Un sénateur américain souhaite désormais que soient interdites les portes dérobées dans les produits capables d’en avoir. Sa proposition de loi vise à court-circuiter une partie du travail des forces de l’ordre et des agences de renseignement, afin de garantir que les données des citoyens soient bel et bien protégées.
L'accroissement du chiffrement des données fait craindre le pire au FBI
Depuis qu’Apple et Google ont annoncé un renforcement significatif du chiffrement des données au sein de leurs systèmes mobiles respectifs, le FBI craint de véritables problèmes au sein des enquêtes. Son directeur, James Comey, avait révélé ses craintes en septembre : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Des membres du FBI s’étaient même rendus au sein des deux entreprises « pour comprendre leur optique et pourquoi elles pensent que tout ceci a du sens ».
Dans un communiqué datant du 16 octobre, James Comey avait davantage détaillé son point de vue. Il indiquait que le chiffrement des données pouvait tout autant être utilisé par les pirates et les terroristes pour se protéger eux-mêmes des tentatives de détection des forces de l’ordre. Il estimait que le FBI était en danger de plonger « dans l’obscurité » si rien n’était fait pour s’adapter à cette nouvelle situation. « Les deux entreprises sont conduites par des gens biens, répondant ainsi à ce qu’ils perçoivent comme une demande du marché. Mais ils nous emmènent dans un lieu dans lequel nous ne devrions pas aller sans une réflexion approfondie et un débat en tant que pays ».
Pour James Comey, le grand public se fait une idée très exagérée des capacités du FBI en termes de suivi des informations, de leur capture et de leur déchiffrement. Voilà selon lui où réside le danger : si rien n’est fait, les enquêtes seront sérieusement plus complexes à résoudre dès qu’un ordinateur, un smartphone ou encore une tablette seront impliqués. Il proposait donc que la loi CALEA (Communications Assistance for Law Enforcement Act) soit adaptée : âgée de vingt ans, elle permet de forcer les entreprises à mettre en place un système de suivi ou d’écoute, mais la progression de la technologie rend, pour le directeur du FBI, le texte presque caduc. Et pour cause, puisque ni Apple, ni Google ne sont en capacité de déchiffrer eux-mêmes les données.
Interdire les portes dérobées réclamées par les agences gouvernementales
Mais là où Comey parle d’adaptation, le sénateur Ron Wyden, de l’Oregon, n’hésite pas à parler de portes dérobées. Dans un communiqué publié hier, il propose un texte de loi, baptisé Secure Data Act, qui interdirait aux agences fédérales d’exiger l’ouverture de backdoors dans les logiciels et produits électroniques américains.
« Un chiffrement fort et une solide défense informatique sont les meilleurs moyens de préserver les données des Américains des pirates et menaces étrangères. Ce sont les meilleurs moyens de protéger nos droits constitutionnels à une époque où la vie entière d’une personne peut être trouvée sur son smartphone. Et une sécurité informatique forte peut reconstruire la confiance des clients, qui a été malmenée par des années de déclarations mensongères des agences de renseignement au sujet de la surveillance de masse des Américains. Cette proposition de loi envoie un message aux dirigeants de ces agences pour qu’ils arrêtent de trouver sans cesse de nouvelles manières d’aspirer les données privées américaines, et pour qu’ils investissent à la place cette énergie dans la reconstruction de la confiance du public » indique ainsi le sénateur.
Comment contenter tout le monde ?
L’équation sera particulièrement difficile à résoudre : comment placer le curseur sur une ligne allant de la préservation totale de la vie privée aux nécessités de pouvoir enquêter en cas de menace ? Mais Wyden rappelle qu’une fois une porte dérobée ouverte dans un produit, rien n’empêche un tiers de la trouver et de l’exploiter. Il s’agit donc de failles de sécurité permanentes qui peuvent se retourner contre leurs créateurs, et donc contre les utilisateurs.
Pour le sénateur, il y a deux conséquences majeures à ces portes dérobées. Premièrement, une baisse des investissements potentiels dans la sécurité générale, les entreprises étant moins enclines à concevoir de nouvelles solutions si elles doivent dès le départ les saborder. Deuxièmement, une érosion renforcée de la confiance des utilisateurs. Les agences ne devraient donc pas être autorisées à pouvoir exiger des entreprises de telles brèches dans les murailles de leurs produits. La proposition de loi, telle qu’elle est rédigée actuellement, ne contient cependant aucun chapitre « punitif ». Elle établit bien que les agences ne peuvent certes pas forcer une entreprise, mais ne prévoit rien dans le cas où elles le feraient quand même.
Reste que le Secure Data Act illustre très clairement le contexte actuel aux États-Unis et la réflexion menée actuellement sur l’impact du chiffrement, à la fois sur le grand public et sur les forces de l’ordre.
Commentaires (42)
#1
Comme on dit, l’espoir fait vivre.
Mais le chiffrement est effectivement une bonne parade, pour le moment. Avec les nouvelles technos, faudra trouver plus efficace.
La routourne :)
#2
Encore un qu’on va retrouver suicidé de trois balles dans le dos…
" />
#3
Il avait pourtant fermé la porte de derrière…
" />
#4
#5
il a dit dans le dos pas dans le
" />
" />
#6
y’aura plus qu’à mettre en place des backdoors pour contourner l’interdiction des backdoors.
" />
#7
Un sénateur américain
#8
(on ne sait plus écrire après les “quote” ? )
" />
Du Parti Pirate ?
#9
Ce serait bien qu’ils ne limitent pas cela aux seules demandes des autorités mais l’imposent pour toute conception de logiciel.
google, apple et ms seraient bien emmerdés du coup.
