Alors que les autorités américaines parviennent de plus en plus à décrypter les terminaux saisis lors de leurs enquêtes, le Sénat américain vient d'enregistrer un projet de loi visant à « encourager l'industrie des technologies à prendre au sérieux l'exploitation sexuelle des enfants en ligne » qui rendrait illégal le chiffrement de bout en bout.
En 2018, le directeur du FBI avait déploré le fait de n'avoir pas pu accéder aux contenus de 7 775 smartphones, soit plus de la moitié de ceux qu'il avait tenté de craquer, parce qu'ils étaient chiffrés. Un chiffre largement gonflé d'après le Washington Post, à qui le FBI avait confirmé en avoir dénombré 880 en 2016, entre 1 200 et 2 000 en 2017.
En février dernier, USA Today avait de son côté révélé que le cyberlaboratoire dédié du bureau du procureur du district de Manhattan en avait reçu plus de 8 000 depuis 2014, que la proportion de smartphones qu'il était parvenu à « craquer » était passé de 24 % en 2014 à 64 % l'an passé, mais également que celle des iPhone était passée de 60 à 82%.
Sur les 1 035 terminaux chiffrés reçus en 2019, 405 (39 %) n'avaient pu être décryptés, contre 666 (63 %) des 1 047 reçus en 2018, signe des progrès faits en matière de cryptanalyse et de décryptement.
Vice vient de mettre en ligne une base de données de 516 iPhone saisis par différentes forces de police américaines en 2019, qui révèle que 295 (soit 57 %) d'entre eux ont été, soit déchiffrés par leurs propriétaires qui ont accepté d'entrer le code PIN, soit décryptés par les autorités, notamment grâce aux outils dédiés d'entreprises comme Grayshift ou Cellebrite.
Apple a, d'autre part, répondu à plus de 127 000 demandes émanant des autorités américaines au cours des 7 dernières années, un chiffre en augmentation de 100%, visant notamment à récupérer des données stockées dans son iCloud.
En 2015, Jim Baker, alors conseiller général du FBI, avait tenté de convaincre Apple d'installer une porte dérobée dans les iPhone de sorte de pouvoir accéder aux données contenu dans celui du terroriste de San Bernardino. Interrogé par Vice, il défend aujourd'hui le chiffrement : « cela aura un coût, mais le chiffrement permet de protéger les gens et ne saurait être compromis. C'est le monde dans lequel nous vivons aujourd'hui, et nous devons donc y faire face ».
Une nouvelle « crypto war »
Le comité (bipartisan) judiciaire du Sénat américain n'en vient pas moins de déposer une nouvelle proposition de loi qualifiée de « dangereuse attaque, cynique, directe et sophistiquée contre le chiffrement bout-en-bout » par Matthew Green, un réputé professeur de cryptographie américain.
Intitulé Eliminating Abusive and Rampant Neglect of Interactive Technologies Act (EARN IT Act, loi sur l'élimination des négligences abusives et incontrôlées des technologies interactives), cette initiative était attendue. Elle vise notamment à inciter les entreprises à « mériter » d'être protégées contre toute forme de responsabilité en matière de violations des lois relatives au matériel en ligne sur les abus sexuels sur enfants (CSAM, pour « child sexual abuse material »).
L'objectif n'est plus d'introduire une porte dérobée dans les smartphones ou les messageries sécurisées mais, au nom de la lutte contre la pédocriminalité, d'obliger les prestataires à scanner toutes les photos et vidéos échangées afin de comparer leurs empreintes numériques avec celles des contenus pédopornographiques répertoriés par les autorités.
Or, le chiffrement de bout en bout (End-to-end encryption ou E2EE en anglais) a précisément été conçu pour éviter toute forme de surveillance de masse, puisque les prestataires n'ont, par définition, pas accès aux données qui sont chiffrées dans les terminaux des utilisateurs, et non pas sur leurs serveurs.
Et personne n'est à ce jour parvenu à identifier comment concilier le fait de protéger la vie privée de ceux qui n'ont rien à se reprocher sans pour autant que des pédocriminels (entre autres) puissent également en profiter.
Le projet de loi – auquel s'opposent d'ores et déjà de nombreux défenseurs des droits humains et de la vie privée – revient, in fine, à obliger les entreprises commerciales à ne plus autoriser leurs utilisateurs et clients à recourir au chiffrement de bout en bout. Ce qui n'empêchera par ailleurs aucunement les pédocriminels (notamment) d'utiliser des messageries sécurisées ne relevant pas de cet EARN IT Act.
Comme l'avait expliqué Phil Zimmermann, qui avait développé Pretty Good Privacy (PGP), le premier des logiciels grands publics de cryptographie, « Si la vie privée est hors la loi, seuls les hors la loi auront une vie privée ». Reste que ce projet ne pourra se traduire que par une nouvelle « crypto war », du nom donné à ces tentatives gouvernementales d'empêcher le grand public de pouvoir recourir lui aussi à la cryptographie et qui toutes, jusque-là, ont été perdues par les autorités.
