Au FIC 2017, deux pistes esquissées pour répondre à la question du chiffrement

Au FIC 2017, deux pistes esquissées pour répondre à la question du chiffrement

Sans se tromper de cibles

Avatar de l'auteur
Marc Rees

Publié dans

Droit

25/01/2017
43

Au FIC 2017, deux pistes esquissées pour répondre à la question du chiffrement

« Le débat sur le chiffrement permet de faire de la pédagogie, expliquer ce que c’est ». Au FIC 2017, Guillaume Poupard a tenté de positiver le marronnier de sa remise en cause. Surtout, deux pistes ont été ébauchées pour contourner cette difficulté.

Quelques heures plus tôt, Bruno Le Roux avait estimé en séance plénière que le thème du chiffrement ouvrait « un enjeu essentiel dans la lutte contre la menace terroriste ». Le ministre de l'Intérieur temporisait cependant l’analyse : le chiffrement est aussi utile pour la vie privée et la sécurité. Une initiative est toutefois menée avec l’Allemagne pour porter cette question aux oreilles des autres États membres.

Pas question d'une remise en cause

« Le débat a bien muri, considère de son côté Guillaume Poupard. J’entends des choses plus raisonnables que les ballons d’essais qui ont pu être lancé dans le passé ». Le numéro un de l’ANSSI admet avoir mené une phase d’éclaircissements : « L’affaiblissement du chiffrement, les portes dérobées, etc. cela ne marche pas. Ce n’est pas une analyse politique, c’est technique. En France, la cryptographie est libre, s’applique pleinement, sans remise en question ».

Toutefois, une problématique s’ouvre aux pouvoirs publics : « comment fait-on, malgré le chiffrement, pour accéder à l’information ? ». Une vraie difficulté puisque « l’Etat ne peut admettre que la sécurité des citoyens soit remise en question, ou qu’on ne peut rien faire ». L’essentiel est donc de contourner un paradoxe apparent : ne pas prendre de décisions qui viendraient embêter tout le monde... sauf les cibles principales.

Deux pistes cependant

Pour cela, le patron de l’ANSSI a esquissé deux pistes actuellement dans les tuyaux : réduire l’écart des obligations entre les opérateurs télécoms traditionnels, et tous les nouveaux services en ligne. « On pourrait, sur ce point, avoir une démarche européenne », sans doute pour contraindre ces nouveaux-nés à des obligations de collaboration à l'image des premiers. Cependant, et sans doute parce que le chiffrement ne concerne pas ces seuls intermédiaires, l’autre idée serait de faire évoluer les techniques d’enquêtes. Lesquelles ont pourtant déjà été mises à jour au fil des lois sécuritaires récentes.

Si les détails n’ont pas été plus en avant, Guillaume Poupard compte « réexpliquer que ce n’est pas parce que le chiffrement peut poser problème qu’il faut l’interdire. L’ANSSI fait tout ce qu’elle peut pour faire de la pédagogie et se faire inviter aux réunions interministérielles. »

43

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Pas question d'une remise en cause

Deux pistes cependant

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (43)


Le 25/01/2017 à 07h 48

Il n’y a pas plus de détails ? Il est un peu avare en informations ce Mr Poupard.



En tout cas, heureusement qu’il est la pour remettre un peu de bon sens dans cette histoire…


Le 25/01/2017 à 07h 54

Je pense que de par son poste, il est soumis à une énorme obligation de réserve, et que ce dont il parle à demi-mots est complètement classé secret-défense.



Et oui, c’est clair qu’on a de la chance, pour l’instant, il y a des gens compétents à l’anssi.


On ne comprend rien à ses propos, soit c’est de la langue de bois, soit du blabla pour ne rien dire.


Le 25/01/2017 à 08h 04

“ne pas prendre de décisions qui viendraient embêter tout le monde… sauf les cibles principales.”

Traduction, ne pas faire comme avec les DRM qui embêtent les consommateurs, pas les pirates.

