Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Au FIC 2017, deux pistes esquissées pour répondre à la question du chiffrement

Sans se tromper de cibles

Au FIC 2017, deux pistes esquissées pour répondre à la question du chiffrement

Le 25 janvier 2017 à 07h30

« Le débat sur le chiffrement permet de faire de la pédagogie, expliquer ce que c’est ». Au FIC 2017, Guillaume Poupard a tenté de positiver le marronnier de sa remise en cause. Surtout, deux pistes ont été ébauchées pour contourner cette difficulté.

Quelques heures plus tôt, Bruno Le Roux avait estimé en séance plénière que le thème du chiffrement ouvrait « un enjeu essentiel dans la lutte contre la menace terroriste ». Le ministre de l'Intérieur temporisait cependant l’analyse : le chiffrement est aussi utile pour la vie privée et la sécurité. Une initiative est toutefois menée avec l’Allemagne pour porter cette question aux oreilles des autres États membres.

Pas question d'une remise en cause

« Le débat a bien muri, considère de son côté Guillaume Poupard. J’entends des choses plus raisonnables que les ballons d’essais qui ont pu être lancé dans le passé ». Le numéro un de l’ANSSI admet avoir mené une phase d’éclaircissements : « L’affaiblissement du chiffrement, les portes dérobées, etc. cela ne marche pas. Ce n’est pas une analyse politique, c’est technique. En France, la cryptographie est libre, s’applique pleinement, sans remise en question ».

Toutefois, une problématique s’ouvre aux pouvoirs publics : « comment fait-on, malgré le chiffrement, pour accéder à l’information ? ». Une vraie difficulté puisque « l’Etat ne peut admettre que la sécurité des citoyens soit remise en question, ou qu’on ne peut rien faire ». L’essentiel est donc de contourner un paradoxe apparent : ne pas prendre de décisions qui viendraient embêter tout le monde... sauf les cibles principales.

Deux pistes cependant

Pour cela, le patron de l’ANSSI a esquissé deux pistes actuellement dans les tuyaux : réduire l’écart des obligations entre les opérateurs télécoms traditionnels, et tous les nouveaux services en ligne. « On pourrait, sur ce point, avoir une démarche européenne », sans doute pour contraindre ces nouveaux-nés à des obligations de collaboration à l'image des premiers. Cependant, et sans doute parce que le chiffrement ne concerne pas ces seuls intermédiaires, l’autre idée serait de faire évoluer les techniques d’enquêtes. Lesquelles ont pourtant déjà été mises à jour au fil des lois sécuritaires récentes.

Si les détails n’ont pas été plus en avant, Guillaume Poupard compte « réexpliquer que ce n’est pas parce que le chiffrement peut poser problème qu’il faut l’interdire. L’ANSSI fait tout ce qu’elle peut pour faire de la pédagogie et se faire inviter aux réunions interministérielles. »

Commentaires (43)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’ai l’impression de relire les news de la belle époque de l’hadopi.

Même champ lexical des législateur, même impression qu’ils ne comprennent pas réèllement l’enjeu (ou qu’ils le comprennent trop bien)

Mon avis c’est que c’est un débat dangereux, qu’il remet en cause le principe même de l’enveloppe de courrier. Par contre un point positif, c’est qu’il permettra d’ouvrir la porte à d’autres façon de procéder.

Le contrôle des outils numériques est une fuite en avant et un jeu malsain de chat et de souris.

Le chiffrement ne doit PAS être remis en question. Messieurs des RG trouvez d’autres façons de faire, sans compromettre les libertés individuelles

votre avatar

Heureusement qu’il y a l’ANSSI quand même…

Je les vois comme une oasis de compétence dans un Sahara de politiciens

votre avatar

Logique de trouver plus de gens compétent dans l’administration que dans le corps politiques, faut un certain niveau pour être pris dans le 1er, alors que que le 1er abrutis venus peut se faire élire.<img data-src=" />

votre avatar







ArchangeBlandin a écrit :



Il n’y avait pas quelqu’un des renseignements français qui avait balancé qu’on s’en fichait du chiffrement parce que les personnes surveillées devaient bien lire leurs communications ou données chiffrées à l’écran et qu’un bon vieux troyen permettait de récupérer les données à ce moment là ?



