Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Chiffrement : Bruxelles prépare son futur arsenal, face à un problème bien flou

Du chiffrement mais pas de chiffres
Internet 6 min
Chiffrement : Bruxelles prépare son futur arsenal, face à un problème bien flou
Crédits : Marco_Piunti/iStock

La Commission compte aider les forces de l'ordre bloquées face à un contenu chiffré. Début 2018, un nouveau cadre légal doit être proposé, face à un problème aux conséquences qui restent encore à mesurer. En parallèle, Europol demande l'arrêt du regroupement d'internautes derrière la même adresse IPv4, utilisé par de nombreux FAI.

Nouveau tour de vis en vue sur le chiffrement. La Commission européenne a présenté hier un nouveau lot de mesures contre le terrorisme, dans le cadre de l'Union de la sécurité. L'institution compte assister les forces de l'ordre lorsqu'elles y sont confrontées dans les affaires criminelles, via des solutions techniques et légales.

Bien entendu, l'objectif n'est pas d'affaiblir cette protection, quand bien même les capacités pour la mettre à mal doivent être grandement améliorées. En parallèle, Europol s'agace d'une conséquence de la pénurie d'adresses IPv4 : l'utilisation d'une même adresse publique pour plusieurs internautes, qui compliquerait l'identification des criminels.

Un problème que l'office voudrait voir rapidement réglé.

Aider les forces de l'ordre contre le chiffrement

Pour faciliter l'accès aux preuves numériques, la Commission compte donc écrire un nouveau cadre législatif début 2018, sur la collaboration transfrontalière en la matière. En attendant, l'institution compte mettre en place quelques idées concrètes :

  • soutenir les capacités de décryptage d'Europol, via l'European Cybercrime Center (EC3) qui se voit renforcé ;
  • établir un réseau de points d'expertise sur le chiffrement ;
  • créer une boite à outils d'instruments légaux et techniques ;
  • entrainer les forces de l'ordre sur le chiffrement, avec un soutien de 500 000 euros du fonds européen pour la sécurité intérieure ;
  • établir un observatoire des développements légaux et techniques ;
  • structurer le dialogue avec les industriels et les organisations citoyennes.

Selon l'institution européenne, « dans bien des cas, les données électroniques peuvent être les seules informations et preuves disponibles pour poursuivre et condamner les criminels ».

L'importance du problème serait d'ailleurs amenée à grandir dans les prochaines années, entre autres à cause du chiffrement systématique des smartphones ou des services de messagerie (de Messenger à WhatsApp en passant par Signal ou Telegram). Pourtant, pour certains spécialistes, il ne serait pas un problème essentiel dans les enquêtes.

Le blocage des enquêtes encore à déterminer

Interrogé aux Assises de la sécurité de Monaco, Fortunato Guarino, spécialiste de l'expertise judiciaire chez Guidance Software, relativise l'importance du chiffrement dans les enquêtes. La question n'est donc pas essentielle, selon lui.

« Aujourd'hui, il y a quantité de moyens pour définir un délit ou la présomption (de son innocence ou de sa présence sur le lieu du crime), comme la géolocalisation, qui n'est pas chiffrée. Certes, il va peut-être chiffrer le contenu du délit, mais ceci étant, on va pouvoir démontrer qu'il est là quand le délit a eu lieu » détaille-t-il.

Le chiffrement peut donc bien bloquer l'accès à des contenus spécifiques. Faire appel aux capacités de décryptage des services de renseignement, si possible, prend du temps sans garantie de résultat. De quoi décourager bien des officiers de police. Outre-Atlantique, le FBI a tout de même dû payer 1,3 million de dollars pour une faille, dans le but de déchiffrer l'iPhone 5c d'un suspect dans la tuerie de San Bernardino.

