Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La NSA veut des clés fragmentées pour déchiffrer les données des terminaux mobiles

Les Cités d'Or, nouvelle génération
Logiciel 4 min
La NSA veut des clés fragmentées pour déchiffrer les données des terminaux mobiles
Crédits : maxkabakov/iStock/Thinkstock

Il existe actuellement une vraie bataille entre les grandes entreprises technologiques et les forces de l’ordre aux États-Unis autour du chiffrement des données. Les unes veulent garder leurs clients en chiffrant tout de manière croissante, tandis que les autres veulent pouvoir mener leurs enquêtes. C’est dans ce contexte que la NSA compte proposer une solution originale : créer des morceaux de clés qui, une fois réunis, permettraient de déverrouiller un appareil.

Des intérêts devenus incompatibles

Les utilisateurs sont actuellement pris entre deux feux. D’un côté, les forces de l’ordre et le monde du renseignement aimeraient que les appareils soient plus facilement accessibles lors des enquêtes ou d’autres missions. Le problème est si « sérieux » qu’il a poussé le directeur du FBI, James Comey, à s’inquiéter ouvertement de l’arrivée du chiffrement dans un nombre croissant de produits, notamment iOS 8 et Android 5.0 : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Des membres du bureau s’étaient même rendus au sein des deux entreprises « pour comprendre leur optique et pourquoi ils pensent que tout ceci a du sens ».

Du côté des entreprises, il faut faire face à la crise de confiance engendrée par les révélations d’Edward Snowden. Le problème est simple : si les utilisateurs n’ont pas confiance dans le cloud et globalement dans tout ce qui peut stocker des données, ils iront voir ailleurs. Et voilà pourquoi le chiffrement envahit peu à peu les produits grand public. Au grand dam des enquêteurs et des analystes du renseignement.

Des morceaux de clés à réunir pour déchiffrer le contenu

Actuellement, il n’y a que deux solutions : soit l’appareil n’est pas chiffré, soit il est chiffré avec une clé unique qui n’est qu’en possession de l’utilisateur. C’est la ligne de défense d’Apple d’ailleurs sur la question de la sécurité : même en cas de commission délivrée par le tribunal, la firme ne peut pas déchiffrer les données verrouillées sur un compte. Du coup la NSA cherche une troisième voie capable de mettre tout le monde d’accord : les clés morcelées.

L’amiral Michael S. Rogers, directeur actuel de l’agence de sécurité, n’y va pas par quatre chemins : « Je ne veux pas une porte dérobée. Je veux une porte d’entrée. Et je veux que la porte d’entrée ait plusieurs verrous. De gros verrous ». Dans un article du Washington Post, on apprend ainsi que la NSA aimerait un système de clés de chiffrement divisées en autant de parties impliquées dans une possible enquête. La réunion des clés ne pourrait se faire que dans un contexte bien précis, par exemple en cas de commission d’un tribunal.

Décrite comme ça, la solution « pourrait » être idéale. Après tout, aucune partie ne pourrait déchiffrer les données sans obtenir les autres morceaux de clés. Sauf que dans la pratique, un tel système pourrait se révéler très délicat à mettre en place. Il faudrait d’abord créer l’infrastructure entre les parties concernées, puisque rien n’existe actuellement pour rassembler de telles informations entre forces de l’ordre, système juridique et entreprises. Surtout, il faudrait garantir que la clé reconstituée, une fois qu’elle a été utilisée, est bien détruite pour ne pas servir à des intérêts plus personnels. D’autres questions restent d’ailleurs en suspens, notamment sur la création de la clé elle-même, ou encore sur les vulnérabilités potentielles qui seraient introduites par un tel système.

Concilier forces de l'ordre, entreprises, tribunaux, utilisateurs...

Notez qu’il ne s’agit que l’une des pistes envisagées, même si elle semble la plus sérieuse. La démarche s’inscrit dans la préparation d’un important rapport qui doit être remis prochainement à Barack Obama, sur l’état du chiffrement et les solutions qui pourraient concilier protection des consommateurs et bonne marche des enquêtes. La situation est d’autant plus complexe que le président américain pourra difficilement faire passer une nouvelle loi, le Sénat étant désormais de majorité républicaine.