#10
L’Oregon, voilà un état où j’irais bien passer des vacances. Magnifiques paysages, ouverture d’esprit, selon moi un des endroits les plus sympas des US.
#11
#12
En même temps comment provuer que la backdoor était intentionnelle ?
Il suffira de dire “Oh, on a opportunément trouvé une faille pour récupérer les données du téléphone”
De plus, il ne parle même pas d’interdire leur utilisation…
#13
#14
D’après ce que j’ai lu autre part, sa demande ne porte que sur les citoyens US.
J’ai peut être manqué un morceau ici.
#15
#16
Y a déjà largement assez de lois comme ça
" />
#17
#18
#19
#20
#21
Déjà cela commence mal avec çà :
“L’accroissement du chiffrement des données fait craindre le pire au FBI”
C’est faux !
Purement faux puisqu’il maitrise (donc peuvent les péter aisément) tout les algo de chiffrement/cryptage.
Et quand un matos utilise un aglo qui leur est inconnu (donc non cassable à première vu) il r’achéte illico la boite à coup de dollar !!!
A ce propos je vous invite à visionner les vidéos d’ERIC FILIOL, c’est on ne peut pus clair.
Donc lol.
#22
c’est parce que tu sais comment fonctionne une serrure que la clé apparait magiquement hein…
#23
#24
N’importe quoi :) Ce n’est pas parce qu’on “maîtrise” (ça veut dire quoi d’ailleurs ? qu’on l’a validé ?) un algorithme qu’on sait le casser pour autant.
Prendre Eric Filiol comme référence ne fait que te décrédibiliser encore plus. Ce type est un parano anti-US qui ne raconte que des bêtises pour faire son buzz à des conférences. Il n’a aucune compétence technique et la plupart de ses “travaux” (souvent réalisés par ses stagiaires) ont été prouvés comme faux (AES par exemple), ont été cassés (perseus, davfi), ou sont complètement inutiles, pour pas dire WTF (attaque de l’icone transparente, exfiltration d’info par clignotement de l’écran ou des leds du clavier pour faire du morse, attaque d’une centrale nucléaire en énumérant les cameras de sécurité via google maps, etc.). Bref, la recherche universitaire ne s’en portera que mieux quand ce charlatan aura pris sa retraite. A ne JAMAIS prendre comme référence, même si tous les journalistes se tournent vers lui quand ils veulent avoir un “expert en sécurité informatique”.
#25
D’après ton utilisation du verbe savoir à la place de pouvoir, tu es certainement belge.
Ceci expliquerait cela ;)
#26
Haha, merci, tu m’as fait ma journée
" />
#27
Cites nous tes références ?
moi son discours me semble cohérent, et je sais d’où il vient.
#28
La prochaine fois j’éviterai d’employer ‘on’ pronom indéfini (j’ai tendance à faire des généralités partagées, à tort)
" />
#29
#30
En même temps, ça parle de trou de balle.
#31
Référence à quoi ? Je t’invite à lire attentivement ses présentations https://sites.google.com/site/ericfiliol/). Oui son discours est cohérent, dans le sens où il reste toujours aussi stupide : Il fait du sensationnalisme (Tor et AES) et crache sur tout ce qui est US (Microsoft en tête). Je peux t’assurer que dans le milieu de la sécurité, il n’est pas pris au sérieux une seule seconde.
Je rajouterais qu’il aime bien prendre un projet opensource, dire qu’il est pourri, y appliquer 3 patchs et annoncer qu’il a fait une nouvelle technologique révolutionnaire, en “rupture avec l’existant”. Par exemple, ClamAV avec SEClamAV (suppression des goto dans le code…) puis DAVFI (aujourd’hui Uhuru), TrueCrypt avec GostCrypt (suppression d’AES dans les algo pour y mettre GOST à la place). Par ailleurs, le peu de code qu’on peut réellement voir (il parle beaucoup mais on n’a toujours aucunes lignes de code de DAFVI, pourtant censé être opensource) est vraiment catastrophique (voir le code de libperseus par exemple).
Quelques références à ses travaux qui ont été démontés :
#32
Ou avoir un autiste matheux sous la main
" />
#33
peut etre que si les differents services de renseignements se contentaient de faire du renseignement, et n’avaient pas mis la quasie totalité des internautes sur ecoute, on en serais pas la!
c’est marrant, ca me rappelle un debat du temps de la hadopi, ou l’un des protagoniste annoncait clairement qu’a force d’ecouter (pour une raison ou une autre) les internautes de facon massive plutot que ciblée, cela provoquerait une course a l’armement numerique, et que les premiers a en patire seraient les differents services de renseignements…
quelques années plus tard, on y est, et malheureusement dans ce cas, le bouclier a toujours une longueur d’avance sur l’épée..comme on dit, comme on fait son lit, on se couche.
il ont bon dos de se plaindre d’une situation qu’ils on eut même créée
#34
Filiol parano ?
peut-être , peut-être pas !
Par contre il a voulu faire une conférence au Canada et a été décommandé au dernier moment, il avait des trucs sympas à communiquer : étrange non ?
Note : je ne suis pas crypto, mais connais suffisament le secteur de la sécu (et y ai enseigné fut un temps pas si lointain), pour pouvoir rire de certaines remarques et articles , tant bien même vous employez un ton moqueur et sûre de vous.
#35
#36
#37
Un sénateur américain veut interdire les backdoorsrefaire le monde
Je lui souhaite bon courage.
#38
#39
#40
#41
C’est pas trop le genre pour faire supprimer un personnage politique (ou alors c’est qu’il est vraiment gênant), un scandale sexuel suffira.
#42
et en meme temps on as un traité dont les negociations arrivent à terme.
Sont paradoxaux ces américains quand meme.