Donc, cibler la machine plutôt que le le tuyau ?



Je suis à peu près sûr d’avoir lu ça, et c’était le propos le plus sensé que j’aie jamais entendu sur le “problème du chiffrement”.







Ouais mais ça ne vaut que lorsque tu as installé ton troyen AVANT la récolte d’info… Quand c’est après coup, t’es baisé quand même…







Geologic a écrit :



Mon avis c’est que c’est un débat dangereux, qu’il remet en cause le principe même de l’enveloppe de courrier.







C’est exactement l’analogie que j’utilise pour expliquer à quoi sert le chiffrement : l’enveloppe courrier.

Il ne viendrait à l’idée de personne d’envoyer des cartes postales pour transmettre des informations, même à ceux qui se vantent d’une manière imbécile “je n’ai rien à cacher”. Et bien le chiffrement, c’est l’enveloppe…



Et tous les gens qui ne se sentent pas concernés seraient les 1ers à hurler et vouloir faire une révolution si jamais le gouvernement annoncait qu’il allait ouvrir et prendre en photo tous les courriers transitant par la Poste… Et pourtant, c’est exactement ce qui est fait sur Internet et tout le monde ou presque s’en fout…

C’est dingue…


votre avatar



Toutefois, une problématique s’ouvre aux pouvoirs publics&nbsp;: «&nbsp;comment fait-on, malgré le chiffrement, pour accéder à l’information&nbsp;?&nbsp;». Une vraie difficulté&nbsp;puisque «&nbsp;l’Etat ne peut admettre que la sécurité des citoyens soit remise en question, ou qu’on ne peut rien faire&nbsp;».

L’essentiel est donc de contourner un paradoxe apparent&nbsp;: ne pas

prendre de décisions qui viendraient embêter tout le monde…&nbsp;sauf les

cibles principales.





Heu, c’est moi ou ça veut rien dire ? Parce-que là, on avance pas d’y iota…

votre avatar







emlar a écrit :



Si tu veux connaitre la position complète de l’ANSII, lis leur livre blanc de 2013 livreblancdefenseetsecurite.gouv.fr République Française C’est 160 pages qui ne sont pas du tout techniques, mais qui ont le mérite de désigner les points de faiblesse.





<img data-src=" /> <img data-src=" />


votre avatar







PtiDidi a écrit :



Mais si tu interdis l’utilisation de chiffrement avec des tailles de clef supérieure à 512/1024bits, le simple fait d’utiliser un tel logiciel fera de toi un terroriste





lol


votre avatar







ragoutoutou a écrit :



Si on interdit le chiffrement, c’est Vladimir qui va être content …





C’est juste impossible à mettre en place. Ni techniquement, ni politiquement.


votre avatar







ArchangeBlandin a écrit :



Il n’y avait pas quelqu’un des renseignements français qui avait balancé qu’on s’en fichait du chiffrement parce que les personnes surveillées devaient bien lire leurs communications ou données chiffrées à l’écran et qu’un bon vieux troyen permettait de récupérer les données à ce moment là ?



Donc, cibler la machine plutôt que le le tuyau ?



Je suis à peu près sûr d’avoir lu ça, et c’était le propos le plus sensé que j’aie jamais entendu sur le “problème du chiffrement”.





Ca reviendrait à installer un troyen sur tous les PC (Windows, MacOs, Linux, BSD etc…)

Bon courage.


votre avatar







Ami-Kuns a écrit :



Logique de trouver plus de gens compétent dans l’administration que dans le corps politiques, faut un certain niveau pour être pris dans le 1er, alors que que le 1er abrutis venus peut se faire élire.<img data-src=" />





<img data-src=" /> Tu remettrais la compétence de mme Fillon en doute ?


votre avatar

C’est une élues?<img data-src=" />(En passant, je ne considère pas que les employés directes des élus font partis de l’administration (ceux ayant passés des concours)).

votre avatar

C’était pas du tout l’idée.

Une connexion suspecte est identifiée, on ne peut pas la décrypter, du coup, on attaque les machines aux deux bouts.



Si tu déploies ton outil chez tout le monde, il sera découvert et éradiqué.

votre avatar







Ricard a écrit :



Ca reviendrait à installer un troyen sur tous les PC (Windows, MacOs, Linux, BSD etc…)

Bon courage.





