Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les États-Unis rejoignent six pays dans un nouvel appel pour un accès légal aux données chiffrées,
Obligeant les entreprises à créer des "trous de sécurité" dans leurs applications et leur matériel

Le , par Stan Adkens

23PARTAGES

7  0 
Le ministère américain de la Justice a signé une nouvelle déclaration internationale mettant en garde contre les dangers du chiffrement et appelant à un effort à l'échelle de l'industrie pour permettre aux forces de l'ordre d'accéder aux données chiffrées une fois qu'un mandat a été obtenu. Les États-Unis - dont une nouvelle loi en élaboration traite de cette question - ont été rejoints dans cet effort par des fonctionnaires représentant le Royaume-Uni, l'Australie, la Nouvelle-Zélande, le Canada, l'Inde et le Japon, selon un communiqué de presse publié par le DOJ dimanche.

Le communiqué cosigné par les membres de l'alliance de partage de renseignements Five Eyes (qui regroupe les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande), ainsi que des représentants des gouvernements japonais et indien, appelle les entreprises technologiques à trouver une solution permettant aux forces de l'ordre d'accéder à des communications chiffrées de bout en bout. Leur solution devrait également garder le niveau actuel de protection des utilisateurs.


La déclaration conjointe commence par reconnaître la valeur du chiffrement pour la protection de la liberté d'expression dans le monde entier, en citant un rapport de la Commission des droits de l'homme des Nations unies datant de 2017. Mais la déclaration ne tarde pas à commencer à énumérer les problèmes ostensiblement posés par cette technologie.

« Des mises en œuvre particulières de la technologie de chiffrement posent cependant des défis importants à la sécurité publique », peut-on lire dans la déclaration. « Nous demandons instamment à l'industrie de répondre à nos graves préoccupations lorsque le chiffrement est appliqué d'une manière qui empêche totalement tout accès légal au contenu ».

Cette déclaration est le dernier effort des Five Eyes pour amener les entreprises technologiques à accepter d’implémenter des portes dérobées dans leurs produits. En 2018 et 2019, cette alliance anti-chiffrement a exprimé des craintes similaires dans un mémo ouvert aux entreprises technologiques, bien que ce mémo n'ait entraîné que peu ou pas de progrès de la part de l'industrie sur cette question. Tout comme auparavant, les responsables gouvernementaux affirment dans leur déclaration que les entreprises technologiques se sont mises dans une impasse en intégrant le chiffrement de bout en bout (E2EE) dans leurs produits.

S'il est correctement mis en œuvre, E2EE permet aux utilisateurs d'avoir des conversations sécurisées - qu'il s'agisse de chat, d'audio ou de vidéo - sans avoir à partager la clé de chiffrement avec les sociétés technologiques. A chaque appel, les entreprises technologiques ont insisté sur le fait que toute porte dérobée construite pour l'application de la loi serait inévitablement la cible de criminels, et laisserait finalement les utilisateurs moins en sécurité.

Les signataires affirment que « certaines implémentations de la technologie de chiffrement » posent actuellement des problèmes aux enquêtes des services de répression, car les plateformes technologiques elles-mêmes ne peuvent pas accéder à certaines communications et fournir les données nécessaires aux enquêteurs. Ce qui permet d'offrir, selon les signataires, un refuge aux activités criminelles et met en danger la sécurité des « membres très vulnérables de nos sociétés comme les enfants exploités sexuellement », ont affirmé les fonctionnaires.

Un projet anti-chiffrement pour protéger les enfants et les victimes de la traite des êtres humains en cours d’adoption aux États-Unis

EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies) Act est un projet de loi américain qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne. En juillet 2020, le comité judiciaire du Sénat a adopté une version modifiée du projet de loi EARN IT. Le projet de loi tout entier est désormais en lecture dans la Chambre des représentants.

Selon la Global Crypto Press (GCP), si le gouvernement américain n’a peut-être pas pensé à sa frustration passée à l'égard de grandes entreprises technologiques - comme Apple, qui a refusé de déverrouiller un téléphone appartenant à un terroriste présumé, et Facebook qui a insisté pour que les messages entre les utilisateurs de WhatsApp restent chiffrés - en écrivant ce projet, EARN IT se trouve à résoudre tous leurs problèmes. Bien que le langage du projet de loi se concentre sur la protection des enfants, le résultat final est le pouvoir de déchiffrer les données chiffrées.

Le projet de loi crée une commission composée du procureur général des États-Unis et des forces de l'ordre qui déterminerait un ensemble de "meilleures pratiques" qu'une entreprise suivrait pour détecter, puis fournir des preuves d'une conduite illégale se produisant sur leurs appareils ou plateformes en ligne. Ces politiques de bonnes pratiques ne sont pas encore connues, mais selon la GCP, on peut affirmer sans risque de se tromper qu'elles n'accepteront pas comme réponse « nous ne pouvons pas voir le contenu des messages, car ils sont chiffrés ».


