Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Pour James Baker du FBI, « le génie du chiffrement est sorti de sa bouteille »

Une dure réalité
Internet 5 min
Pour James Baker du FBI, « le génie du chiffrement est sorti de sa bouteille »
Crédits : prill/iStock

James Baker, conseiller général du FBI, était hier à une conférence sur la cybersécurité. Accompagné d’autres intervenants importants, il a brossé un portrait général de la sécurité, du chiffrement et des différentes facettes d’une équation délicate à résoudre. En définitive, il estime que ce sera au peuple américain de choisir s’il veut être espionné ou non.

Aux États-Unis, un faisceau particulier de conséquences a débuté avec les révélations d’Edward Snowden sur l’état de la surveillance et de l’espionnage aux États-Unis. Les activités de la NSA, placardées au grand jour, ont provoqué diverses réactions, notamment sur le plan technique avec une montée en flèche de l’utilisation du chiffrement. Jusqu’à ce qu’Apple et Google notamment fassent de cette technologie un cheval de bataille pour leurs plateformes mobiles, au grand dam de James Comey, directeur du FBI.

Les révélations ont poussé le chiffrement, qui a poussé à son tour l’ensemble des forces de l’ordre à s’interroger sur la faisabilité tant des enquêtes que de la poursuite de la surveillance elle-même. La principale inquiétude, comme en témoigne actuellement un procès dans lequel Apple a été invitée à donner son avis, est que les enquêtes criminelles soient bloquées à cause de terminaux mobiles au chiffrement trop complexe à contourner. Un contexte qui avait un temps fait réfléchir la Maison Blanche à des « portes dérobées officielles » dans les mesures de chiffrement, idée finalement abandonnée… mais dont le spectre n’est jamais très loin.

Le délicat équilibre entre vie privée et sécurité

Hier se tenait la conférence annuelle de l’ACSC (Advanced Cyber Security Center), à laquelle participait notamment James Baker, conseiller général du FBI. Il a souhaité aborder l’ensemble de la question du chiffrement, et ce de manière beaucoup plus consensuelle et récapitulative que ce à quoi le Bureau était habitué jusque-là. Comment conjuguer le chiffrement, la vie privée et la sécurité publique ?

Pour Baker, le FBI est une émanation du peuple américain et il en est donc le serviteur, comme l'indique Ars Technica. Mais ce même peuple doit prendre en compte une conséquence directe de l’arrivée globale du chiffrement un peu partout : les enquêtes ont parfois de grosses difficultés à avancer. Le processus n’a pas changé : le Bureau demande un mandat à un juge pour procéder à l’extraction de données. Mais ce processus échoue parfois, même s’il existe d’autres moyens d’obtenir des informations.

Contourner le chiffrement par le cloud

C’est ici qu’entre en piste le cloud. Oui les enquêteurs peuvent être frustrés par des données locales bloquées sur un terminal, mais ces mêmes informations peuvent avoir un autre point d’accès. La grande majorité des smartphones sont connectés en permanence et sont liés à des environnements de synchronisation chez Apple, Google ou Microsoft. L’idée est à chaque fois identique : l’utilisateur doit pouvoir accéder à ses données depuis un simple navigateur. Du coup, si les données sur un iPhone ne sont pas accessibles, elles le seront peut-être dans le compte iCloud. Et cette fois, l’impossibilité de contourner le chiffrement n’aura pas d’importance.

La récupération des données dans le cloud tombe bien entendu à plat dès qu’un utilisateur utilise des applications sans synchronisation ou qu’il a désactivé cette dernière sur l’ensemble des fonctionnalités. James Baker indique que les enquêteurs doivent se débrouiller, et qu’il devient forcément tentant de faire voter des lois qui obligeraient l’ensemble des entreprises à introduire des solutions à ce problème, comme les fameux fragments de clés dont il avait été question cet été.

Clés fragmentées : une solution impraticable

Comme le rapportent nos confrères, le conseiller du FBI semble clairement s’être fait une raison sur ce point : « Il est tentant d’espérer que, par magie, l’extraordinaire secteur technologique que nous avons aux États-Unis peut trouver une solution, c’est peut-être un point simplement trop grand à construire. C’est peut-être scientifiquement et mathématiquement impossible ». L’avis d’Eric Wenger, directeur de la cybersécurité et de la vie privée chez Cisco, est nettement plus tranché : « Plus le système est complexe, plus il est difficile à sécuriser. Je ne vois pas comment vous pourriez développer une solution basée sur des clés, qui sécurise les choses comme nous le souhaitons sans créer en même temps une grande dose de complexité dans la capacité à donner accès au gouvernement ». Une question de beurre et d’argent du beurre, en somme.

Et si tous les pays se lançaient dans cette voie ? Pour Susan Landau, professeur de cybersécurité à l’institut polytechnique de Worcester, ce serait impossible : « La complexité d’avoir 200 nations, chacune avec son accès aux clés, est simplement inimaginable ».

