Chiffrement : BlackBerry justifie l'aide apportée à la gendarmerie canadienne

Chiffrement : BlackBerry justifie l’aide apportée à la gendarmerie canadienne

Une question de cohérence

Avatar de l'auteur
Vincent Hermann

Publié dans

Droit

19/04/2016 5 minutes
34

Chiffrement : BlackBerry justifie l'aide apportée à la gendarmerie canadienne

La communication de BlackBerry a beau largement être axée sur la sécurité, cela n’empêche pas l’entreprise d’avoir une philosophie claire sur la manière dont les enquêtes doivent se poursuivre. Son PDG, John Chen, a ainsi confirmé que BlackBerry avait collaboré avec la gendarmerie canadienne, ajoutant que tous devraient en faire autant.

Alors même que l’incendie créé par le choc entre Apple et le FBI n’a fait que baisser légèrement en intensité, BlackBerry ajoute son grain de sel. Une communication de l’entreprise était à prévoir, tant elle a fait parler d’elle la semaine dernière, à la faveur de documents révélés par Vice et montrant qu’une aide avait été apportée à la gendarmerie canadienne (RCMP). Et pas n’importe quelle aide : la clé globale de déchiffrement pour BlackBerry Messenger.

On ne sait pas exactement comment la RCMP s’est retrouvée en possession de cette clé, BlackBerry n’ayant jamais confirmé l’avoir librement donnée. Mais un récent billet de blog de John Chen, son PDG, permet de mieux saisir l’état d’esprit de l’entreprise. Il a dans un premier temps confirmé que BlackBerry avait collaboré avec la gendarmerie canadienne dans une affaire impliquant au moins un meurtre et ayant abouti au démantèlement d’un réseau de trafic de drogue.

« Les entreprises technologiques devraient obtempérer »

Pour John Chen, pas question d’en rougir, bien au contraire : « Notre position est claire depuis longtemps, les entreprises technologiques devraient obtempérer, en tant que bons professionnels citoyens, aux requêtes juridiques d’accès raisonnables ». Revenant sur l’affaire qui a provoqué des interrogations sur la philosophie de l’entreprise sur la vie privée de ses clients, il indique que « finalement, l’affaire s’est terminée par le démantèlement d’une vaste organisation criminelle. En ce qui concerne l’assistance de BlackBerry, je peux réaffirmer que nous avons respecté nos principes d’accès légaux ».

Si BlackBerry est obligée de réagir, c’est que les chiffres donnés par Vice suscitaient bien des interrogations. Durant la fameuse opération de la RCMP, couronnée de succès, ce sont ainsi un million de messages qui ont été déchiffrés grâce à la clé. La question de l’obtention était bien sûr au cœur des débats, la défense ayant cherché à la récupérer pour avoir la garantie que les messages incriminants étaient bien authentiques. Ce que l’accusation a refusé, bloquant la requête et expliquant que le partage de la clé mettrait en danger de futures opérations ainsi que les relations de BlackBerry avec ses clients.

L'équilibre entre « ce qui est bien » et les « abus des gouvernements »

Rappelons à ce sujet que BBM peut s’utiliser de deux manières très différentes, selon que l’on est utilisateur du grand public ou d’entreprise. Le quidam se sert de la solution classique de messagerie transitant par les serveurs de BlackBerry, qui possède une clé de déchiffrement globale. Un cas qui est loin d’être unique, des entreprises comme Apple, Google et Microsoft faisant de même avec plusieurs de leurs services. En milieu professionnel par contre, un administrateur peut mettre en place un BlackBerry Enterprise Server (BES) et définir une clé personnalisée, stockée alors localement et donc inaccessible par le Canadien.

