Royaume-Uni : l’Intérieur souhaite que les messageries chiffrées s'ouvrent aux autorités

Royaume-Uni : l’Intérieur souhaite que les messageries chiffrées s’ouvrent aux autorités

Le ministre français apprécie cette idée

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

27/03/2017 7 minutes
29

Royaume-Uni : l’Intérieur souhaite que les messageries chiffrées s'ouvrent aux autorités

Hamber Rudd, secrétaire d'État à l'Intérieur du Royaume-Uni, a annoncé hier que des discussions allaient avoir lieu avec WhatsApp et d’autres services du même type pour les amener à coopérer dans les enquêtes. Au cœur du problème une fois de plus, le chiffrement, sur fond de terrorisme.

Le Royaume-Uni pourrait déclarer la guerre au chiffrement dans les solutions de messagerie, si l’on en croit Amber Rudd. La secrétaire d’État à l’Intérieur était hier l’invitée de l'émission Andrew Marr Show sur la BBC. Interrogée sur les évènements de Londres la semaine dernière et l’enquête autour de Khalid Masood (qui a tué quatre personnes devant le Parlement avant d’être abattu), elle a indiqué que les terroristes n’avaient pas le droit de se cacher.

« Inacceptable »

La ligne directrice est claire devant le chiffrement de bout en bout : « C’est complètement inacceptable. Il ne devrait y avoir aucun endroit où se cacher pour les terroristes. Nous devons nous assurer que des organisations comme WhatsApp, et il y en a beaucoup d’autres comme celle-là, ne fournissent pas un endroit sûr aux terroristes pour qu’ils communiquent entre eux ».

Des propos qui éclatent dans le sillage d’un élément important souligné par l’enquête : quelques minutes avant de passer à l’acte, Khalid Masood s’était connecté à WhatsApp. Impossible pour les agents de savoir ce qui s’y est passé : la messagerie dispose depuis l’année dernière du chiffrement par défaut. En dépit de certains doutes apparus récemment, tout tend à montrer que WhatsApp est dans l’incapacité d’accéder aux données.

L'Intérieur oppose les entreprises au grand public

La secrétaire d’État ne semble pas comprendre cette situation. Elle a indiqué au cours de l’émission qu’elle avait convoqué les dirigeants des plus grandes entreprises le 30 mars afin de discuter du sujet, qui s’annonce d’avance très épineux. Elle espère cependant ne pas avoir à recourir à une nouvelle législation : « Ces gens ont des familles, des enfants aussi. Ils devraient être de notre côté, et je vais essayer de remporter de dégat ».

Une présentation qui met directement en opposition les entreprises avec les intérêts de la population : il faudrait ainsi faire appel aux sentiments humains des patrons pour leur rappeler la dimension tragique de l’événement. Mais ce serait nier que de telles affaires ont bien d’autres aspects, car il ne s’agit que d’une nouvelle charge contre le chiffrement, accusé de bien des maux depuis plusieurs années.

Associer chiffrement et terrorisme

Il suffit de se rappeler la bataille qui a opposé Apple et le FBI : le chiffrement pose un problème. Il permet d’un côté d’augmenter radicalement la sécurité des échanges et du stockage des données, mais interfère de l’autre avec les enquêtes. Les forces de l’ordre s’inquiètent régulièrement de technologies qui bloquent l’accès aux données, certaines enquêtes ayant été bloquées.

WhatsApp lui-même n’est clairement pas sur le devant de la scène pour la première fois. Le service a eu ainsi droit à plusieurs coupures imposées par la justice brésilienne car l’éditeur « refusait » de donner les informations réclamées. WhatsApp avait expliqué par la suite n’avoir aucun accès aux données, à cause justement du chiffrement de bout en bout.

Ce dernier concentre actuellement les pires craintes. Il définit un type de chiffrement où le contenu passe à la moulinette avant de quitter l’appareil. En fait, ce dernier influe directement sur la clé. Le serveur devient donc (en théorie) un simple relai d’informations pour des messages que personne ne peut dechiffrer, à moins d’investir de très importantes sommes dans une attaque par force brute. Une arme que les terroristes pourraient utiliser pour fomenter leurs méfaits.