Avec le premier OS cité c’est déjà le cas, non ? <img data-src=" />


votre avatar







picatrix a écrit :



Avec le premier OS cité c’est déjà le cas, non ? <img data-src=" />





<img data-src=" />


votre avatar







ArchangeBlandin a écrit :



C’était pas du tout l’idée.

Une connexion suspecte est identifiée, on ne peut pas la décrypter, du coup, on attaque les machines aux deux bouts.



Si tu déploies ton outil chez tout le monde, il sera découvert et éradiqué.





Comment tu détectes une connexion suspecte ?


votre avatar







Ami-Kuns a écrit :



C’est une élues?<img data-src=" />(En passant, je ne considère pas que les employés directes des élus font partis de l’administration (ceux ayant passés des concours)).





Mme Fillon a déjà assez de travail comme ça à la maison. (ménage, toussa…)<img data-src=" />


votre avatar

Il n’y a pas plus de détails ? Il est un peu avare en informations ce Mr Poupard.



En tout cas, heureusement qu’il est la pour remettre un peu de bon sens dans cette histoire…

votre avatar

Je pense que de par son poste, il est soumis à une énorme obligation de réserve, et que ce dont il parle à demi-mots est complètement classé secret-défense.



Et oui, c’est clair qu’on a de la chance, pour l’instant, il y a des gens compétents à l’anssi.

votre avatar

On ne comprend rien à ses propos, soit c’est de la langue de bois, soit du blabla pour ne rien dire.

votre avatar

“ne pas prendre de décisions qui viendraient embêter tout le monde…&nbsp;sauf les cibles principales.”

Traduction, ne pas faire comme avec les DRM qui embêtent les consommateurs, pas les pirates.

En tout cas c’est vrai qu’il ne sert à rien de vouloir affaiblir le chiffrement ou de demander aux intermédiaires de coopérer. Un simple logiciel lambda (libre par exemple) de chiffrement suffit à passer outre tout mesure dans ce sens.

votre avatar

Tant qu’il ne prone pas l’affaiblissement volontaire ou la mise en place de backdoor c’est déjà ça. Ces solution reviennent a mettre en place une porte de derrière avec une serrure bas de gamme sur un coffre fort …

votre avatar

Si tu veux connaitre la position complète de l’ANSII, lis leur livre blanc de 2013 livreblancdefenseetsecurite.gouv.fr République Française C’est 160 pages qui ne sont pas du tout techniques, mais qui ont le mérite de désigner les points de faiblesse.

votre avatar

Je retiens surtout que “L’ANSSI fait tout ce qu’elle peut pour faire de la pédagogie et se faire inviter aux réunions interministérielles”, alors que les élus en question devraient sérieusement s’impliquer avant de légiférer et la solliciter d’eux-même. Le terme de”ballon d’essai”, ça inquiète un peu, aussi.

votre avatar

«&nbsp;L’affaiblissement&nbsp;du&nbsp;chiffrement, les portes dérobées, etc. cela ne marche pas. Ce n’est pas une analyse politique, c’est technique. En France, la cryptographie est libre, s’applique pleinement, sans remise en question&nbsp;».C’est déjà ça de bon :-)Merci à l’ANSSI pour cette prise de position, et espérons que le débat avance après…

votre avatar

Mais si tu interdis l’utilisation de chiffrement avec des tailles de clef supérieure à 512/1024bits, le simple fait d’utiliser un tel logiciel fera de toi un terroriste

votre avatar







Crysalide a écrit :



On ne comprend rien à ses propos, soit c’est de la langue de bois, soit du blabla pour ne rien dire.