Cette mesure aura certainement des implications majeures en matière de cybersécurité. En effet, alors qu'une porte dérobée peut être créée uniquement à des fins répressives, cette même porte dérobée existe désormais pour que les pirates informatiques puissent la cibler et tenter de s'y introduire par leurs propres moyens, selon l’association GCP. Cependant, si la loi est adoptée, les entreprises seront obligées de créer des "trous de sécurité" dans leurs applications et leur matériel.

Dans le cas contraire, elles risquent de perdre la protection de l'article 230 de la loi sur la décence des communications, qui stipule qu’ « aucun fournisseur ou utilisateur d'un service informatique interactif ne doit être traité comme l'éditeur ou le locuteur d'une information fournie par un autre fournisseur de contenu informatif ». En d’autres termes, les entreprises pourraient être accusées de délits comme si elles étaient une partie volontaire impliquée dans la publication du contenu illégal.

Selon la GCP, les cryptomonnaies seraient certainement une cible, car elles utilisent le chiffrement pour cacher les adresses des portefeuilles et la taille des transactions, et tout établissement s’appuyant sur elles pour faire des affaires aux États-Unis risquerait de devenir responsable de tout crime ayant utilisé leur marché et l'un de leurs jetons.

Passer à travers le chiffrement de bout en bout, mais aussi à travers tous les services chiffrés disponibles

Selon la déclaration conjointe publiée lundi, les États-Unis et les six autres pays ne cherchent pas seulement à accéder à des données chiffrées en transit - comme le chiffrement de bout en bout utilisé par WhatsApp -, mais aussi à des données stockées localement comme le contenu d'un téléphone. C’est justement cette possibilité qui a manqué au FBI dans l’affaire de chiffrement qui l’a opposé à Apple en 2016 à San Bernardino.

« Bien que cette déclaration se concentre sur les défis posés par le chiffrement de bout en bout, cet engagement s'applique à toute la gamme des services chiffrés disponibles, y compris le chiffrement des appareils, les applications chiffrées personnalisées et le chiffrement sur les plateformes intégrées », poursuit le document. « Nous contestons l'affirmation selon laquelle la sécurité publique ne peut être protégée sans compromettre la vie privée ou la cybersécurité ».

« Nous appelons les entreprises technologiques à travailler avec les gouvernements pour prendre les mesures suivantes, axées sur des solutions raisonnables et techniquement réalisables », ont déclaré les sept gouvernements dans leur communiqué de presse :

  • Intégrer la sécurité du public dans la conception des systèmes, permettant ainsi aux entreprises d'agir efficacement contre les contenus et les activités illégales sans réduire la sécurité, et facilitant les enquêtes et les poursuites des infractions et la protection des personnes vulnérables ;
  • Permettre aux services de répression d'accéder au contenu dans un format lisible et utilisable lorsqu'une autorisation est légalement délivrée, lorsqu’elle est nécessaire et proportionnée et qu'elle est soumise à des garanties et à une surveillance strictes ;
  • Engager des consultations avec les gouvernements et les autres parties prenantes pour faciliter les accès légaux d'une manière qui soit substantielle et qui influence réellement les décisions de conception.

Selon la GCP, le seul véritable résultat final de la mise en œuvre de EARN IT Act serait un dommage majeur pour l'économie américaine - car la seule façon de s'assurer qu'il n'y a pas de failles de sécurité dans votre logiciel serait d'éviter tout logiciel développé par une société américaine, une fois que la loi sera mise en œuvre. C’est d’ailleurs pour cela que les États-Unis interdisent actuellement les logiciels et le matériel informatique fabriqués en Chine, en accusant les entreprises à l’origine d’espionner les Américains et de travailler pour le gouvernement chinois.

Mais cela risque de se produire aux États-Unis, vu que le processus d’adoption de la loi va de l’avant. L'Electronic Frontier Foundation a lancé une campagne de signatures pour les utilisateurs basés aux États-Unis afin d'encourager leurs représentants à rejeter le projet de loi.

Source : Déclaration des sept gouvernements

Et vous ?

Que pensez-vous de cette nouvelle tentative de forcer l’accès aux données chiffrées ?
Le nombre de pays impliqués dans la lutte anti-chiffrement augmente. Peut-on dire que le chiffrement est vraiment en danger ?
Que va-t-il se passer, selon vous, si les entreprises sont obligées de créer des "trous de sécurité" destinés aux autorités dans leurs applications et leur matériel ?

Voir aussi :

USA : le projet de loi EARN IT désormais en lecture dans la Chambre des représentants. Des défenseurs des droits numériques craignent une menace sur le chiffrement et la liberté d'expression
L'Australie adopte son projet de loi anti-chiffrement sans amendements, malgré les protestations de l'industrie technologique
Le DOJ prévoit de frapper le chiffrement alors que le fer du « Techlash » est chaud, en espérant que la loi anti-chiffrement australienne facilitera l'adoption d'une loi similaire aux USA
Signal, une plateforme de messagerie chiffrée, menace de se retirer du marché américain, si le projet de loi anti-chiffrement EARN IT est adopté