Bien que la position de BlackBerry soit somme tout assez classique, elle mérite plusieurs éclaircissements. D’abord sur la différence qu’il existe entre l’aide fournie à la RCMP et la menace de partir du Pakistan, en fin d’année dernière. John Chen érige le cas en exemple : « Pour BlackBerry, il existe un équilibre entre faire ce qui est bien, comme aider à appréhender les criminels, et empêcher les cas d’abus par les gouvernements sur la vie privée des citoyens, incluant notre refus au Pakistan d’accéder à nos serveurs. Nous avons été capables de maintenir cet équilibre même quand les gouvernements ont fait pression pour que nous changions d’éthique. En dépit de ces pressions, notre position est restée identique et nos actions prouvent que nous nous tenons à ces principes ».

Une surprise

Ce que BlackBerry ne peut pas éviter en revanche, c’est la manière dont le grand public peut percevoir ces actions. Pour beaucoup, le fait que la RCMP ait détenu la clé de chiffrement (voire la détienne encore) sera une surprise et aurait mérité une communication claire sur le sujet. Il existe en effet une différence très nette entre une demande d’accès donnant lieu à un transfert de données, et l’utilisation directe de la clé par la gendarmerie pour se servir elle-même.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

« Les entreprises technologiques devraient obtempérer »

L'équilibre entre « ce qui est bien » et les « abus des gouvernements »

Une surprise

Commentaires (34)




Nous avons été capables de maintenir cet équilibre même quand les gouvernements ont fait pression pour que nous changions d’éthique. En dépit de ces pressions, notre position est restée identique et nos actions prouvent que nous nous tenons à ces principes



Les multinationales garantes de l’éthique… Ça promet..<img data-src=" />


C’est bête, ils ont miné leur seul produit qui marchait encore pas trop mal


Le problème ce n’est pas aux sociétés de dire ce qui est bien ou mal dans les pays mais elles doivent respecter les lois locales. Surtout que l’éthique d’un pays A n’est pas la même qu’un pays B, donc à partir de là c’est assez compliqué de satisfaire tout le monde, c’est surtout le risque de satisfaire personne.








Melcerin a écrit :



C’est bête, ils ont miné leur seul produit qui marchait encore pas trop mal





Le public est très partagé sur la question. Il se pourrait bien que ce soit Apple qui souffre et Blackberry qui profite. Sans parler de la grande majorité qui s’en fiche ou ne sera jamais au courant de ces questions.



A part ça, comme toujours, il s’agit de soupeser le gain de sécurité avec la perte de sécurité (et liberté face aux risques de surveillance de masse). En l’occurrence il est évident qu’une fois que cette clé sera passée entre les mains de centaines d’agents partout dans le monde, elle sera également dans les mains de criminels. Il serait intéressant de connaître les dommages futurs pour les utilisateurs réguliers.



Ces questions n’ont décidément rien de simple et il faudra bien que l’industrie et les gouvernments se mettent d’accord sur le meilleur compromis technique dans l’intérêt public.



La politique de BlackBerry en la matière à toujours été claire et assumée.



C’est plus pour des raisons boursières que tous ces articles ont fleuri à mon avis, pour qu’on parle moins du cas Apple.


BBM c’est 100 millions d’utilisateurs certes, mais les produits qui marchent bien et surtout sont rentables c’est dans le monde de l’entreprise ou des administrations qu’ils résident.



Donc si on compare BlackBerry a un fabriquant de coffres forts :





  • Déjà ils ont un double des clés pour chaque coffre vendu, ce qui illogique question sécurité

  • Puis ils ont donné tous les doubles à la gendarmerie canadienne sans distinction



    Combien de temps avant que cette clé globale se fasse dérober ? On va rigoler tiens.


c’est pas vraiment comparable, y a pas de clé magique chez Apple et consors pour déchiffrer.

