Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

82 % des professionnels de la sécurité informatique ne font pas confiance aux élus
Pour légiférer efficacement en matière de sécurité, selon une étude

Le , par Stéphane le calme

84PARTAGES

16  0 
La confiance dans les politiciens est actuellement assez basse. Il faut dire que la situation est assez justifiée. En Australie par exemple, la Chambre des représentants a adopté en décembre le projet de loi Assistance and Access Bill, un ensemble de textes contre le chiffrement, malgré les craintes soulevées par des professionnels de l'industrie. Dans la pratique, Assistance and Access Bill va permettre à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées, afin de donner aux enquêteurs accès au contenu des messages à condition que ces portes dérobées ne constituent pas des « faiblesses systémiques » dans la sécurité du service.

Les experts en sécurité étaient presque à l'unanimité contre les portes dérobées, précisément à cause de cet affaiblissement. Une fois qu'un tel mécanisme a été implanté dans l'application, il crée une cible pour les agences d'espionnage et les entreprises d'espionnage d'autres pays qui pourraient vouloir voir ce dont les gens discutent, mais également pour des hackers.

En fait, les élus australiens ne sont pas les seuls à réclamer des mesures comme les portes dérobées sans apparemment en comprendre les implications. Nombreux sont les gouvernements qui militent en faveur des portes dérobées au nom de la sécurité intérieure et de la lutte contre le terrorisme. Ainsi, en août 2016, le ministre français de l’Intérieur Bernard Cazeneuve et son homologue allemand Thomas de Maizière ont présenté une initiative franco-allemande sur la sécurité intérieure en Europe, dans le but de renforcer la lutte contre le terrorisme. La question du chiffrement était l’une des plus importantes, alors que les deux ministres ont appelé à prendre des mesures contre la généralisation du chiffrement des communications, de sorte qu’elle ne fasse pas obstacle au bon déroulement des enquêtes judiciaires.

Thomas de Maizière et le successeur de Cazeneuve, Bruno Le Roux, ont porté cette initiative au niveau européen en février 2017. Les ministres de l'Intérieur français et allemand ont en effet appelé à une législation européenne en octobre 2017. Dans leur déclaration conjointe, ils invitent implicitement Bruxelles à trouver des moyens de contourner le chiffrement des communications par voie électronique lors des enquêtes judiciaires et administratives, « tout en garantissant la fiabilité des systèmes hautement sécurisés ».

« La lutte contre le terrorisme requiert de donner les moyens juridiques aux autorités européennes afin de tenir compte de la généralisation du chiffrement des communications par voie électronique lors d'enquêtes judiciaires et administratives », ont-ils écrit dans un document adressé à Bruxelles. « La Commission européenne doit veiller à ce que des travaux juridiques et techniques soient menés dès maintenant pour étudier la possibilité de définir de nouvelles règles à la charge des prestataires de services de communication par voie électronique tout en garantissant la fiabilité des systèmes hautement sécurisés », ont-ils ajouté.

Aux États-Unis, ce débat a été alimenté par le bras de fer opposant le FBI à Apple sur l’affaire San Bernardino. En Russie, les autorités ont mis en place un cadre juridique dans lequel les entreprises technologiques seraient contraintes d’ajouter des portes dérobées sur le chiffrement de leurs services. Les résultats de l'enquête menée par Venafi ne devraient donc pas être une trop grande surprise.


Selon l'étude, 80 % des professionnels de la sécurité estiment qu'il est nécessaire de légiférer plus strictement en termes de sécurité et de protection de la vie privée, en particulier pour les réseaux sociaux qui stockent des données personnelles. Parmi les personnes interrogées, une proportion quasi équivalente (82 %) pense néanmoins que leurs élus ne comprennent pas suffisamment bien les cyberrisques pour développer et légiférer efficacement dans ce domaine.

L'étude a débouché sur d'autres conclusions :
  • 93 % des sondés ne font pas confiance aux réseaux sociaux pour protéger leurs informations personnelles ;
  • 82 % des sondés ne font pas confiance au gouvernement pour protéger leurs informations personnelles ;
  • 80 % des sondés affirment que les fonctionnaires ne comprennent pas les cyberrisques ciblant les infrastructures numériques.

