Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Sans parler de backdoor, le FBI souhaite quand même faciliter l'accès aux données chiffrées

On reprend les mêmes
Internet 6 min
Sans parler de backdoor, le FBI souhaite quand même faciliter l'accès aux données chiffrées
Crédits : South_agency/iStock

Le directeur du FBI, James Comey, a apporté son soutien à une future proposition de loi américaine qui introduirait l’obligation pour les entreprises nationales de ménager des voies d’accès à travers le chiffrement dans le cadre d’enquêtes. Un mouvement qui illustre une situation toujours aussi tendue dans le monde de la sécurité.

Depuis les révélations d’Edward Snowden en 2013, la sécurité informatique en général est ballotée au gré des annonces des entreprises et des gouvernements. Le choc initial a provoqué une grave crise de confiance dans les entreprises du cloud, qui se sont toutes employées à communiquer abondamment sur le sujet, mettant peu à peu en place des mesures supplémentaires de chiffrement, parfois classiques, d’autres de bout en bout.

Mais, comme on a pu le voir avec l’opposition du FBI à Apple, la situation est très loin d’être réglée. Tout repose sur un curseur qui se déplace entre la sécurité des communications et celle, plus générale, des populations à travers les enquêtes des forces de l’ordre. Un nombre croissant d’appareils mobiles ne révéleraient plus ses secrets à cause du chiffrement, arguent les autorités, amenant régulièrement de nouveaux projets de loi.

C’est justement à l’un d’entre eux que le directeur du FBI apporte désormais son soutien.

Une situation qui ne cesse de se complexifier

Devant le comité juridique du Sénat américain, James Comey a répondu à une série de questions portant sur l’état actuel des enquêtes face au chiffrement. Plusieurs éléments de réponse donnent une idée assez précise de la manière dont le chiffrement peut influer négativement sur les enquêtes en cours.

Ainsi, durant les six premiers mois de l’actuelle année fiscale, plus de 3 000 appareils mobiles se seraient révélés impossibles à ouvrir. Leur contenu peut être important dans le cadre des enquêtes, notamment pour révéler les contacts fréquents d’un suspect. Selon Comey, c’est presque la moitié des smartphones et tablettes récupérés pendant cette période. Il n’a cependant pas pu fournir de réponse quand la sénatrice Dianne Feinstein lui a demandé la proportion d’appareils impliqués dans des affaires de terrorisme.

Autre point intéressant, le fait que les informations techniques mises à disposition par les constructeurs ne soient pas toujours exploitables. Il a ainsi indiqué qu’elles étaient « rapidement périssables », à cause de cycles de support trop courts. Les failles parfois utilisées peuvent être également corrigées suite à des révélations, ou simplement parce que les éditeurs concernés les découvrent.

Un énième projet de loi espérant faciliter les échanges de données

Face à une situation globale qui semble inextricable, James Comey apporte son soutien à un projet de loi qui devrait être proposé prochainement par Dianne Feinstein. La sénatrice est impliquée depuis des années dans les comités sénatoriaux imposés au FBI, à la CIA et à la NSA pour en contrôler les résultats et surtout les méthodes.

Ce projet est la reprise presque à l’identique d’un autre proposé l’année dernière, qui prévoyait d’imposer aux entreprises de déchiffrer pour les forces de l’ordre les données ciblées par une enquête. La proposition avait finalement été abandonnée, faute d’un soutien suffisant dans le Sénat. Depuis, avec un changement de présidence et certaines affaires comme la tuerie de San Bernardino (qu’elle a évoquée hier), le contexte semble plus adapté pour retenter sa chance.

Face à ce sujet, James Comey a tenté de rassurer : « Nous avons de très bonnes conversations, très ouvertes, avec le secteur privé au cours des 18 derniers mois sur ce problème, parce que tout le monde se rend compte que nous sommes tous concernés. Nous aimons tous la vie privée, nous faisons tous attention à la sécurité publique, et aucun de nous ne veut des portes dérobées – nous ne voulons pas l’accès aux appareils produits de quelque manière que ce soit ».

Et d’ajouter que tout ce qu’il souhaite, c’est qu’un terrain soit aménagé pour simplifier la vie de tout le monde et laisser les enquêtes suive leur cours. Évidemment, la situation est loin d’être aussi simple qu’il le décrit.

La même problématique, encore et toujours

« Comment pouvons-nous optimiser les fonctionnalités de vie privée et de sécurité sur leurs appareils et permettre en même temps aux mandats d’être appliqués ? » demande James Comey, avant de répondre : « Nous avons de bonnes conversations à ce sujet – franchement, je ne sais pas où elles vont mener ». Et c’est bien là tout le problème.

Tous les projets de loi en la matière se gardent bien d’évoquer le concept de porte dérobée, qui reviendrait à affaiblir volontairement le chiffrement pour garder la main sur les données en cas de besoin. Les directeurs d’agences et responsables politiques préfèrent évoquer des discussions et des aménagements, avec une finalité identique : si un mandat intime l’ordre à une entreprise de fournir des données, elle doit le faire. Ce qui revient précisément au même.

Il n’y a aucune solution miracle dans ce domaine. Si un éditeur veut récupérer des données, il lui faut une trappe par laquelle les exfiltrer. Cette trappe, c’est évidemment la porte dérobée. Le projet revient à leur demander en effet d’affaiblir le chiffrement en introduisant un trou dans la protection. Il ne reste alors essentiellement que deux possibilités.