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de vbarr
Membre régulier https://www.developpez.com
Le 14/10/2020 à 12:34
Nous sommes déjà largement espionnés, la localisation des téléphones, nos achats via cartes etc., videosurveillances, les failles exploitées etc.
Personnellement, je pense que le chiffrement est une très bonne chose car il permet d'assurer dans une certaine mesure la confidentialité des communications, qui peuvent être très personnelles, intimes etc. sans avoir rien d'illégal. On doit pouvoir parler avec ses amis sans crainte d'être écouté, nos informations volées par des pirates avec demande de rançon etc.
Vu les abus commis par les services d'espionnage (américains entre autres), leur donner un accès facile à ces communications c'est tuer encore un peu plus la liberté et la confiance des citoyens dans leurs services de sécurité. Comme le suggère le dernier argument de l'article, la meilleure manière de ne pas être espionné sera (et est surement déjà d'ailleurs) de ne pas utiliser de matériel électronique, ce qui va nuire au développement.
6  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 17/10/2020 à 12:42
Bonjour,

Que pensez-vous de cette nouvelle tentative de forcer l’accès aux données chiffrées ?
On ouvre une boite de pandore.

Dans le "monde" réel il existe déjà le contrôle du courrier et / ou colis pour s'assurer qu'il n'y a pas d'objet illicite qui transitent (drogue, tabac, alcool, produit dangereux , contre façon ...) . Rien n’empêche la douane et la police de contrôler les flux physique de courrier.

Le problème avec le monde "virtuel" d'internet c'est qu'un message donné à un instant T sorti d'un contexte ou bien un message publié alors qu'une conversation à lieu en mode multi canal, il devient difficile de dire suivre la traçabilité exact de conversation.

Je vais faire un parallèle la situation suivante :

2 personnes prennent un café et lisent le journal. L'une d'elle prononce le "mort" et "bombe" dans la même phrase . Un policier en patrouille passe par là au même moment et entend la phrase.

Doit il s’inquiéter et arreter les personnes du café pour suspicion d'activité terroriste ?

===

Autre exemple : La Poste / Mondial Relay / Relais colis acheminent des colis. Ces sociétés n'ont pas le droit d'ouvrir les colis .

Imaginez maintenant qu'avant chaque dépôt en point relais ou boite au lettre les livreurs ouvrent et lisent le courrier. A l'apparition de mot clef le courrier et / ou colis est détruit , puis le routeur de courrier arrêter de vous livrer celui ci.

===

Avec les flux d'informations virtuelles c'est encore plus compliqué. Pour empêcher n’importe qui de lire ou intercepter les communications, on chiffre, crypte, on code , on met des clef d'identification pour ouvrir ou fermer.

Contrairement au mode physique, en informatique quand on met une clef d'accès et que le système se retrouve verrouiller il est parfois impossible de le rouvrir . En fait , en temps il faudrait tester tellement de combinaison qu'à l’échelle d'une vie humaine se serait impossible . D’où l’inquiétude des autorités de ne pas pouvoir accéder à des informations dans une affaire criminel.

Ajouter à cela si le possesseur légitime décède et emporte dans sa tombe une info que seul lui savait, disparait et ne donne plus signe de vie, perd sa main et ne peut plus fournir une emprunter digital , que la matos de stockage soit détruit ou altéré ...

Résultat, on assiste donc a une "peur" sur le sujet (qui est compréhensible), et une certaine paranoïa (de certains lobbyistes) sur le sujet venant des USA qui fait que les autorités du pays veulent imposer un standard de contrôle .

On connait le résultat . Imposer une forme de " porte à accès restrictif " .

Le problème ici est que les sachants par méconnaissance du sujet ignorent les techniques sur le risque de faille qui a été prouvé plus d'une fois ... Les systèmes informatiques sont loin d'être invulnérables .

Le nombre de pays impliqués dans la lutte anti-chiffrement augmente. Peut-on dire que le chiffrement est vraiment en danger ?
Oui a double tranchant :

> un vrai criminel , dont les preuves ne sont pas accessibles car chiffrées, la c'est vraiment plus que problématique dans la clef de résolution d'affaires.
> inversement une personne accusée à tord qui communique de manière chiffrée , de quel droit devrait on fouiller sa vie strictement privée ?

Que va-t-il se passer, selon vous, si les entreprises sont obligées de créer des "trous de sécurité" destinés aux autorités dans leurs applications et leur matériel ?
En voulant imposer des "standards" avec des failles on ouvre donc bel et bien une boite de pandore et ce de manière très dangereuse.

Aussi bien dans le monde physique que virtuel.
1  0 
Avatar de Pierre Fauconnier
Responsable Office & Excel https://www.developpez.com
Le 17/10/2020 à 17:23
Ce qui permet d'offrir, selon les signataires, un refuge aux activités criminelles et met en danger la sécurité des « membres très vulnérables de nos sociétés comme les enfants exploités sexuellement », ont affirmé les fonctionnaires.
Et comme toujours, l'argument massue de l'exploitation sexuelle qui place au rang des délinquants sexuels potentiels ceux qui seraient contre la mesure... "Ah, si tu es contre, c'est sûrement que tu as des choses à cacher." ou encore "Ah, tu ne veux pas que nos enfants soient protégés? T'es pédophile ou quoi?"...

C'est d'un pénible.
1  0