Il est selon ces experts impossible de marier l’idée d’une sécurité et d’un chiffrement efficaces avec un accès simple par les forces de l’ordre. Toute tentative de contournement se solderait par un affaiblissement de la sécurité, alors même qu’elle joue un rôle crucial. Une entreprise pourrait par exemple se faire dérober de la propriété intellectuelle. Et les enjeux économiques du monde professionnel sont également en jeu, surtout quand on considère par exemple que plus de la moitié du chiffre d’affaires de Cisco provient d’autres pays.

« C’est la réalité, nous devons l’accepter »

Enfin, devant la possibilité pour les terroristes de mieux se protéger grâce à un chiffrement plus répandu, les avis du FBI et des autres experts s’éloignent. Baker estime ainsi que laisser ce chiffrement progresser comme il le fait actuellement revient à rendre les criminels pratiquement invisibles pour la loi. Susan Landau n’est pas d’accord : une hausse de la difficulté n’équivaut pas à une impossibilité. Elle possède une anecdote amusante à ce sujet, une personne de la NSA lui ayant dit un jour : « Écoutez, la loi en cas de mandat pour une mise sur écoute nous donne le droit de collecter l’information, elle ne dit pas que ça devrait être facile ».

Dans tous les cas, le FBI semble s’être fait une raison, estimant selon Baker que « le génie du chiffrement est sorti de sa bouteille » et que cette technologie est « largement disponible dans le monde ». Il a ajouté : « C’est la réalité, nous devons l’accepter ». Cela étant, si un tel avis montre une évolution profonde de la manière de considérer le chiffrement, le terrain juridique sera peut-être amené à changer dans le futur. Il suffit de se rappeler comment les attentats du 11 septembre ont puissamment modifié les lois américaines relatives à la sécurité.

145 commentaires
Avatar de kade Abonné
Avatar de kadekade- 05/11/15 à 13:18:34

Et donc ?

Avatar de anonyme_74ab34af4b3fc323c09c3d60715c822b INpactien

Bah pareil qu'avant mais maintenant on le sait !

Avatar de Sheepux Abonné
Avatar de SheepuxSheepux- 05/11/15 à 13:22:17

 Ben c'est un bon résumé de la situation

Version TLDR: "bon ok on va pas empêcher les gens de chiffrer, car c'est nécessaire. Exit aussi le double chiffrement avec utilisation de clefs d'états. On va juste devoir mettre les moyens pour apprendre à casser tout les chiffrements"

Avatar de js2082 INpactien
Avatar de js2082js2082- 05/11/15 à 13:25:57

Enfin, les difficultés soulevées par le chiffrement restent très relatives.

Certes,le cryptage de tes données peut rendre toute tentative de piratage très difficile.
Mais, comme pour tout système, à quoi sert-il de vouloir casser une porte d'entrée hyper-résistante quand récupérer la clé te demande bien moins d'efforts?

Et la faiblesse est souvent là, les données sont protégées, la clé pour protéger ces données, elle, l'est beaucoup moins.

Avatar de Vincent_H Équipe
Avatar de Vincent_HVincent_H- 05/11/15 à 13:27:02

Le problème est que dans le cas du chiffrement introduit par Apple et Google ils ne possèdent pas la clé.

Édité par Vincent_H le 05/11/2015 à 13:27
Avatar de kade Abonné
Avatar de kadekade- 05/11/15 à 13:30:30

Vincent_H a écrit :

Le problème est que dans le cas du chiffrement introduit par Apple et Google ils ne possèdent pas la clé.

Parce que dans le cas de tous les autres chiffrements, ils auraient déjà les clés ?

Avatar de js2082 INpactien
Avatar de js2082js2082- 05/11/15 à 13:32:19

Et ça ne change rien.
La clé est sur le terminal téléphonique, souvent peu protégé et piratable.

 On change juste la méthode d'action au final.

Avatar de Zyami Abonné
Avatar de ZyamiZyami- 05/11/15 à 13:37:01

js2082 a écrit :

Et ça ne change rien.
La clé est sur le terminal téléphonique, souvent peu protégé et piratable.

 On change juste la méthode d'action au final.

C'est la méthode de chiffrement qui est sur la machine, pas la clé, sur un iPhone c'est du AES 256, bon courage pour casser une clé privé.

Avatar de Pictou INpactien
Avatar de PictouPictou- 05/11/15 à 13:37:37

@js2082: Tu peux être plus précis? je vois mal avec quelle facilité tu peux avoir cette clé, comment est-ce que tu procèderais?

Édité par Pictou le 05/11/2015 à 13:38
Avatar de tazvld Abonné
Avatar de tazvldtazvld- 05/11/15 à 13:38:16

Pour les moyens :
Soit on révolutionne les maths, on fait une nouvelle découverte sur les nombres premiers rendant inopérant le chiffrement RSA.
Soit ça implique des ordinateurs quantiques qui te retrouve la clé privé d'un seul coup.

Dans les 2 cas, je crois que l'on aura sûrement quelque chose de plus grave à s'inquiéter que notre "simple" vie privé. Dans les 2 cas, c'est presque tous les systèmes chiffrés qui tombent. La sécurité des communication entre les banques tombe, SSL devient inutile...

Il n'est plus possible de commenter cette actualité.
Page 1 / 15