Perso je serais un entreprise je serais pas tranquille pour mes secrets industriels qui transiterai par des appareils BB, pour moi coup de com de la bête mourante qui ne peut jouer qu’une seule carte, &nbsp;celle du ‘je me démarque”.&nbsp;

Les entreprises sont pas contre le fait de participer et d’aider les enqueteurs&nbsp;&nbsp;mais dans la mesure du possible, la loi peut t’elle t’imposer après avoir cassé une pierre de la restaurer dans son etat original, c’est pourtant ce qu’ils voudraient ?

Pour l instant les entreprises se plient a la loi , et si demain on leur demande une backdoor ou une masterkey par la loi , ils le feront.


En même temps, à part l’image de marque ultra-clivante de Apple, je ne vois pas pour quelle raison on devrait moins parler du cas de Black Berry.


Le Canada faisant partie de club des Five Eyes, je ne doute même pas un seul instant que, en vertu des accords de coopération entre les services de renseignements de ces 5 pays, la clé a été donnée aux USA et aux Britanniques.



Quand aujourd’hui, son seul argument de vente et de marketing c’ est la sécurité, ca le fait pas trop je trouve …








jeffster a écrit :



c’est pas vraiment comparable, y a pas de clé magique chez Apple et consors pour déchiffrer.

Perso je serais un entreprise je serais pas tranquille pour mes secrets industriels qui transiterai par des appareils BB, pour moi coup de com de la bête mourante qui ne peut jouer qu’une seule carte, &nbsp;celle du ‘je me démarque”.&nbsp;

Les entreprises sont pas contre le fait de participer et d’aider les enqueteurs&nbsp;&nbsp;mais dans la mesure du possible, la loi peut t’elle t’imposer après avoir cassé une pierre de la restaurer dans son etat original, c’est pourtant ce qu’ils voudraient ?

Pour l instant les entreprises se plient a la loi , et si demain on leur demande une backdoor ou une masterkey par la loi , ils le feront.







Les entreprises n’ont pas la même clé. C’est elles mêmes qui la définissent.



Pour la backdoor, BlackBerry n’acceptera jamais ça. Ils travaillent avec la quasi totalité des administrations du G20. Ce serait se tirer une balle directement dans la tempe.



Et, BlackBerry ne perd plus d’argent, donc sois gentil de ne pas les enterrer encore.



De mémoire, les blackberry des membres du G20 ne sont pas les même que Mr ou Md Michou ^^



Ils sont “légèrement” tunés avec une puce dédiée au chiffrement développé par Secusmart (qui en passant appartient à Blackberry).

Plus que le terminal en lui même, c’ est la techno de Secusmart qui fait du smartphone un “coffre fort”.








tic tac a écrit :



De mémoire, les blackberry des membres du G20 ne sont pas les même que Mr ou Md Michou ^^



Ils sont “légèrement” tunés avec une puce dédiée au chiffrement développé par Secusmart (qui en passant appartient à Blackberry).

Plus que le terminal en lui même, c’ est la techno de Secusmart qui fait du smartphone un “coffre fort”.







C’est le cas des allemands, mais c’est tout je pense. Il existe peut être des solutions analogues dans d’autres pays ceci dit.



En tout cas ils sont tous derrière un simili BES, donc proches de ce qui existe en entreprise.









jeffster a écrit :



c’est pas vraiment comparable, y a pas de clé magique chez Apple et consors pour déchiffrer.

Perso je serais un entreprise je serais pas tranquille pour mes secrets industriels qui transiterai par des appareils BB, pour moi coup de com de la bête mourante qui ne peut jouer qu’une seule carte, &nbsp;celle du ‘je me démarque”.&nbsp;

Les entreprises sont pas contre le fait de participer et d’aider les enqueteurs&nbsp;&nbsp;mais dans la mesure du possible, la loi peut t’elle t’imposer après avoir cassé une pierre de la restaurer dans son etat original, c’est pourtant ce qu’ils voudraient ?

Pour l instant les entreprises se plient a la loi , et si demain on leur demande une backdoor ou une masterkey par la loi , ils le feront.





