement fort ». En d’autres termes, l’éventuelle nouvelle loi fédérale empêcherait les États de réclamer des modifications, mais ne leur enlèverait pas le droit de supprimer des étalages les smartphones qui ne leur plaisent pas, ou d’essayer.

Le sort du chiffrement est dans tous les cas toujours sur la sellette. Son avenir est souvent remis en question, prisonnier entre une nécessité générale de protection et celle de laisser les forces de l’ordre faire leur travail. En guise d’illustration, on rappellera qu’un tribunal fédéral de New York réclamait à Microsoft des données stockées dans le cloud, à cause d’un smartphone verrouillé et impliqué dans une enquête criminelle. La firme a jusqu’ici résisté, arguant que les données se trouvaient dans des serveurs irlandais, donc hors de portée de la justice américaine. Des problématiques nouvelles auxquelles la police et les gouvernements tentent de répondre, y compris en France avec la récente loi sur le renseignement.

20

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les portes dérobées en embucasde

Le gouvernement incapable de montrer l'exemple

Une lente maturation 

Le texte bloquerait les portes dérobées, mais pas l'interdiction de vente

Commentaires (20)


Ted Lieu est mon nouveau héros. Cet homme a une bonne vision je trouve. <img data-src=" />



Quant à supposer que toute personne cryptant ses messages se place hors de la loi, après les révélations de Snowden, comment dire… <img data-src=" />


Ce système fédéral trouve dans ce genre de lois (exemple NY) ses limites: tout résident US n’aura qu’à acheter dans l’état voisin un appareil interdit à la vente.


suffit d’étendre à la possession. ^^


<img data-src=" />

Le système allemand me paraît plus homogène sur ce genre de chose.









De toute façon les allemands font toujours mieux ==&gt; []








hellmut a écrit :



suffit d’étendre à la possession. ^^





Dans mon exemple ils feraient fuir les commerces, dans le tien ce sont les touristes!



De toutes façons je doute que NY ou la Californie interdisent de vendre des smartphones. Pourquoi pas interdire les ordinateurs sous Windows et OSX qui proposent un chiffrement “out of the box” tant qu’on y est, et extrêmement difficile à cracker.



Et la note de Vincent sur le cloud ne fait qu’ajouter à la complexité de la faisabilité du déchiffrement des données. <img data-src=" />


il me semble qu’il est déjà interdit d’entrer sur le territoire US avec un engin électronique dont les douanes ne peuvent contrôler le contenu. donc les touristes sont déjà concernés depuis quelques années.


Je me dis que dans un futur proche, nous n’utiliseront peut-être plus l’outil informatique car il ne sera plus utilisable. Qui sait ? Ce sera peut-être un acte de résistance à toute ces manipulations qui tournent autour le l’Information.

&nbsp;





hellmut a écrit :



il me semble qu’il est déjà interdit d’entrer sur le territoire US avec un engin électronique dont les douanes ne peuvent contrôler le contenu. donc les touristes sont déjà concernés depuis quelques années.





Yes, c’est pour cela que quand on voyage avec du matos, on prend du matos avec rien dedans et on héberge tout dans un cloud pour récupérer ses données une fois la frontière passé. Ou alors tu montres tes data à la douanes..&nbsp; Je préfère la 1er solution :)



effectivement.

alors après, on peut raisonnablement penser qu’étant étranger sur le territoire US, tu as droit à un joli petit sélecteur de la NSA rien que pour toi, histoire que les boiboites sombres puissent vérifier si tes signaux faibles ont une petite kalash cachée. <img data-src=" />


Les partitions cachées ca fonctionne ? car si la douane te le demande pas tu n’as pas à les montrer si ?


les sénateurs ont pas la Conscience&nbsp;Tranquille…&nbsp;


Je ne sais pas ce cas là. Le mieux pour éviter de se faire embêter c’est de ne rien avoir ou de tout montrer. Après tu peux toujours essayer mais imaginons qu’ils te trouvent louche et hop ils passent tout au crible je pense. Mais dans la logique si ils demandent pas, pas besoin de montrer.


C’est un peu ce que j’allais dire : « une partition chiffrée ? mais noonnn ce sont juste des données aléatoires… » <img data-src=" />








jaffalibre a écrit :



Les partitions cachées ca fonctionne ? car si la douane te le demande pas tu n’as pas à les montrer si ?



Mieux : un coffre-fort chiffré caché DANS un coffre-fort chiffré. 99,5% du temps, ils se limiteront au 1er sans voir le 2eme <img data-src=" />



Ils ont des secrets importants à cacher sur la guerre en Irak, en Syrie, en Libye par exemple <img data-src=" /> ( oui, je parle complot là ^^ )


Vous permettez que l’on formate l’espace vide alors ? <img data-src=" />


Ah non ! On regarde, mais on ne touche pas.








Patch a écrit :



Mieux : un coffre-fort chiffré caché DANS un coffre-fort chiffré. 99,5% du temps, ils se limiteront au 1er sans voir le 2eme <img data-src=" />





Truecrypt et le déni plausible. Imparable.<img data-src=" />



Que j’aime Tails et mon serveur privé à la maison.<img data-src=" />








hellmut a écrit :



il me semble qu’il est déjà interdit d’entrer sur le territoire US avec un engin électronique dont les douanes ne peuvent contrôler le contenu. donc les touristes sont déjà concernés depuis quelques années.







Ca fait quelques années qu’il est conseillé, en particulier en cas de déplacement aux us, d’y aller avoir du matos vierge, et de télécharger une fois sur place via un vpn par exemple toutes données ou trucs sensible pour éviter en particulier d’avoir des problèmes à la douane.