Il reste que si un suspect chiffre ses communications ou son smartphone, il risque de commettre des erreurs sur d'autres plans, ou récidiver. « On a tous notre ego dans ce métier. On a tous notre pré carré où on sera très bons, en commettant des erreurs basiques à côté. Ce qu'on ne trouvera pas d'un côté, on pourra le chercher ailleurs » résume le spécialiste.

« Les messageries instantanées reposent le débat » du chiffrement

Aux Assises de la sécurité, Guillaume Poupard, le directeur général de l'agence française de sécurité informatique (ANSSI) a répété sa défense de cette technique. Il note tout de même les nouvelles contraintes du chiffrement de bout en bout, devenu un standard sur les services de discussion.

« Les messageries instantanées reposent complètement le débat. Ce qui fonctionnait pour les opérateurs télécoms classiques ne fonctionne plus tel quel aujourd'hui. Il faut idéalement, et le procureur Molins ne dit rien d'autre, dans des cas très spécifiques, être capable d'accéder à ces contenus. Se pose la question de comment ; s'il y avait une solution simple, elle serait déjà en place » pose-t-il.

 Selon lui, des enquêtes sont bien bloquées, sans parler de la frustration de plus en plus répandue des forces de l'ordre face à un appareil au contenu inaccessible. Quid des métadonnées, qui en disent déjà beaucoup ? « Il y a déjà énormément d'informations avec les métadonnées. Mais fondamentalement, il restera des cas où il faut accéder au contenu. »

Oubliées les portes dérobées ?

La Commission européenne insiste sur les capacités de décryptage, donc l'obtention des données sans la clé de chiffrement. La collaboration avec les acteurs privés, montrant pour certains patte blanche sur la suppression des contenus terroristes, est aussi en ligne de mire.

L'institution n'évoque pas ici l'idée de portes dérobées, qui permettraient d'obtenir simplement les données, au risque de voir n'importe qui les utiliser. Les précédentes mentions avaient été reçues par une levée de boucliers d'organisations citoyennes et des services de messagerie eux-mêmes, qui vivent de la confiance que leur accordent les internautes.

Dans leur plan exposé en juin, Emmanuel Macron et Theresa May affirmaient vouloir concilier le secret des correspondances à l'accès ciblé aux contenus de suspects. Il faut donc que le service accède aux clés de chiffrement, ou ait un moyen de les obtenir (en l'affaiblissant donc).

Interrogé, Fortunato Guarino de Guidance croit peu aux portes dérobées, rappelant le blocage purement technique que pose le chiffrement de bout en bout. Une autre idée, déjà évoquée, serait qu'un service conserve des failles connues le temps d'une enquête, pour ensuite la combler. Pour le directeur de l'ANSSI, le processus serait trop lourd, dans un délai réduit, pour être viable. Surtout, « les vulnérabilités sont faites pour être comblées » tranche-t-il.

Europol veut voir votre (vraie) adresse IP

Pour sa part, Europol a d'autres soucis, encore techniques. Dans un communiqué, l'organisation se plaint des Carrier Grade NAT (CGNAT), mis en place depuis quelques années pour pallier la pénurie d'adresses IPv4. L'astuce : placer plusieurs internautes derrière la même adresse IP publique, en les différenciant par le port utilisé.

Le procédé est utilisé par les principaux fournisseurs d'accès français, en attendant qu'IPv6 décolle. Le rythme de transition étant très timide, une partie des internautes risquent encore de passer par des CGNAT encore quelques années, ce qui ennuie Europol.

« Partagez-vous l'adresse IP d'un criminel ? Les forces de l'ordre appellent à la fin des Carrier Grade NAT pour améliorer la responsabilité en ligne » titre l'organisation. Selon elle, l'adresse IP est parfois le seul moyen d'identifier un criminel en ligne. L'attribution étant déjà compliquée en matière informatique, cela poserait un défi supplémentaire, dans des proportions inconnues.