Quelle légitimité à une entreprise pour décider à la place d’un peuple que ce qui peut être ou pas fait dans un pays ?&nbsp;



Apple a pas la clé <img data-src=" />

&nbsp;non rien oubli


Oui c’est clair que RIM fait son chiffre avec les entreprises. Mais quand même ce genre de news fout le doute sur la crédibilité de Blackberry à protéger les données qui transitent sur leurs appareils.



Déjà en 2007 les blackberry avaient été bannis du gouvernementet c’est toujours le cas maintenant.

Donc au final, ça impact quand même leur business. D’où leur volonté d’ailleurs de ne pas faire fuiter l’info.


encore le cas ? recherche ce qu’a Valls et d’autres comme smartphone


sinon quand même une truc pas clair et c’est dommage, on ne sait pas si la gendarmerie canadienne a réellement eu la clé, l’a encore ou si ils ont été dans les locaux de BB voir/recup les messages








trash54 a écrit :



Apple a pas la clé <img data-src=" />

 non rien oubli





Sincèrement, je pense qu’Apple n’a pas la clé de chaque Iphone.



Par contre, c’est qui est sûr, c’est qu’Apple a une master key qui permet d’ouvrir l’Iphone et d’y trouver la clef.



Là BB a donné la clef universelle que déchiffre tous les messages. Et donc potentiellement toute personne en possession de cette clef peut lire comme un roman le contenu des messages.



Mais soyons un peu réaliste, le contenu des messages n’est pas vraiment ce qui intéresse les Fives Eyes. Qui parle avec qui, comment, quand, où, combien, est bien plus intéressant que le contenu inintéressant de milliers de sms d’ado.

Et pour les affaires de justice, je crois qu’on peut se limiter, si j’étais BB, à dire “ok, donnez les messages, je vous donne une version en clair”; pas de filer les clef de la ville…



<img data-src=" />





Et puis, en admettant qu’ils ne l’aient pas&nbsp;<img data-src=" />; tout va dans icloud nan?





http://www.apple.com/legal/privacy/law-enforcement-guidelines-us.pdf


Pour moi, le gros souci c’est plus là où BB est (était ?) traditionnellement fort : les téléphones d’entreprise.



Considérer qu’une administration a pu demander, et obtenir la clé de décryptage, pour moi, c’est l’annonce que les téléphones ne sont plus sur pour les secrets industriels/commerciaux.



Et vu qu’on sait que la NSA exploitait les info qu’ils récoltaient pour des besoin d’espionnages industriels, je serai une entreprise, je sortirai toute ma flotte de BB pour des Apple (ou autre plus “respectueuse” de la sécurité des données)



Les smatphones sous BES, que ce soit des Blackberry ou non, disposent d’un chiffrement différent, et la clé est définie par l’entreprise.





D’ailleurs, un BES avec quelques licences ce n’est pas cher… et pas besoin d’être une entreprise pour en avoir un. Il faut par contre disposer d’un serveur, ou passer par BES Cloud qui est un chouïa plus onéreux.








atomusk a écrit :



Considérer qu’une administration a pu demander, et obtenir la clé de décryptage, pour moi, c’est l’annonce que les téléphones ne sont plus sur pour les secrets industriels/commerciaux.





Comme expliqué dans l’article les entreprises peuvent déployer leur propre serveur BB avec leur propre clé.









coket a écrit :



Les entreprises n’ont pas la même clé. C’est elles mêmes qui la définissent.



Pour la backdoor, BlackBerry n’acceptera jamais ça. Ils travaillent avec la quasi totalité des administrations du G20. Ce serait se tirer une balle directement dans la tempe.



Et, BlackBerry ne perd plus d’argent, donc sois gentil de ne pas les enterrer encore.







Tu veux dire le truc qui est obligatoire si ils veulent un quelconque contrat avec le DoJ ou le DoD aux USA (comme Cisco, Microsoft and c o l’ont fait) ?