Commentaires (38)
#1
Décryptement ? ->https://chiffrer.info
Il faudrait dire décryptage…
N’empêche que ça fout les boules cet article. Encore une fois les libertés individuelles vont en pâtir pour quelques cas isolés.
On verra encore quelques « j’ai rien à cacher » qui vont alimenter le projet de loi, au détriment d’une vie privée à laquelle chacun a le droit… c’est déplorable.
#2
Y a un très faible pourcentage d’internaute qui s’échange des photo et vidéo pédopornographique, donc on va surveiller les échanges de photo et vidéo de tous les internautes pour empêcher ça
" />.
J’ai une autre idée de loi. Y a un très faible pourcentage de parents qui violent leurs enfant, on devrait donc mettre en place une vidéosurveillance 24⁄7 dans les maisons de tous les parents pour empêcher ça…
C’est quand même fout comme leurs excuses pour faire péter le chiffrement ne change jamais, quelque soit le pays, c’est toujours la pédopornographie. Ils ont essayé un temps le terrorisme mais se sont finalement rendu compte que ça n’émouvait pas autant les gens que la pédopornographie.
#3
En l’espèce, je reprends la terminologie utilisée par la DGSE pour son « programme du pôle national de cryptanalyse et de décryptement » dont j’avais parlé en 2005.
#4
#5
je crains que ça vienne chez nous aussi après
" />
" />
“regardez les USA l’ont fait, on doit faire pareil ! ” oui ma bonne dame !
#6
C’est sûr que les pédoterroristes n’utiliseront plus de chiffrement de bout-en-bout s’il est interdit
" />
#7
justement. le but c’est bien de faire de la surveillance massive.
s’il n’y a plus que les pédoterroristes qui chiffrent, ils seront plus visibles et plus faciles à cibler.
et pour les autres tout sera en clair.
dès lors, tous les arguments qui expliquent doctement que tout ça ne sert à rien parce que les méchants vont chiffrer et qu’il existe telle ou telle application exotique qui ne respecte pas cette loi sont à coté de la plaque.
le but est bien de revenir à l’état des choses pré-snowden où tout ou presque passait en clair sur les tuyaux, sauf chez les pédoterroristes.
et comme par hasard, on utilise une énième fois la protection des mineurs pour faire passer un texte liberticide.
#8
Théoriquement ça toucherait que les logiciels américains, non ?
Donc tout ce qui est Protonmail, voir Signal qui est open source n’aurait pas de problème a se faire non ?
#9
signal est basé aux US.
" />
et le sujet est suivi très attentivement par les autres pays qui rêvent de surveiller massivement leur population.
pour la protéger des pédophiles et des terroristes, bien sûr.
#10
#11
Ah tiens, je pensais qu’ils invoqueraient le terrorisme plutôt que la pédophilie … je suis un tantinet surpris.
#12
Donc y’aura plus aucune solution grand public pour avoir du chiffrement de bout en bout ? ( Signal est open source, donc je vois mal comment ils pourraient cacher la porte dérobée, mais bon… )
#13
Ils alternent pour changer un peu…
#14
signal ils mettent ce qu’ils veulent sur leur serveur.
la définition d’une solution grand public en matière de messageries, c’est une solution massivement utilisée.
or aujourd’hui si tu viens dire à mme michu, qui a fini par abandonner les SMS pour passer à Whatsapp, que whatsapp c’est pas bien parce que ce n’est plus chiffré de bout en bout, que crois-tu que sera sa réaction?
simple: “ok mais j’utilise quoi? signal? c’est un serveur unique, potentiellement compromis, et y’a 2% de mes contacts whatsapp qui sont sur signal. Session? y’a 0.001% de mes contacts qui l’utilisent. je reste donc sur Whatsapp, de toute manière j’ai pas grand chose à cacher”.
#15
C’est pas un problème, seuls les coupables seront pris ! De toute façon, les pirates n’existent pas, seuls les terroristes et les pédo existent !
" />
Puis l’opérateur aura précieusement gardé pendant 10 ans tes logs de connexion et la justice pourra s’appuyer dessus pour te juger
Il faut faire tomber toute forme de chiffrement ! C’est le mal ! 👿
Vais mettre à jour mon conteneur chiffré sur disque chiffré moi en attendant…
#16
#17
Alors, ça c’est la théorie… ensuite y’a les loi extra territoriales US qui font qu’ils sont partout chez eux ou presque.
Donc, n’importe quel soft sera considéré comme développé aux US.
