Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le procureur général US estime que les consommateurs devraient accepter les risques posés par les backdoors
Pour faciliter le travail de la police

Le , par Stéphane le calme

25PARTAGES

16  0 
Le procureur général des États-Unis, William Barr, a déclaré que les consommateurs devraient accepter les risques que les portes dérobées peuvent poser à leur cybersécurité personnelle pour garantir que les forces de l’ordre puissent accéder aux communications chiffrées.

Dans un discours prononcé à New York, le procureur général américain a repris en grande partie le même discours que ses prédécesseurs et d'autres hauts responsables du ministère de la Justice, appelant les sociétés de technologie à faire davantage pour aider les autorités fédérales à accéder aux appareils lorsqu’un mandat est délivré. .

La messagerie chiffrée s’est vulgarisée ces dernières années au point de se retrouver dans les produits Apple, Facebook, Instagram et WhatsApp. Il s’agissait là d’une réponse de Silicon Valley face à l'abus d'accès des services de renseignement à la suite des révélations d'Edward Snowden en 2013. Mais les forces de l'ordre indiquent que le chiffrement empêche l'accès aux communications dont ils prétendent avoir besoin pour poursuivre les criminels.

Le gouvernement appelle cela « devenir sourd et aveugle » parce que les forces de l’ordre ne sont pas en mesure de voir les communications chiffrées. Ce qui a d’ailleurs mis le chiffrement au centre des discussions dans de nombreux pays. Les critiques (parmi lesquels certains législateurs comme le sénateur Wyden) et les experts en sécurité ont longtemps affirmé qu’il n’existait aucun moyen sûr de créer un accès « détourné » aux communications chiffrées pour les forces de l’ordre sans pour autant permettre aux hackers d’avoir également accès aux communications privées.


Dans ses remarques, Barr a déclaré que « l'importance du risque devrait être évaluée en fonction de son effet pratique sur la cybersécurité pour le consommateur, ainsi que de sa relation avec les risques nets que l'offre du produit pose pour la société ».

Il a suggéré que « le risque résiduel de vulnérabilité résultant de l'incorporation d'un mécanisme d'accès légal est sensiblement plus grand que ceux déjà présents dans le produit non modifié ».

« Certains soutiennent que, pour obtenir au mieux une légère amélioration progressive de la sécurité, il vaut la peine d'imposer à la société un coût énorme sous la forme d'une sécurité dégradée », a-t-il déclaré.

Selon lui, le risque est acceptable, car « nous parlons de produits et services grand public tels que la messagerie, les smartphones, la messagerie électronique et les applications VoIP » et « nous ne parlons pas de la protection des codes de lancement nucléaire du pays ».

Le procureur général a déclaré qu'il était « insupportable » que les appareils offrent un chiffrement lourd tout en ne proposant aucun accès à la police.

Barr est le dernier en date parmi les procureurs généraux à dénoncer l'incapacité des forces de l'ordre à accéder aux communications chiffrées, malgré le rejet des entreprises technologiques.

Barr n'exclut pas de pousser la législation pour forcer les entreprises de technologie à développer des portes dérobées.


Dans une réplique, le sénateur Ron Wyden (D-OR) a déclaré que les propos du procureur général étaient « scandaleux, irréfléchis et dangereux ».

« Si nous donnons à ce procureur général et à ce président le pouvoir sans précédent de casser le chiffrement, nous allons nous enfoncer dans les détails les plus intimes de la vie de chaque Américain », a déclaré le sénateur qui n’a pas hésité à assurer que ce pouvoir sera utilisé dans l’abus..

Les portes dérobées, une solution étudiée par de plus en plus de pays

Les États-Unis sont loin d’être les seuls à demander aux entreprises de technologie de donner un accès aux communications aux forces de l’ordre. Plus tôt cette année, les autorités britanniques se sont intéressées à un nouveau mécanisme appelé « protocole fantôme ».

Cette étude est venue d’une proposition du GCHQ qui a été émise pour la première fois en novembre dernier dans le cadre d’une série d’articles. Dans l’article, deux hauts responsables des services de renseignements britanniques soutiennent qu’un membre des forces de l’ordre devrait être ajoutée en tant que participant « fantôme » à chaque conversation de groupe, par audio ou par écrit, dans un service de messagerie chiffrée.

