Chiffrement : Bruxelles prépare son futur arsenal, face à un problème bien flou

Chiffrement : Bruxelles prépare son futur arsenal, face à un problème bien flou

Du chiffrement mais pas de chiffres

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

20/10/2017 7 minutes
35

Chiffrement : Bruxelles prépare son futur arsenal, face à un problème bien flou

La Commission compte aider les forces de l'ordre bloquées face à un contenu chiffré. Début 2018, un nouveau cadre légal doit être proposé, face à un problème aux conséquences qui restent encore à mesurer. En parallèle, Europol demande l'arrêt du regroupement d'internautes derrière la même adresse IPv4, utilisé par de nombreux FAI.

Nouveau tour de vis en vue sur le chiffrement. La Commission européenne a présenté hier un nouveau lot de mesures contre le terrorisme, dans le cadre de l'Union de la sécurité. L'institution compte assister les forces de l'ordre lorsqu'elles y sont confrontées dans les affaires criminelles, via des solutions techniques et légales.

Bien entendu, l'objectif n'est pas d'affaiblir cette protection, quand bien même les capacités pour la mettre à mal doivent être grandement améliorées. En parallèle, Europol s'agace d'une conséquence de la pénurie d'adresses IPv4 : l'utilisation d'une même adresse publique pour plusieurs internautes, qui compliquerait l'identification des criminels.

Un problème que l'office voudrait voir rapidement réglé.

Aider les forces de l'ordre contre le chiffrement

Pour faciliter l'accès aux preuves numériques, la Commission compte donc écrire un nouveau cadre législatif début 2018, sur la collaboration transfrontalière en la matière. En attendant, l'institution compte mettre en place quelques idées concrètes :

  • soutenir les capacités de décryptage d'Europol, via l'European Cybercrime Center (EC3) qui se voit renforcé ;
  • établir un réseau de points d'expertise sur le chiffrement ;
  • créer une boite à outils d'instruments légaux et techniques ;
  • entrainer les forces de l'ordre sur le chiffrement, avec un soutien de 500 000 euros du fonds européen pour la sécurité intérieure ;
  • établir un observatoire des développements légaux et techniques ;
  • structurer le dialogue avec les industriels et les organisations citoyennes.

Selon l'institution européenne, « dans bien des cas, les données électroniques peuvent être les seules informations et preuves disponibles pour poursuivre et condamner les criminels ».

L'importance du problème serait d'ailleurs amenée à grandir dans les prochaines années, entre autres à cause du chiffrement systématique des smartphones ou des services de messagerie (de Messenger à WhatsApp en passant par Signal ou Telegram). Pourtant, pour certains spécialistes, il ne serait pas un problème essentiel dans les enquêtes.

Le blocage des enquêtes encore à déterminer

Interrogé aux Assises de la sécurité de Monaco, Fortunato Guarino, spécialiste de l'expertise judiciaire chez Guidance Software, relativise l'importance du chiffrement dans les enquêtes. La question n'est donc pas essentielle, selon lui.

« Aujourd'hui, il y a quantité de moyens pour définir un délit ou la présomption (de son innocence ou de sa présence sur le lieu du crime), comme la géolocalisation, qui n'est pas chiffrée. Certes, il va peut-être chiffrer le contenu du délit, mais ceci étant, on va pouvoir démontrer qu'il est là quand le délit a eu lieu » détaille-t-il.

Le chiffrement peut donc bien bloquer l'accès à des contenus spécifiques. Faire appel aux capacités de décryptage des services de renseignement, si possible, prend du temps sans garantie de résultat. De quoi décourager bien des officiers de police. Outre-Atlantique, le FBI a tout de même dû payer 1,3 million de dollars pour une faille, dans le but de déchiffrer l'iPhone 5c d'un suspect dans la tuerie de San Bernardino.

Il reste que si un suspect chiffre ses communications ou son smartphone, il risque de commettre des erreurs sur d'autres plans, ou récidiver. « On a tous notre ego dans ce métier. On a tous notre pré carré où on sera très bons, en commettant des erreurs basiques à côté. Ce qu'on ne trouvera pas d'un côté, on pourra le chercher ailleurs » résume le spécialiste.

« Les messageries instantanées reposent le débat » du chiffrement

Aux Assises de la sécurité, Guillaume Poupard, le directeur général de l'agence française de sécurité informatique (ANSSI) a répété sa défense de cette technique. Il note tout de même les nouvelles contraintes du chiffrement de bout en bout, devenu un standard sur les services de discussion.

« Les messageries instantanées reposent complètement le débat. Ce qui fonctionnait pour les opérateurs télécoms classiques ne fonctionne plus tel quel aujourd'hui. Il faut idéalement, et le procureur Molins ne dit rien d'autre, dans des cas très spécifiques, être capable d'accéder à ces contenus. Se pose la question de comment ; s'il y avait une solution simple, elle serait déjà en place » pose-t-il.