L'éternelle tentation du chiffrement faible

Le curseur entre sécurité et sécurité semble impossible à placer, tant les attentes sont antagonistes. WhatsApp (qui fait partie de Facebook) a déjà indiqué qu’elle coopérerait avec la police pour fournir autant d’informations que possible. Mais la société, ainsi que plus généralement toutes celles gérant des données privées, font de la sécurité un enjeu majeur. Un impératif économique dans un monde post-Snowden : si les utilisateurs n’ont pas confiance, ils ne viendront pas.

C’est probablement la ligne de défense que rencontrera Amber Rudd jeudi lors de sa rencontre avec les responsables. Elle compte ainsi leur rappeler un temps où des mandats permettaient de « fouiller une enveloppe ou d’écouter au téléphone ». Pourquoi la situation serait-elle différente cette fois-ci ? Parce que le chiffrement ne sert pas qu’à repousser les yeux indiscrets, un concept qui semble échapper à une partie de la classe politique.

Il assure en effet des services cruciaux dans un monde où la communication électronique est omniprésente. Il permet de s’assurer que deux contacts sont bien ce qu’ils prétendent être l’un pour l’autre, ainsi que les données n’ont pas été modifiées en chemin. Il est une composante essentielle d’une informatique de confiance, et les solutions proposées pour le contourner reviennent presque toujours au même concept : la porte dérobée.

L’idée a tendance à persister, tant certains aimeraient qu’elle soit techniquement réalisable. Mais une porte dérobée pose toujours les mêmes problèmes : une fois que la brèche existe, il ne peut y avoir aucune garantie qu’elle ne sera utilisée que par ceux pour qui elle a été créée. Dans le cas du chiffrement de bout en bout, une contrainte supplémentaire existe : l’appareil de l’utilisateur sert à créer une partie de la clé. La problématique est la même que pour le combat Apple/FBI, la société ne disposant pas des informations nécessaires.

Or, si WhatsApp devait finalement intégrer une porte dérobée, non seulement l'entreprise ne pourrait pas le faire pour un seul pays, mais les utilisateurs n'auraient finalement qu'à se tourner vers une autre solution. Le schéma se répèterait inlassablement, jusqu'aux solutions open source qui pourraient être adaptées ad vitam aeternam pour éviter les modifications. En clair, les grandes entreprises ont actuellement tout à perdre à accepter une telle demande.

Et si WhatsApp quittait le Royaume-Uni ?

L’attitude des entreprises sera donc particulièrement intéressante à suivre. S’il leur est demandé d’affaiblir volontairement le chiffrement, elles pourraient avoir l’opportunité de quitter le Royaume-Uni. C’est par exemple la décision qu’avait prise BlackBerry au Pakistan, ce dernier faisant finalement demi-tour sur ses demandes.

En France, Matthias Fekl, ministre de l’Intérieur, a en tout cas apporté dans un tweet son soutien à Amber Rudd. Le rêve d’un chiffrement affaibli se retrouve également dans l’Hexagone, en dépit d’une ANSSI ayant largement insisté sur l’importance de cette technologie, vectrice selon elle de « paix et de prospérité ».

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

« Inacceptable »

L'Intérieur oppose les entreprises au grand public

Associer chiffrement et terrorisme

L'éternelle tentation du chiffrement faible

Et si WhatsApp quittait le Royaume-Uni ?

Commentaires (29)


Breaking news pour gouvernement idiot : A part faire de l’affichage, ce genre de solutions ca va surtout faire migrer les pires personnes vers d’autres modes de communications …


Avant d’enquêter sur le contenue de l’éventuelle conversation cryptée du terroriste, ont ils enquêté sur le destinataire du message qui lui doit être fournissable par What’App !