Cela signifierait que les agences de renseignement seraient en possession de messages chiffrés, sans que les utilisateurs sachent qu’ils sont présents au sein d’une discussion de groupe. Les auteurs de la proposition soutiennent que cette solution n'est pas plus invasive que les pratiques actuelles en matière d'écoute électronique de conversations téléphoniques non chiffrées.

Un groupe de 47 entreprises, dont Apple, Google, Microsoft et WhatsApp, ont vivement critiqué la proposition dans une lettre ouverte. Bien que cette approche suppose de supprimer la nécessité d'ajouter des portes dérobées aux protocoles de chiffrement, les signataires de la lettre affirment que cette solution continuerait de « porter gravement atteinte à la sécurité et à la confiance des utilisateurs ». Selon eux, les services de messagerie devraient changer la façon dont ils utilisent leur chiffrement et ils devront induire les utilisateurs en erreur en masquant des messages ou des notifications indiquant qui est présent dans un chat.


En réponse à la proposition publiée par Ian Levy, directeur technique du Centre national de cybersécurité (NCSC), et Crispin Robinson, directeur technique de cryptanalyse au sein du GCHQ, le 29 novembre 2018, intitulée « Principes pour un débat sur l’accès exceptionnel plus informé », la coalition a avancé ceci :

« Les six principes énoncés par les responsables du GCHQ constituent un pas important dans la bonne direction et soulignent l’importance de la protection du droit à la vie privée, de la cybersécurité, de la confiance du public et de la transparence. Nous apprécions surtout la reconnaissance des principes selon laquelle les gouvernements ne devraient pas s’attendre à un “accès sans entrave” aux données des utilisateurs, que la "relation de confiance" entre les fournisseurs de services et les utilisateurs doit être protégée, et que "la transparence est essentielle" ».

« Malgré cela, l’article du GCHQ décrit une proposition visant à “ajouter silencieusement un membre des forces de l’ordre à un appel de groupe ou à un groupe de discussion”. Cette proposition d’ajouter un utilisateur “fantôme” violerait des principes importants des droits de l’homme, ainsi que plusieurs des principes énoncés dans le document du GCHQ.

« Bien que les responsables du GCHQ prétendent que “vous n’aurez même pas à toucher au chiffrement” pour mettre en œuvre leur plan, la proposition de l’utilisateur "fantôme” poserait une grave menace à la cybersécurité, menaçant ainsi les droits de l'homme fondamentaux, y compris le droit à la vie privée et la liberté d’expression. Elle créerait des risques de sécurité numérique en sapant les systèmes d’authentification, en introduisant des vulnérabilités potentielles non intentionnelles et en créant de nouveaux risques d’abus ou de mauvaise utilisation des systèmes.

« Il est important de noter que cela saperait également les principes du GCHQ en matière de sécurité. la confiance de l'utilisateur et la transparence énoncées dans la proposition d’Ian Levy et Crispin Robinson ».

Source : discours sur YouTube

Et vous ?

Pour ou contre des portes dérobées sur les appareils pour faciliter le travail de la police ? Pourquoi ?

Voir aussi :

Vodafone nie avoir découvert des backdoors cachés dans les équipements de Huawei, il ne s'agirait que du protocole Telnet
Un ex-employé pirate le plugin WordPress WPML pour spammer les utilisateurs, se servant d'une backdoor qu'il avait laissée sur le site pour son usage
En Australie, des programmeurs pourraient être licenciés par leurs employeurs pour implémentation de backdoors à l'usage des forces de l'ordre
Procès aux USA : l'ACLU souhaite un rendu public des arguments du DoJ qui voulait forcer Facebook à installer un backdoor dans son appli Messenger
Chiffrement : le FBI base son discours pour la pose de backdoors sur des chiffres gonflés, générés par une « erreur de programmation »

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de transgohan
Expert éminent https://www.developpez.com
Le 23/07/2019 à 21:15
On devrait aussi ne jamais fermer sa porte à clé quand on part en vacances pour faciliter le travail des cambrioleurs.
Car cela serait plus facile pour la police de constater les dégâts avant notre retour.
8  0 
Avatar de Itachiaurion
Membre averti https://www.developpez.com
Le 24/07/2019 à 1:13
Le procureur général ferait bien de s'occuper de ce qu'il connait avant de vouloir enquiquiner les autres. A moins que cela lui plaise que l'on dévoile les messages enflammé qu'il partage avec ces maitresses du fait que l'on aura griller les backdoors et que tout a chacun pourra les exploiter avec un peu de connaissances.
2  0 
Avatar de viper1094
Membre éclairé https://www.developpez.com
Le 23/07/2019 à 22:01
Ca me fait penser à ma tante qui laisser son code de téléphone avec son téléphone 'au cas où on doit appeller les secours avec et que la personne connait pas le code'
1  0 
Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 24/07/2019 à 23:23
Je serais curieux sa connaitre la législation US à ce sujet .