En tout cas c’est vrai qu’il ne sert à rien de vouloir affaiblir le chiffrement ou de demander aux intermédiaires de coopérer. Un simple logiciel lambda (libre par exemple) de chiffrement suffit à passer outre tout mesure dans ce sens.


Mimoza Abonné
Le 25/01/2017 à 08h 06

Tant qu’il ne prone pas l’affaiblissement volontaire ou la mise en place de backdoor c’est déjà ça. Ces solution reviennent a mettre en place une porte de derrière avec une serrure bas de gamme sur un coffre fort …


Le 25/01/2017 à 08h 10

Si tu veux connaitre la position complète de l’ANSII, lis leur livre blanc de 2013 http://www.livreblancdefenseetsecurite.gouv.fr/pdf/le_livre_blanc_de_la_defense_… C’est 160 pages qui ne sont pas du tout techniques, mais qui ont le mérite de désigner les points de faiblesse.


Le 25/01/2017 à 08h 12

Je retiens surtout que “L’ANSSI fait tout ce qu’elle peut pour faire de la pédagogie et se faire inviter aux réunions interministérielles”, alors que les élus en question devraient sérieusement s’impliquer avant de légiférer et la solliciter d’eux-même. Le terme de”ballon d’essai”, ça inquiète un peu, aussi.


tpeg5stan Abonné
Le 25/01/2017 à 08h 14

« L’affaiblissement du chiffrement, les portes dérobées, etc. cela ne marche pas. Ce n’est pas une analyse politique, c’est technique. En France, la cryptographie est libre, s’applique pleinement, sans remise en question ».C’est déjà ça de bon :-)Merci à l’ANSSI pour cette prise de position, et espérons que le débat avance après…


PtiDidi Abonné
Le 25/01/2017 à 08h 15

Mais si tu interdis l’utilisation de chiffrement avec des tailles de clef supérieure à 512/1024bits, le simple fait d’utiliser un tel logiciel fera de toi un terroriste


Le 25/01/2017 à 08h 22







Crysalide a écrit :



On ne comprend rien à ses propos, soit c’est de la langue de bois, soit du blabla pour ne rien dire.







C’est pourtant pas compliqué, il dit 3 choses :





  • constat : affaiblir le chiffrement ou mettre des backdoors, c’est inutile, ça marche pas et c’est une idée à la con

    et pour acceder quand même aux informations malgré le chiffrement (solution), il faut :



    • soit que les services en ligne soient soumis au meme genre d’obligation que les operateurs (ecoutes, retention des données de connexion, etc)

    • soit faire évoluer les techniques d’enquete (mais là, il est pas très précis : ça peut vouloir dire donner des outils aux enqueteurs pour casser le chiffrement, former des enqueteurs “experts” aux techniques de piratage, travailler sur d’autres types de preuves que les données chiffrées ?)







      lincruste_2_la vengeance a écrit :



      Je retiens surtout que “L’ANSSI fait tout ce qu’elle peut pour faire de la pédagogie et se faire inviter aux réunions interministérielles”, alors que les élus en question devraient sérieusement s’impliquer avant de légiférer et la solliciter d’eux-même. Le terme de”ballon d’essai”, ça inquiète un peu, aussi.







      Ben ouais mais un élu un peu populiste sur les bords cherche un discours simpliste sur ce sujet car déjà lui n’y comprends pas grand-chose et ses electeurs encore moins. Or, des specialistes comme les gars de l’ANSSI savent et disent qu’on ne peut pas tenir de discours simpliste et encore moins donner des “solutions” simplistes.

      Evidemment, quand des anes ne veulent pas entendre qqch, tu as beau leur crier dans les oreilles, ça ne sert à rien…




Le 25/01/2017 à 08h 38

Si on interdit le chiffrement, c’est Vladimir qui va être content …


Le 25/01/2017 à 08h 42

Il n’y avait pas quelqu’un des renseignements français qui avait balancé qu’on s’en fichait du chiffrement parce que les personnes surveillées devaient bien lire leurs communications ou données chiffrées à l’écran et qu’un bon vieux troyen permettait de récupérer les données à ce moment là ?