C’est pourtant pas compliqué, il dit 3 choses :





  • constat : affaiblir le chiffrement ou mettre des backdoors, c’est inutile, ça marche pas et c’est une idée à la con

    et pour acceder quand même aux informations malgré le chiffrement (solution), il faut :



    • soit que les services en ligne soient soumis au meme genre d’obligation que les operateurs (ecoutes, retention des données de connexion, etc)

    • soit faire évoluer les techniques d’enquete (mais là, il est pas très précis : ça peut vouloir dire donner des outils aux enqueteurs pour casser le chiffrement, former des enqueteurs “experts” aux techniques de piratage, travailler sur d’autres types de preuves que les données chiffrées ?)







      lincruste_2_la vengeance a écrit :



      Je retiens surtout que “L’ANSSI fait tout ce qu’elle peut pour faire de la pédagogie et se faire inviter aux réunions interministérielles”, alors que les élus en question devraient sérieusement s’impliquer avant de légiférer et la solliciter d’eux-même. Le terme de”ballon d’essai”, ça inquiète un peu, aussi.







      Ben ouais mais un élu un peu populiste sur les bords cherche un discours simpliste sur ce sujet car déjà lui n’y comprends pas grand-chose et ses electeurs encore moins. Or, des specialistes comme les gars de l’ANSSI savent et disent qu’on ne peut pas tenir de discours simpliste et encore moins donner des “solutions” simplistes.

      Evidemment, quand des anes ne veulent pas entendre qqch, tu as beau leur crier dans les oreilles, ça ne sert à rien…



votre avatar

Si on interdit le chiffrement, c’est Vladimir qui va être content …

votre avatar

Il n’y avait pas quelqu’un des renseignements français qui avait balancé qu’on s’en fichait du chiffrement parce que les personnes surveillées devaient bien lire leurs communications ou données chiffrées à l’écran et qu’un bon vieux troyen permettait de récupérer les données à ce moment là ?



Donc, cibler la machine plutôt que le le tuyau ?



Je suis à peu près sûr d’avoir lu ça, et c’était le propos le plus sensé que j’aie jamais entendu sur le “problème du chiffrement”.

votre avatar

Comment tu sais qui écouter ?

Je crois que c’est le principal du boulot des renseignements.

votre avatar







ArchangeBlandin a écrit :



Comment tu sais qui écouter ?

Je crois que c’est le principal du boulot des renseignements.





Ben justement, on sait très bien comment ils s’y prennent. Ils pêchent au chalut.


votre avatar

Le chalut russe autour des porte-avions américains est assez courant.<img data-src=" />

votre avatar







Ricard a écrit :



C’est juste impossible à mettre en place. Ni techniquement, ni politiquement.





De nos jours, les critères de faisabilité ont peu d’importance dans les processus décisionnels…


votre avatar







ragoutoutou a écrit :



De nos jours, les critères de faisabilité ont peu d’importance dans les processus décisionnels…





Jusqu’à une certaine limite tout de même


votre avatar







Ricard a écrit :



lol





Mais encore? Les US l’ont fait par le passé il me semble et certains pays continuent à le faire..



&nbsp;





Ricard a écrit :



C’est juste impossible à mettre en place. Ni techniquement, ni politiquement.





Techniquement? Quest ce qui empêche techniquement les politiques de dire “le chiffrement est interdit pour les citoyens lambda?”

Politiquement? Bah.. C’est vrai qu’en ces temps de campagnes électorales ca serait pas super bien vu mais “c’est pour lutter contre les terroristes ma p’tite dame”


votre avatar

heu sisi c’est très clair: éviter de prendre des décisions qui ne seront appliquées qu’aux citoyens “honnètes” et que ne respecteront pas les cibles principales (évadés fiscaux, employeurs fictifs, politiciens corrompus, etc…)

votre avatar







PtiDidi a écrit :



Mais encore? Les US l’ont fait par le passé il me semble et certains pays continuent à le faire..





C’est pour ça qu’ Apple s’est battu avec le FBI pour une histoire d’ iPhone chiffré très récemment.

Ca fait bien longtemps que le chiffrement est libre aux USA et que toutes les tentatives pour essayer de l’affaiblir ont échoué.





Techniquement? Quest ce qui empêche techniquement les politiques de dire “le chiffrement est interdit pour les citoyens lambda?”

Politiquement? Bah.. C’est vrai qu’en ces temps de campagnes électorales ca serait pas super bien vu mais “c’est pour lutter contre les terroristes ma p’tite dame”



Tu vas mettre un flic dans chaque foyer pour voir si ils n’échangent pas des trucs chiffrés ? Et le cas échéant, tu fais comment pour leur interdire ? Juste pour rappel, le téléchargement de fichiers protégés est interdit en France, il y a même un truc qui s’appelle Hadopi, tu connais ? Si tu te fais chopper, t’as quoi ? Un mail d’avertissement. Comment tu fais avec ta banque ? Si tu commandes en ligne ?