 Selon lui, des enquêtes sont bien bloquées, sans parler de la frustration de plus en plus répandue des forces de l'ordre face à un appareil au contenu inaccessible. Quid des métadonnées, qui en disent déjà beaucoup ? « Il y a déjà énormément d'informations avec les métadonnées. Mais fondamentalement, il restera des cas où il faut accéder au contenu. »

Oubliées les portes dérobées ?

La Commission européenne insiste sur les capacités de décryptage, donc l'obtention des données sans la clé de chiffrement. La collaboration avec les acteurs privés, montrant pour certains patte blanche sur la suppression des contenus terroristes, est aussi en ligne de mire.

L'institution n'évoque pas ici l'idée de portes dérobées, qui permettraient d'obtenir simplement les données, au risque de voir n'importe qui les utiliser. Les précédentes mentions avaient été reçues par une levée de boucliers d'organisations citoyennes et des services de messagerie eux-mêmes, qui vivent de la confiance que leur accordent les internautes.

Dans leur plan exposé en juin, Emmanuel Macron et Theresa May affirmaient vouloir concilier le secret des correspondances à l'accès ciblé aux contenus de suspects. Il faut donc que le service accède aux clés de chiffrement, ou ait un moyen de les obtenir (en l'affaiblissant donc).

Interrogé, Fortunato Guarino de Guidance croit peu aux portes dérobées, rappelant le blocage purement technique que pose le chiffrement de bout en bout. Une autre idée, déjà évoquée, serait qu'un service conserve des failles connues le temps d'une enquête, pour ensuite la combler. Pour le directeur de l'ANSSI, le processus serait trop lourd, dans un délai réduit, pour être viable. Surtout, « les vulnérabilités sont faites pour être comblées » tranche-t-il.

Europol veut voir votre (vraie) adresse IP

Pour sa part, Europol a d'autres soucis, encore techniques. Dans un communiqué, l'organisation se plaint des Carrier Grade NAT (CGNAT), mis en place depuis quelques années pour pallier la pénurie d'adresses IPv4. L'astuce : placer plusieurs internautes derrière la même adresse IP publique, en les différenciant par le port utilisé.

Le procédé est utilisé par les principaux fournisseurs d'accès français, en attendant qu'IPv6 décolle. Le rythme de transition étant très timide, une partie des internautes risquent encore de passer par des CGNAT encore quelques années, ce qui ennuie Europol.

« Partagez-vous l'adresse IP d'un criminel ? Les forces de l'ordre appellent à la fin des Carrier Grade NAT pour améliorer la responsabilité en ligne » titre l'organisation. Selon elle, l'adresse IP est parfois le seul moyen d'identifier un criminel en ligne. L'attribution étant déjà compliquée en matière informatique, cela poserait un défi supplémentaire, dans des proportions inconnues.

Europol rappelle que le plan d'action Macron-May de juin inclut déjà la question du CGNAT, quand l'Union européenne a promis de s'occuper rapidement de la question.

La solution existe déjà dans d'autres cas. La Hadopi peine à identifier certains abonnés de Free partageant la même adresse. Elle demande depuis plusieurs années d'obtenir le port utilisé, pour trouver l'internaute fautif. L'office de police européen pourrait donc aussi explorer cette piste, en attendant que les FAI mettent bel et bien fin aux CGNAT.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Aider les forces de l'ordre contre le chiffrement

Le blocage des enquêtes encore à déterminer

« Les messageries instantanées reposent le débat » du chiffrement

Oubliées les portes dérobées ?

Europol veut voir votre (vraie) adresse IP

Commentaires (35)


Pas de backdoor, fin du cgnat. Ca va plutôt dans le bon sens.


Afin de lutter contre le carrier grade NAT, et vu la vitesse des FAI pour passer à IPv6, Europol va financer la mise en place d’un nouveau bloc ipv4 en 256.0.0.18


Une directive européenne va instaurer la création d’un bit européen - l’eurobit - qui pourra encoder 3 valeurs distinctes: 0, 1 et 1+


Pascal Rogard s’opposera à moins que l’UE s’engage à ce que ce bit soit incopiable.



Et la France exigera qu’au moins 60% de ces bits concernent des fims avec Dany Boon ou  Omar Sy.








ForceRouge a écrit :



Pas de backdoor, fin du cgnat. Ca va plutôt dans le bon sens.





En effet, par contre je me demande comment ils compte tout de même accéder aux données chiffrées. Casser les chiffrements à l’aide d’ordinateurs quantiques, torturer le suspect quand ils l’ont sous la main… ?