Il ne faut pas oublier non plus que même si la NSA et d'autres agences réfléchissent à de nouvelles attentions, de nombreuses techniques actuellement utilisées sont toujours valables. En février, Mike Rogers indiquait par exemple ne pas remettre en cause le bien-fondé des portes dérobées (backdoors) dans les produits logiciels et matériels, puisqu'elles garantissaient un accès efficace aux données. Une attitude qui avait d'ailleurs décidé l'Allemagne à se passer des produits réseau américains, à moins que les constructeurs ne montrent patte blanche.

Actuellement, les intérêts directs des entreprises passent dans tous les cas par un chiffrement fort des données pour court-circuiter la crise de confiance, surtout à l’heure où le cloud est devenu une stratégie gagnante pour beaucoup. L’approche prise notamment par Apple consiste à dire « Nous n’avons pas la clé », et les smartphones Android conçus pour Lollipop suivent le même chemin. Les entreprises redorent leur blason, les utilisateurs sont satisfaits, le niveau de chiffrement augmente, mais les forces de l’ordre froncent les sourcils. Selon Timothy P. Ryan, ancien agent du FBI, le nombre de crimes restant impunis ne pourra qu’augmenter avec la multiplication de ces appareils.

86 commentaires
Avatar de levhieu INpactien
Avatar de levhieulevhieu- 13/04/15 à 16:08:33

«se placer hors de portée de la loi »

Parole d'expert

Édité par levhieu le 13/04/2015 à 16:08
Avatar de feuille_de_lune INpactien
Avatar de anonyme_69736061fe834a059975aa425bebeb6d INpactien

Et,je leur donne mes "couilles aussi ?

...franchement, je chiffre ce que je veux avec le taux de cryptage que je veux ...

Avatar de Arcy Abonné
Avatar de ArcyArcy- 13/04/15 à 16:24:28

:dix:

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 13/04/15 à 16:25:23

Et demander à un juge pour récupérer physiquement l'appareil et demander gentiment la clé à la personne visée par l'enquête ?

Avatar de Tatsu-Kan INpactien
Avatar de Tatsu-KanTatsu-Kan- 13/04/15 à 16:26:45

Papa Panda a écrit :

Et,je leur donne mes "couilles aussi ?

...franchement, je chiffre ce que je veux avec le taux de cryptage que je veux ...

Tout à fait d'accord. 
C'est simple, ce n'est pas parce que je n'ai rien à cacher que j'ai envie que quelqu'un viole impunément ma vie privée.

Par conséquent, sur ma machine, TOUTES les données (hors OS) sont réparties dans des volumes truecrypt dont je suis le seul à connaître l'intégralité des mots de passe.
Et par principe, jamais je ne donnerai le moindre mot de passe à quiconque, même sous l'obligation, quelque soit l'entité impliquée. D'ailleurs, certains volumes contiennent des volumes cachés.
 

Avatar de kade Abonné
Avatar de kadekade- 13/04/15 à 16:28:19

Je propose de laisser des doubles de toutes ses clés à la police, ça évitera de rentrer à coup de bélier pneumatique pour de simples vérifications de routines.

Avatar de Ricard INpactien
Avatar de RicardRicard- 13/04/15 à 16:32:13

John Shaft a écrit :

Et demander à un juge pour récupérer physiquement l'appareil et demander gentiment la clé à la personne visée par l'enquête ?

:non: Aux Zétats-unis d'Amérique, tu as le droit de ne pas témoigner contre toi-même, contrairement à la France où tu y es obligé.

Avatar de Arcy Abonné
Avatar de ArcyArcy- 13/04/15 à 16:32:29

Non, ça fait pas "américain", ils préfèrent le défonçage de porte à grand coup de pieds, t'exploser la figure contre le toit de la bagnole et poser les questions après.

Avatar de Ricard INpactien
Avatar de RicardRicard- 13/04/15 à 16:36:04

kade a écrit :

Je propose de laisser des doubles de toutes ses clés à la police, ça évitera de rentrer à coup de bélier pneumatique pour de simples vérifications de routines.

Je propose une amende forfaitaire mensuelle pour chaque français, pour les actes délictueux qu'il pourrait commettre.

Il n'est plus possible de commenter cette actualité.
Page 1 / 9
  • Introduction
  • Des intérêts devenus incompatibles
  • Des morceaux de clés à réunir pour déchiffrer le contenu
  • Concilier forces de l'ordre, entreprises, tribunaux, utilisateurs...
S'abonner à partir de 3,75 €