Donc, cibler la machine plutôt que le le tuyau ?



Je suis à peu près sûr d’avoir lu ça, et c’était le propos le plus sensé que j’aie jamais entendu sur le “problème du chiffrement”.


Geologic Abonné
Le 25/01/2017 à 08h 44

J’ai l’impression de relire les news de la belle époque de l’hadopi.

Même champ lexical des législateur, même impression qu’ils ne comprennent pas réèllement l’enjeu (ou qu’ils le comprennent trop bien)

Mon avis c’est que c’est un débat dangereux, qu’il remet en cause le principe même de l’enveloppe de courrier. Par contre un point positif, c’est qu’il permettra d’ouvrir la porte à d’autres façon de procéder.

Le contrôle des outils numériques est une fuite en avant et un jeu malsain de chat et de souris.

Le chiffrement ne doit PAS être remis en question. Messieurs des RG trouvez d’autres façons de faire, sans compromettre les libertés individuelles


Le 25/01/2017 à 08h 54

Heureusement qu’il y a l’ANSSI quand même…

Je les vois comme une oasis de compétence dans un Sahara de politiciens


Ami-Kuns Abonné
Le 25/01/2017 à 08h 58

Logique de trouver plus de gens compétent dans l’administration que dans le corps politiques, faut un certain niveau pour être pris dans le 1er, alors que que le 1er abrutis venus peut se faire élire.<img data-src=" />


Le 25/01/2017 à 09h 03







ArchangeBlandin a écrit :



Il n’y avait pas quelqu’un des renseignements français qui avait balancé qu’on s’en fichait du chiffrement parce que les personnes surveillées devaient bien lire leurs communications ou données chiffrées à l’écran et qu’un bon vieux troyen permettait de récupérer les données à ce moment là ?



Donc, cibler la machine plutôt que le le tuyau ?



Je suis à peu près sûr d’avoir lu ça, et c’était le propos le plus sensé que j’aie jamais entendu sur le “problème du chiffrement”.







Ouais mais ça ne vaut que lorsque tu as installé ton troyen AVANT la récolte d’info… Quand c’est après coup, t’es baisé quand même…







Geologic a écrit :



Mon avis c’est que c’est un débat dangereux, qu’il remet en cause le principe même de l’enveloppe de courrier.







C’est exactement l’analogie que j’utilise pour expliquer à quoi sert le chiffrement : l’enveloppe courrier.

Il ne viendrait à l’idée de personne d’envoyer des cartes postales pour transmettre des informations, même à ceux qui se vantent d’une manière imbécile “je n’ai rien à cacher”. Et bien le chiffrement, c’est l’enveloppe…



Et tous les gens qui ne se sentent pas concernés seraient les 1ers à hurler et vouloir faire une révolution si jamais le gouvernement annoncait qu’il allait ouvrir et prendre en photo tous les courriers transitant par la Poste… Et pourtant, c’est exactement ce qui est fait sur Internet et tout le monde ou presque s’en fout…

C’est dingue…



Le 25/01/2017 à 09h 29



Toutefois, une problématique s’ouvre aux pouvoirs publics&nbsp;: «&nbsp;comment fait-on, malgré le chiffrement, pour accéder à l’information&nbsp;?&nbsp;». Une vraie difficulté&nbsp;puisque «&nbsp;l’Etat ne peut admettre que la sécurité des citoyens soit remise en question, ou qu’on ne peut rien faire&nbsp;».

L’essentiel est donc de contourner un paradoxe apparent&nbsp;: ne pas

prendre de décisions qui viendraient embêter tout le monde…&nbsp;sauf les

cibles principales.





Heu, c’est moi ou ça veut rien dire ? Parce-que là, on avance pas d’y iota…


Le 25/01/2017 à 09h 32







emlar a écrit :



Si tu veux connaitre la position complète de l’ANSII, lis leur livre blanc de 2013 http://www.livreblancdefenseetsecurite.gouv.fr/pdf/le_livre_blanc_de_la_defense_… C’est 160 pages qui ne sont pas du tout techniques, mais qui ont le mérite de désigner les points de faiblesse.