« On observe une vague mondiale de législateurs, de régulateurs et d’agents de la force publique qui proposent des lois de surveillance controversées, notamment les portes dérobées de chiffrement imposées par les gouvernements », indique Kevin Bocek, vice-président du département de stratégie de sécurité et d'analyse des menaces de Venafi. « Cependant, les professionnels de la sécurité accordent une confiance limitée à la capacité des politiciens à renforcer la cybersécurité compte tenu des piratages incessants des gouvernements aux États-Unis et à travers le monde. Les résultats de notre étude font clairement comprendre qu'il est vital pour les gouvernements d'améliorer leurs compétences en cybersécurité de manière à obtenir des résultats significatifs et à aider les défenseurs que nous avons déployés aux avant-postes à préserver l'économie, la liberté et la vie privée dans le monde entier. »

Des acteurs comme l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont déjà fait valoir la limite de l'instauration de porte dérobée. Guillaume Poupard, son directeur général, a tout d’abord rappelé que les attaques informatiques ont progressé en nombre, mais également en sophistication. Avec des motivations diverses (gains financiers, revendication politique ou religieuse, espionnage, volonté de détruire des infrastructures informatiques, etc.), la menace est considérée comme une priorité en France.

Guillaume Poupard soutient que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité [des] données numériques sensibles ». Pour étayer son affirmation, il rappelle que les échanges couverts par le secret de défense nationale, les données de santé, les données stratégiques des entreprises et les données personnelles des citoyens sont quelques exemples d’éléments auxquels profite le chiffrement. Raison pour laquelle il estime que le développement et l’usage généralisé de ces moyens défensifs doivent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques.

C’est pourquoi l’ANSSI estime que « toute évolution de la législation vers une mesure générale “d’obligation de résultat” visant à garantir la possibilité d’accéder à des informations protégées aura pour effet désastreux d’imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques employés ». Cet affaiblissement est « susceptible d’être exploité par des attaquants aux profils variés ».

Source : Venafi

Et vous ?

Partagez-vous l'avis selon lequel dans le numérique en général (et dans la sécurité en particulier) les élus ne sont pas bien armés pour légiférer ?

Voir aussi :

600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe et ont des failles qui mettent la sécurité des personnes en danger
Android 10 a été officiellement lancé mardi pour les téléphones Google Pixel, il vient avec de nombreuses nouveautés centrées sur l'innovation, la sécurité et la vie privée et le bien-être numérique
L'Australie envisagerait de bloquer les sites web hébergeant du contenu extrémiste lors d'attaques terroristes et pourrait forcer les plateformes numériques à améliorer la sécurité de leurs services
Plus de 100 projets Python populaires s'engagent à abandonner Python 2.x d'ici 2020, l'agence britannique de cybersécurité appelle également à arrêter de supporter cette version de Python

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 06/09/2019 à 9:14
Ce qui m'inquiète, ce sont les 18% restant des professionnels de la sécurité informatique.
8  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 06/09/2019 à 9:53
82 % des professionnels de la sécurité informatique ne font pas confiance aux élus,pour légiférer efficacement en matière de sécurité, selon une étude
Et selon mon étude, avec toutes les vols et autres pertes de données que l'on nous annonce à longueur de journée bientôt le 100% de la population n'aura plus confiance dans le 100% des professionnels de la sécurité informatique...

Bilan: 1 à 1, balle au centre!
8  1 
Avatar de micka132
Expert confirmé https://www.developpez.com
Le 06/09/2019 à 9:35
Citation Envoyé par Neckara Voir le message
Ce qui m'inquiète, ce sont les 18% restant des professionnels de la sécurité informatique.
Malheuresement je suis persuadé que dans ces 18% il y en a qui travaille dans ce milieu et qui, comme il en existe partout, font de la merde mais ne s'en rendent pas compte
4  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 06/09/2019 à 15:07
partie manquante de l'article : la présentation de Venafi

Venafi est une société américaine privée de cybersécurité, qui développe des logiciels permettant de sécuriser et de protéger la racine de confiance: les clés de chiffrement et les certificats numériques.
1  0 
Avatar de emixam16
Membre éprouvé https://www.developpez.com
Le 09/09/2019 à 11:40
Citation Envoyé par Neckara Voir le message
Ce qui m'inquiète, ce sont les 18% restant des professionnels de la sécurité informatique.
J'avoue que c'est assez frappant

Imho, ces 18% doivent être en grande partie des "technico-commerciaux" (plus commerciaux que techniques) qui n'ont jamais vu en vrai à quoi ressemble la cybersécurité mais qui donnent leur avis à qui veut l'entendre. ^^
1  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 09/09/2019 à 11:26
Citation Envoyé par Stéphane le calme Voir le message
Partagez-vous l'avis selon lequel dans le numérique en général (et dans la sécurité en particulier) les élus ne sont pas bien armés pour légiférer ?
Ben ouais la plupart des élus n'y connaissent rien...
Ne rien comprendre au numérique n'est pas forcément un frein :
Au Japon, le ministre de la Cybersécurité n'a jamais touché un ordinateur de sa vie

C'est normal de ne pas maîtriser tous les sujets, mais bon il faudrait peut-être suivre un cours d'introduction, parce que si un jour les députés européens votent la mise en place de portes dérobées ça va être négatif.
Les députés de l'UE avaient déjà voté n'importe quoi avec les anciens articles 11 et 13...
0  0 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web