Et pour finir, juste pour rappel, le secret des communications qui est dans la charte des droits de l’homme ? Même ça ça n’est pas remis en cause avec l’état d’urgence dans les dérogations signées par le GVT.

D’ailleurs, les récents attentats ont montré que les terroristes ne chiffraient pas leurs communications, alors les services de renseignement auront bien d’autres choses à faire tu crois pas ?


votre avatar







hellmut a écrit :



heu sisi c’est très clair: éviter de prendre des décisions qui ne seront appliquées qu’aux citoyens “honnètes” et que ne respecteront pas les cibles principales (évadés fiscaux, employeurs fictifs, politiciens corrompus, etc…)





<img data-src=" />&nbsp;Mais laissez François Fillon tranquille à la fin…


votre avatar







PtiDidi a écrit :



Mais si tu interdis l’utilisation de chiffrement avec des tailles de clef supérieure à 512/1024bits, le simple fait d’utiliser un tel logiciel fera de toi un terroriste





heu… clés de chiffrements de supports ou clés de chiffrement type gpg ? Parce que si ce sont des clés gpg/pgp … ça fait un bail que par défaut c’est du 2048 bits voire 4096. Actuellement on peut même faire plus (l’option existe pour faire des clés de 8192).&nbsp;



Pour les partitions, par défaut c’est du 256 qui est proposé sur Debian GNU/Linux


votre avatar

Tout est dans le “faire évoluer les techniques d’enquêtes”. Cela pourrait vouloir dire de doter les pouvoirs d’enquête (la Police) de moyens d’investiguer directement dans les PC des utilisateurs, pour y récupérer les données non chiffrées. Ainsi, les données qui transitent sur les moyens de communications, quels qu’ils soient, peuvent rester chiffrées.

votre avatar

je pense que cette annonce devrait vous amenez à réfléchir, beaucoup , je l’espère tout du moins …





D-Wave a donné quelques précisions techniques sur son 2000Q. Il fonctionne à une température de moins de 15 millikelvins (donc près du zéro absolu), pour permettre à la puce de réaliser son traitement quantique. Chaque système peut comprendre jusqu’à 2048 qubits et 5 600 raccords pour chaque qubit. Le 2000Q consomme 25 kW en énergie.

En savoir plus surhttp://www.silicon.fr/d-wave-livre-son-systeme-quantique-2000q-a-15-millions-de-…



Avec 2048 qBits … le chiffrement telle qu’on le connait , juste lol !

votre avatar

La longueur de la clef depend aussi du type de chiffrement.

Mais rien n’empèche nos politiques de dire “on limite à une longueur de X bits en RSA et Y bits en whatever parce que sinon nos services de renseignements ne pourront pas assurer la protection des Francais”

votre avatar

Par “Techniquement, quest ce qui empeche” je ne parlais pas des moyens à postériori pour vérifer que la loi est bien appliquée mais du fait que le projet de loi pourra être monté ou pas.



Des lois qui ne sont pas appliquées, il y en a des pages et des pages.

Contre le téléchargement illégal par exemple, mais c’est dans la loi, du coup qu’est ce qui les empêche d’en inscrire une sur le chiffrement?



Le secret des communications? Cest pas parce que la communication n’est pas chiffrée qu’elle est forcément lue/publique (carte postale sans enveloppe, les mails qui circulent généralement sur des canaux non chiffrés)

votre avatar







PtiDidi a écrit :



Le secret des communications? Cest pas parce que la communication n’est pas chiffrée qu’elle est forcément lue/publique (carte postale sans enveloppe, les mails qui circulent généralement sur des canaux non chiffrés)





Ouais, on a vu ce que ça donnait avec la NSA où ou le FBI quand les agents passaient leur temps à espionner leurs petites copines ou mater les sexcams sur Skype. C’est techniquement et politiquement impossible.


Au FIC 2017, deux pistes esquissées pour répondre à la question du chiffrement

  • Pas question d'une remise en cause

  • Deux pistes cependant

Fermer