Le chiffrement, c’est tabou, on en viendra tous à bout <img data-src=" />


Je ne vois que deux solutions : interdire le chiffrement de bout en bout pour pouvoir obtenir les clefs auprès du fournisseur de service, ou exiger la communications des clefs par le suspect, avec arsenal législatif très dissuasif (ce qui, dans les pays où le droit autorise à ne pas s’incriminer, ne manque pas de sel).


heureusement que pour l’intant, le bouclier semble être beaucoup plus fort que l’épée.



Il faut quand même rappeler que l’utilisation massive du chiffrement par le grand public répond à la crainte de celui-ci d’être espionné, notamment par les Etats.



C’est fatiguant de voir encore une fois les forces de l’ordre pleurnicher pour obtenir toujours plus de moyens alors qu’ils n’en ont jamais eu autant. Qu’on commence par respecter les droits fondamentaux des gens sur internet, après on verra pour donner plus de pouvoir à l’Etat.



Et au passage, c’est vraiment dommage de voir qu’une fois de plus la Commission met totalement de côté le fait que le chiffrement et la sécurité des communications est le socle fondamental d’une économie numérique florissante.




« Partagez-vous l’adresse IP d’un criminel ? Les forces de l’ordre appellent à la fin des Carrier Grade NAT pour améliorer la responsabilité en ligne »





Ha ha ha ha



On dirait une parodie.


You wouldn’t download an IPv4&nbsp;<img data-src=" />








bloossom a écrit :



Et au passage, c’est vraiment dommage de voir qu’une fois de plus la Commission met totalement de côté le fait que le chiffrement et la sécurité des communications est le socle fondamental d’une économie numérique florissante.



La Commission commence par le rappel d’usage sur le besoin d’un chiffrement fort. Et comme dit, elle évite de parler de portes dérobées ; elle a compris les conséquences en termes de relations publiques.



Du coup on va tous avoir des IP fixes, uniques, ainsi que de l’ipv6 ? Ils sont plus efficaces que les plans pour le numérique <img data-src=" />


juste une question comme ça : le FBI a dépensé $1 300 000 pour cracker un iPhone. Est-ce que ce qu’ils ont trouvé dessus était intéressant dans le cadre de l’enquête, au-moins…? Ou bien il n’y avait rien qui puisse être obtenu par d’autres moyens plus classiques (comme des enquêtes / relevés auprès des opérateurs, par exemple…) ?

(en même temps je doute qu’on voie le FBI dire : “bon, on a dépensé un montant astronomique mais il n’y avait rien, merci pour les sous”)


Certes elle le rappelle, comme le fait que le marché unique numérique est une priorité. Mais quand on lit qu’elle veut une boite à outils d’instruments légaux et techniques liés, on peut présumer assez facilement que seule l’orientation des relations publiques a changé, pas le contenu. D’ailleurs, ils semblent laisser simplement la question de côté.



Par contre, tout le monde semble s’orienter sur des sortes de “backdoors” légaux, qui peuvent être tout autant, si ce n’est plus nocif pour les communications privées.


<img data-src=" />



&nbsp; Je me demande si l’étape suivante ne serait pas de rétablir la torture : un suspect peut garder le silence et bloquer l’enquête, c’est inadmissible il faut l’en empêcher !



C’est vraiment triste de voir qu’on supprimer une à une les avancées démocratiques et techniques de toute une population, juste parce que les terroristes les utilisent aussi <img data-src=" />



Mais que vaut le risque d’effondrement de l’économie mondiale face à la possibilité de déchiffrer un iPhone ? <img data-src=" />


A quand les “backdoors” cérébraux qui permettraient même de déceler les terroristes inconscients?



ça me rend malade de voir qu’on réagit à des gens qui veulent détruire nos droit fondamentaux en les restreignant nous mêmes.



Et pendant ce temps, la pollution et le dérèglement du climat sont responsables de 9% des morts prématurées du monde… J’ose pas imaginer ce qu’on ferait si les gouvernements réagissaient aussi fortement qu’ils le font pour le terrorisme…


I would if I could!



<img data-src=" />


Je croyais qu’il y avait des gens intelligents à Europol, manifestement, je me trompe. Je comprends mieux pourquoi ils ont si peu de résultats contre le terrorisme.



Qu’est-ce qu’ils n’ont pas compris dans l’expression pénurie d’adresse IP V4 ?

Le mot pénurie est trop compliqué pour eux ? Ça veut dire qu’il n’y en a pas assez pour tout le monde. C’est plus clair ainsi ? Comme dans un gâteau, on recoupe les parts pour servir tout le monde, donc certains se partagent une même part.