Soit l’entreprise a la clé, soit elle ne l’a pas. Le premier cas s’applique souvent aux données stockées dans le cloud. L’affaire de San Bernardino avait rappelé notamment qu’Apple ne pouvait pas percer le chiffrement de l’iPhone (le code PIN entre dans la composition de la clé), mais elle pouvait accéder aux informations dans iCloud si elles avaient été synchronisées. Dans le second cas, l’implémentation d’une porte dérobée est obligatoire.

Le cas WhatsApp illustre les tensions actuelles

La question se pose surtout pour les services qui ont fait du chiffrement de bout en bout la sécurité par défaut de leurs communications. Parmi les applications les plus couramment utilisées, WhatsApp en est clairement le porte-étendard. Dans ce mode, l’éditeur ne possède pas la clé, ne devenant alors qu’un relais pour des informations chiffrées avant même qu’elles ne quittent le smartphone. Les caractéristiques matérielles de ce dernier servent d’ailleurs à composer la clé de chiffrement.

On rappellera que cet aspect a entrainé des problèmes pour WhatsApp, notamment au Brésil et au Royaume-Uni. À chaque fois, le problème est le même : des données sont réclamées, WhatsApp est dans l’incapacité de les fournir. Au Brésil, le service avait même dû subir plusieurs interruptions imposées par la justice.

Mais James Comey en est certain maintenant : « Je pense que les entreprises du numérique se rendent mieux compte aujourd’hui de l’obscurité – mon inquiétude était que la vie privée soit si importante qu’elles ne voient pas le coût pour la sécurité publique. Je pense qu’elles l’appréhendent mieux maintenant ».

Reste à voir la proposition de loi, et la manière dont les entreprises réagiront. Après les décrets anti-immigration et mesures pro-charbon de Donald Trump, elles se préparent sans doute à une nouvelle vague de protestations... comme elle l'avait fait l'année dernière devant le projet de Dianne Feinstein.

19 commentaires
Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

On dirait un électeur du FN en train d'expliquer qu'il n'est pas raciste, ou moi qui expliquerais que je ne trolle pas quand je me ferais sworder pour ce commentaire :transpi:

Édité par ActionFighter le 04/05/2017 à 13:21
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 04/05/17 à 13:23:52

"...notamment pour révéler les contacts fréquents d’un suspect."

Les méta-données du fournisseur d'accès ne suffisent pas dans ce cas précis ?
(ça ne résout pas le problème de l'accès aux contenus mais bon...)

En résumé, le type dit malgré tout "on ne veut pas une backdoor mais une backdoor serait bien cool quand même"

Avatar de ArchangeBlandin Abonné
Avatar de ArchangeBlandinArchangeBlandin- 04/05/17 à 13:27:58

Non, ne nous percez pas une porte pour nous... Par contre, si vous pouvez baisser la hauteur du mur d'enceinte à 50cm, ce serait super.

Il aurait fait fureur au moyen age pour les constructions de châteaux.

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 04/05/17 à 13:31:24

Vincent a écrit :

Il n’a cependant pas pu fournir de réponse quand la sénatrice Dianne Feinstein lui a demandé la proportion d’appareils impliqués dans des affaires de terrorisme.

C'est mignon... pas pu.

Sérieusement ?? :mdr:

Avatar de Hugues1337 Abonné
Avatar de Hugues1337Hugues1337- 04/05/17 à 13:33:16

On est pas vendredi coco.

Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

Hugues1337 a écrit :

On est pas vendredi coco.

Backdoor, pas backdoor, vendredi, pas vendredi... :fumer:

Avatar de Ricard INpactien
Avatar de RicardRicard- 04/05/17 à 13:42:34

ActionFighter a écrit :

Backdoor, pas backdoor, vendredi, pas vendredi... :fumer:

Le commentaire de Schrödinger. :francais:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 04/05/17 à 13:49:40

Le FBI ne veut pas de backdoor, il veut que les entreprises puissent fournir les données.

Après, si les entreprises sont obligées de mettre une backdoor pour fournir les données, c'est pas son problème. :D

A la question "est-ce que le FBI ne se fout-il pas un peu de notre gueule ?", la réponse est "très certainement".

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 04/05/17 à 13:55:37

A quand un smiley "Enfumage" sur NXI ? :devil:

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 04/05/17 à 14:29:46

WereWindle a écrit :

"...notamment pour révéler les contacts fréquents d’un suspect."

Les méta-données du fournisseur d'accès ne suffisent pas dans ce cas précis ?
(ça ne résout pas le problème de l'accès aux contenus mais bon...)

En résumé, le type dit malgré tout "on ne veut pas une backdoor mais une backdoor serait bien cool quand même"

C'est ce que je me suis dis d'abord, mais ça n'est possible que pour les métadonnées de communications directes par le fournisseur d'accès (type appel téléphonique classique). Tout ce qui passe par une application centralisée masque le vrai destinataire.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • Une situation qui ne cesse de se complexifier
  • Un énième projet de loi espérant faciliter les échanges de données
  • La même problématique, encore et toujours
  • Le cas WhatsApp illustre les tensions actuelles
S'abonner à partir de 3,75 €