Ils méritent un point cazeneuve là…


Les terroristes pourront toujours utiliser un chat en ligne sur un site en https. Du point de vue surveillance, si le serveur n’est pas consultable par les autorités, c’est kif-kif avec un chiffrage de bout-en-bout. Les gouvernements vont utiliser cette excuse pour interdire ou trouer le https ?


De toute façons ce sont les mêmes politiques qui clameront haut et fort qu’il faut beaucoup de chiffrement quand des secrets d’états fuiterons ou que de gros scandale d’espionnage industriels pour manque de chiffrement arriverons…. 





 


Le chiffrement faible, ou autrement dit pas de chiffrement quoi.  La seule solution étant de stocker la clé privée de chiffrement coté serveur, et là on perd tout intérêt au bordel.



Instaurer un backdoor dans des applications grand public n’aura pour effet que de pouvoir tout enregistrer sur les gens qui n’ont rien à se reprocher justement.

On se doute bien qu’un terroriste qui ne veut pas se faire prendre avant sa boucherie n’utilisera plus WhatsApp si des doutes émergent sur le chiffrement de ses messages. Mme Michu par contre continuera et laissera sa vie privée à la disposition de ceux qui veulent sans même le savoir. Ça serait un sacré retour en arrière.


C’est quoi l’excuse pour ne pas avoir déjoué les attentats avant l’arrivé en masse des messagerie chiffrées, ou même simplement de la démocratisation d’internet, en particulier sur les mobiles ?



Le chiffrement, c’est juste un bouc émissaire… les terroristes pourraient même se donner les ordres de la main à la main que çà serait pareil au final : boom.


Ils devraient essayer d’interdire l’accès à Internet et à  la téléphonie/SMS. Même en ayant les services de communications des GAFAM au service des gouvernements, les personnes malintentionnées pourront toujours utiliser un système alternatif, pair-à-pair ou tout simplement éviter le numérique comme cité au-dessus.


Je pensais qu’ils avaient tout ce qu’il fallait en termes de portes dérobées hardware&nbsp;<img data-src=" />


En mettant les sentiments de coté.



On supprime le chiffrement pour pour un terroriste qui a tué 4 personnes.



On fait quoi pour les politiques, laboratoires pharmaceutique, sociétés d’armement, lobbies, banques… qui tuent indirectement beaucoup plus?








News a écrit :



Le curseur entre sécurité et sécurité semble impossible à placer.



Moi je le place sur sécurité <img data-src=" />.







News a écrit :



Elle compte ainsi leur rappeler un temps où des mandats permettaient de « fouiller une enveloppe ou d’écouter au téléphone ». Pourquoi la situation serait-elle différente cette fois-ci ?





Tout simplement parce que les « mandats » ne permettent pas non plus d’ouvrir les coffres-forts…



Affaiblir le chiffrement c’est juste affaiblir la vie privée de la population, ça n’impactera absolument pas les terroristes. Ceux-ci ce tourneront vers des solutions de messagerie chiffré maison ou qui ne seront pas concerné par la législation.


Comprendre un problème c’est déjà l’avoir à moitié résolu.

Corolaire -&gt; Si vous n’avez pas compris le problème, vous ne pourrez jamais le résoudre.



Il serait temps que la politique cherche à comprendre les problèmes avant de chercher des solutions là où elles ne sont pas …


Il faut aussi que quand on loue un 4x4, on signe une attestation sur l’honneur que l’on est pas un terroriste et pareil que même pour acheter une machette. <img data-src=" />


Et si jamais ils arrivent à bloquer le serveur, les gars pourront toujours utiliser les emails.



Le chiffrement est une idée, pas une implémentation. La seule chose éventuellement bloquable c’est la communication en elle même. Mais il faudrait qu’ils comprennent un jour que vouloir bloquer les communications sur un réseau qui a été spécifiquement conçu pour résister à une guerre mondiale nucléaire, c’est totalement irréaliste.

&nbsp;

Le seul moyen d’empêcher les terroristes de communiquer par internet, ce serait d’interdire complètement internet. Mais cela n’empêchera pas les terroristes de communiquer. Même la Corée du Nord n’arrive pas à contrôler totalement les communications.