Après tout, le dev serait fait pour des plateformes US (Windows, MacOS, Android, ..) ou tournera sur du matos US (Intel, AMD, nVidia).
De fait, le moindre lien avec les US il pourront s’en servir pour te dire que le chiffrement c’est pas bien, tu respecte pas leur loi (même si en théorie, t’es hors périmètre).
Puis ensuite, les 5(6) Eyes ils sont du même avis, la France, c’est quand même le (6) de l’histoire depuis quelques années, et c’est avéré.
#18
Pression policière, entre autre… je ne sais plu quel projet a été laché par ses principaux dev pour cette raison, ils ne voulaient pas mettre en place de porte dérobée dans leur soft, et tellement ils ont eu la pression, une bonne partie de l’équipe a jeté l’éponge :/
#19
#20
oui sauf que toi et tes potes nerds vous serez portion congrue parmi les Michu qui utilisent du grand public à la whatsapp ou messenger.
les solutions techniques existent, mais c’est pas la question. la question c’est leur utilisation massive.
or le chiffrement a été poussé par les appli grand public, pas l’inverse.
whatsapp, telegram, messenger ne sont pas utilisées massivement car elles implémentent un chiffrement e2e (dans ces exemples seul whatsapp fait vraiment du e2e systématique). les gens utilisaient déjà ces solutions avant qu’elles chiffrent. demain si elles ne chiffrent plus, les gens ne changeront pas de crèmerie.
et se limiter aux lois US c’est oublier que tout un tas de gouvernement de pays occidentaux, dont pas les moindres (UK, France, Allemagne) considèrent que le chiffrement e2e est un problème à régler.
je le répète à chaque fois sur ce sujet: le souci des gouv c’est l’utilisation massive (donc par le grand public) du chiffrement de bout en bout. et cette utilisation est à 99% involontaire, voire totalement ignorée.
le mot clé c’est massif.
une fois que ce “problème” est réglé, il reste le 1% qui chiffre. bien plus facile (et donc moins cher) à surveiller/suivre/cibler/compromettre.
et pour faire passer la pilule pas de souci: on va dire aux gens (enfin ceux qui liront les CGU et les news à ce sujet) qu’on va virer le chiffrement et surveiller les échanges de médias photo/vidéo pour détecter le pédoporn. réaction de Mme Michu: “aucun souci, je suis pas concernée”.
#21
le serveur signal ne voit effectivement pas le contenu, mais a accès à plus ou moins de métadonnées.
" />
la dernière sortie à la mode c’est Session, qui est un fork de Signal en mode mutualisé avec de la blockchain dedans. j’ai pas lu le whitepaper, et faut avouer que jsuis pas sûr de tout capter. ^^
mais sur le papier ça a l’air vachement bien. sauf que c’est encore un truc exotique de barbu.
#22
#23
En fait la Mme Michu va simplement dire : “Allez vous faire cuire un œuf avec tous vos trucs qui en fait me cassent les pieds, je retourne à la lettre manuscrite et au téléphone”.
Et ça tombe bien ce serait bon pour la planète.
Parfait pour entamer une bonne vieille décroissance, ou en tous cas de cesser de créer du besoin et de complexifier un quotidien de manière artificielle et crétine.
#24
TrueCrypt de mémoire.
#25
Le lead de TrueCrypt a eu des gros ennuis avec la justice de mémoire, à base de trafic d’or je crois.
Puis il a “disparu” de la circulation, on suppose qu’il s’est fait attraper par les autorités et a passé un accord avec elles, ce qui rend TrueCrypt non sûr car contenant potentiellement une backdoor issue de cet accord. De toute façon le programme avait des grosses lacunes de sécurité.
Depuis le développement a été repris avec VeraCrypt.
#26
#27
#28
#29
Avec ton système :
* Il faut prouver à chaque lancement que le client n’a pas été modifié et qu’on peut donc lui faire confiance.
* Il faut stocker la base d’empreintes localement, ce qui limite sa taille
* Il faut faire tourner le logiciel de détection avec les ressources du terminal, ce qui va plomber les perfs.
La vraie question, c’est sur la pertinence d’empêcher coûte que coûte les échanges d’images, sachant que ce qui pose vraiment problème c’est le passage à l’acte, qui le plus souvent n’a pas besoin d’internet.
#30
#31
Certains ont joué aux cartes pendant les cours d’orthographe
Ou alors ils le font exprès
#32
T’a rien comprit. L’ortografe cé hasbin, jenre cé un truc de vieu…
" />
" />
#33
#34
#35
#36
#37
btw, la DGSE continue d’utiliser le terme “décryptement”, cf cette offre d’emploi de crypto-mathématiciens :
“Le poste consiste, au sein d’une équipe R&D, à concevoir et à développer des cryptanalyses pour permettre le décryptement de productions chiffrées d’intérêt pour la DGSE.”
#38