Après, il y a plusieurs solutions :




  • interdire le CGNAT et faire attendre ceux qui veulent se connecter à Internet qu’une adresse IP se libère. Je sens que ça va être compliqué à faire accepter même s’il s’agit de lutter contre le terrorisme. Il est plus facile de faire accepter que son voisin se fasse défoncer sa porte en pleine nuit parce qu’il y a des raisons sérieuse de penser qu’il n’est pas gentil.



  • faire passer tout le monde en IP V6 et interdire IP V4. Là encore, il va y avoir une transition compliquée à gérer. Depuis le temps que l’on dit qu’il faut accélérer ce passage. Cela aurait pourtant un effet bénéfique sur l’industrie qui aurait à remplacer tout un tas de matériels obsolètes.



  • Et enfin, la solution proposée dans l’article, apprendre la notion de port chez Europol. #balencetonport








fred42 a écrit :



#balencetonport





<img data-src=" />









bloossom a écrit :



Et au passage, c’est vraiment dommage de voir qu’une fois de plus la Commission met totalement de côté le fait que le chiffrement et la sécurité des communications est le socle fondamental d’une économie numérique florissante.





Pas du tout. Voir la proposition de



RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL



concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)



https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications



[modeKassKouyDuDredi]

Ça serait plutôt 256.0.0.0/8, ou 2568.

[/modeKassKouyDuDredi]


Un /8, ça ne fait pas beaucoup d’adresses en plus ! #KassKouyAuCarré








fred42 a écrit :





  • Et enfin, la solution proposée dans l’article, apprendre la notion de port chez Europol. #balencetonport







    Je vois déjà les panneaux de revendication dans la rue <img data-src=" />



    <img data-src=" />



l’article 2 al.1 let.d de la proposition exclut les forces de l’ordre. Alors en effet, il y a une certaine avancée du côté du privé visant à obliger les entreprises à sécuriser leurs données (et la GDPR aussi a fait quelques avancées dans ce domaine). En même temps, on a une intrusion de plus en plus forte de l’Etat pour des questions de surveillance.



A l’heure où on s’inquiète de l’espionnage économique, et de la surveillance massive d’autres Etats, il y a tout un pan du principe de sécurité qui est mis de côté.








Obidoub a écrit :



Du coup on va tous avoir des IP fixes, uniques, ainsi que de l’ipv6 ? Ils sont plus efficaces que les plans pour le numérique <img data-src=" />





Et ensuite nous seront tous fibrés pour être tracé encore plus vite. <img data-src=" />









fred42 a écrit :





  • Et enfin, la solution proposée dans l’article, apprendre la notion de port chez Europol. #balencetonport





    <img data-src=" /> <img data-src=" /> <img data-src=" />



Dans ce cas je leur souhaiterai bonne chance pour faire entrer les 256 sur 8 bits


À croire&nbsp; que de dire les mots “terrorisme” et/ou “intérêts économiques” justifient à peu prêt n’importe quoi lorsqu’il s’agit de supprimer des libertés individuelles.


JE crois que tu as compris la blague ! <img data-src=" />








Taya a écrit :



Dans ce cas je leur souhaiterai bonne chance pour faire entrer les 256 sur 8 bits









Taya a écrit :



À croire  que de dire les mots “terrorisme” et/ou “intérêts économiques” justifient à peu prêt n’importe quoi lorsqu’il s’agit de supprimer des libertés individuelles.





J’étais pas sûr pour le premier, mais le second m’a convaincu

Joli score en ce vendredi <img data-src=" />



Réponse pas chère, merci xkcd <img data-src=" />


Ce n’est pas à ça que sert le vendredi ?








fred42 a écrit :





  • faire passer tout le monde en IP V6 et interdire IP V4. Là encore, il va y avoir une transition compliquée à gérer. Depuis le temps que l’on dit qu’il faut accélérer ce passage. Cela aurait pourtant un effet bénéfique sur l’industrie qui aurait à remplacer tout un tas de matériels obsolètes.







    Le problème d’IPv6 c’est qu’il n’a pas été conçu en pensant au problème de la migration depuis IPv4. Passer de IPv4 à IPv6 nécessite de tout changer d’un coup… et les couts/risques de ce genre d’opération sont un frein à la migration.



    Ca aurait été tellement plus simple d’étendre l’adressage de IPv4 à 5, 6 … 8 octets (tout comme on a progressivement ajouté des prefix aux numéros téléphoniques). Dans la pratique, c’est ce que fait le NAT en utilisant le numero de port comme valeur de mutliplexage.



Sauf que l’IPv6 ne fait pas que répondre à la pénurie d’IPv4. Il y a des améliorations apportées que n’aurait pas permis une simple extension de l’adressage.








Taya a écrit :



Ce n’est pas à ça que sert le vendredi ?





Si si, j’aime bien ta subtilité en plus <img data-src=" />