Les terroristes n’ont pas besoin du chiffrement fort pour passer sous les radars, Les terroristes parlent aux terroristes<img data-src=" />


en fait ce n’est pas qu’en France ou les politicards sont un poil idiots <img data-src=" />



Parce que le terroriste utilise What’s app allez demandons à What’s app de casser le chiffrement <img data-src=" /> !!



Et lorsque ladit mechant monsieur passera sur une autre solution on fera quoi alors <img data-src=" /> ?&nbsp;




elle a indiqué que les terroristes n’avaient pas le droit de se cacher





Et les autres ?

&nbsp;

Ca prend du temps mais on arrive tout doucement au&nbsp; #JeSuisPrésuméTerroriste…



Pour Cazeneuve, rien n’est perdu : au Salon du Livre, l’éditeur lui a offert le livre Surveillance:// de Tristan Nitot !

Il va devenir un hackrz militant à la Quadrature ! \o/




Il assure en effet des services cruciaux dans un monde où la communication électronique est omniprésente. Il permet de s’assurer que deux contacts sont bien ce qu’ils prétendent être l’un pour l’autre, ainsi que les données n’ont pas été modifiées en chemin.



pour le coup, est-ce vraiment indispensable de chiffrer l’intégralité du message pour garantir l’identité des personnes et l’intégrité du message?

(question “technique” hein, je ne cautionne pas ce que veux faire le gouvernement UK)


après l’Allemagne et la France, c’est au tour du RU de demander une “coopération” des services de messagerie.

on s’oriente donc vers une pression accrue sur ces mêmes services pour qu’ils fournissent le contenu (et non plus seulement les metadata qui, incroyable, ne semblent plus suffire) des conversations du plus grand nombre, et évidemment pas des terroristes, qui s’adapteront.



il est assez piquant de constater qu’alors qu’à l’époque de la loi renseignement (printemps 2015 lol) “on” nous expliquait que les données de contenu seraient “exclues de la mise en oeuvre du traitement”, on nous explique soudain qu’en fait ces données de contenu sont nécessaires à la lutte anti-terro.





Soyons clairs: si effectivement les données de contenu sont exclues (donc pas traitées), on se contrefout qu’elles soient chiffrées, non?



à moins que… <img data-src=" />








tpeg5stan a écrit :



Je pensais qu’ils avaient tout ce qu’il fallait en termes de portes dérobées hardware <img data-src=" />





Ça veut dire quoi, concrètement ?



En effet, il est possible de ne faire que signer les communications. Mais la sécurité, ça peut être aussi la confidentialité du message.


Je trollais, bien évidemment <img data-src=" />



Concrètement, certaines agences de sécurité auraient (rien de confirmé) des puces dont leurs constructeurs “ne savent pas ce que c’est” capables d’enregistrer les clés de chiffrement de l’appareil et copier des données pour les transmettre à qui de pas le droit. C’est au plus bas niveau que l’OS, et difficile à enlever.



Si tu aimes les théories du complot :&nbsphttps://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-sho… (ça touche généralement l’équipement réseau, pas les produits grand public, mais sait-on jamais…).


<img data-src=" />

<img data-src=" />


/rude








ForceRouge a écrit :



En mettant les sentiments de coté.



On supprime le chiffrement pour pour un terroriste qui a tué 4 personnes.



On fait quoi pour les politiques, laboratoires pharmaceutique, sociétés d’armement, lobbies, banques… qui tuent indirectement beaucoup plus?







Tu comprends rien ! C’est pas pareil, c’est comme la différence entre le bon et le mauvais chasseur, le premier il voit un truc il tue, le second il voit un truc il tue aussi mais c’est un mauvais chasseur



Pendant ce temps, les banques refusent toute communication sur l’exil fiscal, et bizarrement, y’a peu de politiques qui chargent


Et si on interdisait simplement aux terroriste d’utiliser WhatsApp? Quitte à pas réfléchir, autant assumer…