Pour rappel en France depuis 2018 en cas de négligence du client la banque ou l'assurance peut refuser de rembourser en cas de fraude ou de piratage de données bancaire : https://safebrands.fr/cahier-juridiq...-dhameconnage/

Appliquez ce raisonnement au matériel informatique , l'assurance pourrait tout aussi bien se dédouaner et dire "vous avez acheté en connaissance de cause un service ou produit avec un faille connu , a vous de supporter la fraude" .

Donc non seulement le client serait lésé avec le vol de ces données perso ... mais impossible de porter plainte et le client se retrouverait a vie "sans identité numérique" . Sur le long terme se serait à la personne de bonne fois éponger les dettes de ces usurpateurs . Je vous laisse imaginer si les faussaires se mettent à faire du trafic de faux papier ... c'est vous qui finirait derrière les barreaux !

Je serai curieux de savoir si les banques et les assurances us seraient prête à jouer avec le feu ... En Europe cela ne verra jamais le jour ... le système bancassurance n'a pas les reins assez solides pour supporter de tel risque.
1  0 
Avatar de viper1094
Membre éclairé https://www.developpez.com
Le 24/07/2019 à 12:58
Citation Envoyé par darklinux Voir le message
À idée simpliste ... Les backdoors , cela est toujours possible , ne serait ce que pour facilité la maintenance et le monitoring , mais il faut de surcroît quelle soit chiffré pour la sécurité de celle-ci , pas la peine de joué les vierges effarouché non plus .
Même en ignorant les hackers ci et là( alors qu'on sait tous qu'il y a toujours une faille. Il suffit de la trouver. Alors une faille dans une faille déguisé en sécurité pour les citoyens ), casser un chiffrement, quand, je rappelle, la chine(je sais pas pour la russie mais surement aussi) possède une flotte de superordinateur impressionnante, bof quoi. Et on ne peut PAS mettre un chiffrement incassable par une dizaine de superordinateur dans un simple pc de particulier, et alors que dire d'un téléphone...
0  0 
Avatar de darklinux
Membre averti https://www.developpez.com
Le 25/07/2019 à 0:38
Citation Envoyé par viper1094 Voir le message
Même en ignorant les hackers ci et là( alors qu'on sait tous qu'il y a toujours une faille. Il suffit de la trouver. Alors une faille dans une faille déguisé en sécurité pour les citoyens ), casser un chiffrement, quand, je rappelle, la chine(je sais pas pour la russie mais surement aussi) possède une flotte de superordinateur impressionnante, bof quoi. Et on ne peut PAS mettre un chiffrement incassable par une dizaine de superordinateur dans un simple pc de particulier, et alors que dire d'un téléphone...
La cryptanalyse est quand même un domaine particulier et cela dépend de tellement facteurs , autre que la puissance brute , l ' AES ce n ' est aussi simple à cassé que du 3DES ...
0  0 
Avatar de viper1094
Membre éclairé https://www.developpez.com
Le 25/07/2019 à 12:58
Citation Envoyé par darklinux Voir le message
La cryptanalyse est quand même un domaine particulier et cela dépend de tellement facteurs , autre que la puissance brute , l ' AES ce n ' est aussi simple à cassé que du 3DES ...
Ca je suis d'accord, mais si il y a bien une chose qui est sur c'est qu'il faudra moins de 6 mois pour qu'un groupe de hacker/un gouvernement trouve une faille.
0  0 
Avatar de darklinux
Membre averti https://www.developpez.com
Le 24/07/2019 à 5:48
À idée simpliste ... Les backdoors , cela est toujours possible , ne serait ce que pour facilité la maintenance et le monitoring , mais il faut de surcroît quelle soit chiffré pour la sécurité de celle-ci , pas la peine de joué les vierges effarouché non plus .
0  3