Europol rappelle que le plan d'action Macron-May de juin inclut déjà la question du CGNAT, quand l'Union européenne a promis de s'occuper rapidement de la question.

La solution existe déjà dans d'autres cas. La Hadopi peine à identifier certains abonnés de Free partageant la même adresse. Elle demande depuis plusieurs années d'obtenir le port utilisé, pour trouver l'internaute fautif. L'office de police européen pourrait donc aussi explorer cette piste, en attendant que les FAI mettent bel et bien fin aux CGNAT.

35 commentaires
Avatar de ForceRouge INpactien
Avatar de ForceRougeForceRouge- 20/10/17 à 06:51:13

Pas de backdoor, fin du cgnat. Ca va plutôt dans le bon sens.

Avatar de ragoutoutou Abonné
Avatar de ragoutoutouragoutoutou- 20/10/17 à 07:03:16

Afin de lutter contre le carrier grade NAT, et vu la vitesse des FAI pour passer à IPv6, Europol va financer la mise en place d'un nouveau bloc ipv4 en 256.0.0.1/8

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 20/10/17 à 07:20:49

Une directive européenne va instaurer la création d'un bit européen - l'eurobit - qui pourra encoder 3 valeurs distinctes: 0, 1 et 1+

Avatar de ragoutoutou Abonné
Avatar de ragoutoutouragoutoutou- 20/10/17 à 07:25:30

Pascal Rogard s'opposera à moins que l'UE s'engage à ce que ce bit soit incopiable.

Et la France exigera qu'au moins 60% de ces bits concernent des fims avec Dany Boon ou  Omar Sy.

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 20/10/17 à 07:40:44

ForceRouge a écrit :

Pas de backdoor, fin du cgnat. Ca va plutôt dans le bon sens.

En effet, par contre je me demande comment ils compte tout de même accéder aux données chiffrées. Casser les chiffrements à l'aide d'ordinateurs quantiques, torturer le suspect quand ils l'ont sous la main… ?

Avatar de sephirostoy Abonné
Avatar de sephirostoysephirostoy- 20/10/17 à 07:43:04

Le chiffrement, c'est tabou, on en viendra tous à bout :pastaper:

Avatar de Quiproquo Abonné
Avatar de QuiproquoQuiproquo- 20/10/17 à 07:49:13

Je ne vois que deux solutions : interdire le chiffrement de bout en bout pour pouvoir obtenir les clefs auprès du fournisseur de service, ou exiger la communications des clefs par le suspect, avec arsenal législatif très dissuasif (ce qui, dans les pays où le droit autorise à ne pas s'incriminer, ne manque pas de sel).

Avatar de bloossom Abonné
Avatar de bloossombloossom- 20/10/17 à 08:02:06

heureusement que pour l'intant, le bouclier semble être beaucoup plus fort que l'épée.

Il faut quand même rappeler que l'utilisation massive du chiffrement par le grand public répond à la crainte de celui-ci d'être espionné, notamment par les Etats.

C'est fatiguant de voir encore une fois les forces de l'ordre pleurnicher pour obtenir toujours plus de moyens alors qu'ils n'en ont jamais eu autant. Qu'on commence par respecter les droits fondamentaux des gens sur internet, après on verra pour donner plus de pouvoir à l'Etat.

Et au passage, c'est vraiment dommage de voir qu'une fois de plus la Commission met totalement de côté le fait que le chiffrement et la sécurité des communications est le socle fondamental d'une économie numérique florissante.

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 20/10/17 à 08:11:12

« Partagez-vous l'adresse IP d'un criminel ? Les forces de l'ordre appellent à la fin des Carrier Grade NAT pour améliorer la responsabilité en ligne »

Ha ha ha ha

On dirait une parodie.

Avatar de Gnppn Abonné
Avatar de GnppnGnppn- 20/10/17 à 08:14:45

You wouldn't download an IPv4 :D

Il n'est plus possible de commenter cette actualité.
Page 1 / 4