On nous gonfle depuis quelques temps avec la “POSSIBILITE” que les produits chinois aient des backdoors, mais avec les produits Américains et Canadiens c’est une CERTITUDE depuis des années.



Si tu as des certitudes, le dialogue ne sert à rien ;)








tic tac a écrit :



De mémoire, les blackberry des membres du G20 ne sont pas les même que Mr ou Md Michou ^^



Ils sont “légèrement” tunés avec une puce dédiée au chiffrement développé par Secusmart (qui en passant appartient à Blackberry).

Plus que le terminal en lui même, c’ est la techno de Secusmart qui fait du smartphone un “coffre fort”.





Le téléphone de Merkel a été écouté, donc ce n’est pas suffisant si c’est celui là.



C’était avant.


c’était son vieux Nokia








psn00ps a écrit :



Le téléphone de Merkel a été écouté, donc ce n’est pas suffisant si c’est celui là.





Ils ne sont pas sur du Bull ou du Thalès ?









metaphore54 a écrit :



Ils ne sont pas sur du Bull ou du Thalès ?





Merkel a un Z10 ou Z30 et un Q10 équipé d’ une puce de chiffrement voix—data temps réel développé par Secusmart (un peu moins de 3000€ la carte de 4gb qui se loge dans le port micro SD du terminal).



L’ interlocuteur devant aussi être équipé du même systeme développé par Secusmart pour déchiffrer la communication des deux côtés, les Allemands ont déployés un peu plus de 5000 de ses appareils au sein de leur gouvernement, ministres, conseillers et proches ce qui fatalement commence à faire une sacré facture.









tic tac a écrit :



Merkel a un Z10 ou Z30 et un Q10 équipé d’ une puce de chiffrement voix—data temps réel développé par Secusmart (un peu moins de 3000€ la carte de 4gb qui se loge dans le port micro SD du terminal).




L' interlocuteur devant aussi être équipé du même systeme développé par Secusmart pour déchiffrer la communication des deux côtés, les Allemands ont déployés un peu plus de 5000 de ses appareils au sein de leur gouvernement, ministres, conseillers et proches ce qui fatalement commence à faire une sacré facture.







Je suis étonné étant donné que Bull et Thalès il y en a certainement d’autres sont des tél destiné aux informations sensibles, je suis étonné de voir des téléphones destiné au grands publics utilisé par les états.









linkin623 a écrit :



Sincèrement, je pense qu’Apple n’a pas la clé de chaque Iphone.



Par contre, c’est qui est sûr, c’est qu’Apple a une master key qui permet d’ouvrir l’Iphone et d’y trouver la clef.&nbsp;





&nbsp;oui, celle qu’ils ont donné au FBI , oh wait !









metaphore54 a écrit :



Je suis étonné étant donné que Bull et Thalès il y en a certainement d’autres sont des tél destiné aux informations sensibles, je suis étonné de voir des téléphones destiné au grands publics utilisé par les états.





A l’ heure de Twitter, Facebook, Candy Crush Saga (ou Red Tube) et de la généralisation du BYOD on peut voir les choses de deux façon.



Soit équiper nos ministres de terminaux ultra secure dédié genre Thales ou Bull mais austère et très fortement limité dès qu’ on veut faire autre chose que lire un mail et telephoner et qu’ ils laisseront vite tomber pour reprendre leurs smartphones perso soit, prendre des terminaux un peu plus mainstream que l’ on blinde un maximum, dont on est sûr qu’ ils sont un minimum “safe” et dont on est sûr que ce seront bien ces terminaux qui seront utilisés.



C’ est plus facile de passer son temps sur Twitter avec son iPhone que uniquement checker ses mails avec un Théorèm de Thales lors des longues après midi d’ ennui à l’ Assemblée …



Apparemment il vaut mieux avoir un BlackBerry qu’un iPhone lol si on est flic.