<img data-src=" /> <img data-src=" />



Le 25/01/2017 à 09h 33







PtiDidi a écrit :



Mais si tu interdis l’utilisation de chiffrement avec des tailles de clef supérieure à 512/1024bits, le simple fait d’utiliser un tel logiciel fera de toi un terroriste





lol



Le 25/01/2017 à 09h 35







ragoutoutou a écrit :



Si on interdit le chiffrement, c’est Vladimir qui va être content …





C’est juste impossible à mettre en place. Ni techniquement, ni politiquement.



Le 25/01/2017 à 09h 42







ArchangeBlandin a écrit :



Il n’y avait pas quelqu’un des renseignements français qui avait balancé qu’on s’en fichait du chiffrement parce que les personnes surveillées devaient bien lire leurs communications ou données chiffrées à l’écran et qu’un bon vieux troyen permettait de récupérer les données à ce moment là ?



Donc, cibler la machine plutôt que le le tuyau ?



Je suis à peu près sûr d’avoir lu ça, et c’était le propos le plus sensé que j’aie jamais entendu sur le “problème du chiffrement”.





Ca reviendrait à installer un troyen sur tous les PC (Windows, MacOs, Linux, BSD etc…)

Bon courage.



Le 25/01/2017 à 09h 51







Ami-Kuns a écrit :



Logique de trouver plus de gens compétent dans l’administration que dans le corps politiques, faut un certain niveau pour être pris dans le 1er, alors que que le 1er abrutis venus peut se faire élire.<img data-src=" />





<img data-src=" /> Tu remettrais la compétence de mme Fillon en doute ?



Ami-Kuns Abonné
Le 25/01/2017 à 09h 56

C’est une élues?<img data-src=" />(En passant, je ne considère pas que les employés directes des élus font partis de l’administration (ceux ayant passés des concours)).


Le 25/01/2017 à 09h 59

C’était pas du tout l’idée.

Une connexion suspecte est identifiée, on ne peut pas la décrypter, du coup, on attaque les machines aux deux bouts.



Si tu déploies ton outil chez tout le monde, il sera découvert et éradiqué.


Le 25/01/2017 à 10h 04







Ricard a écrit :



Ca reviendrait à installer un troyen sur tous les PC (Windows, MacOs, Linux, BSD etc…)

Bon courage.





Avec le premier OS cité c’est déjà le cas, non ? <img data-src=" />



Le 25/01/2017 à 10h 44







picatrix a écrit :



Avec le premier OS cité c’est déjà le cas, non ? <img data-src=" />





<img data-src=" />



Le 25/01/2017 à 10h 44







ArchangeBlandin a écrit :



C’était pas du tout l’idée.

Une connexion suspecte est identifiée, on ne peut pas la décrypter, du coup, on attaque les machines aux deux bouts.



Si tu déploies ton outil chez tout le monde, il sera découvert et éradiqué.





Comment tu détectes une connexion suspecte ?



Le 25/01/2017 à 10h 46







Ami-Kuns a écrit :



C’est une élues?<img data-src=" />(En passant, je ne considère pas que les employés directes des élus font partis de l’administration (ceux ayant passés des concours)).





Mme Fillon a déjà assez de travail comme ça à la maison. (ménage, toussa…)<img data-src=" />



Le 25/01/2017 à 11h 57

Comment tu sais qui écouter ?

Je crois que c’est le principal du boulot des renseignements.


Le 25/01/2017 à 12h 14







ArchangeBlandin a écrit :



Comment tu sais qui écouter ?

Je crois que c’est le principal du boulot des renseignements.





Ben justement, on sait très bien comment ils s’y prennent. Ils pêchent au chalut.



Ami-Kuns Abonné
Le 25/01/2017 à 12h 35

Le chalut russe autour des porte-avions américains est assez courant.<img data-src=" />


Le 25/01/2017 à 12h 49







Ricard a écrit :



C’est juste impossible à mettre en place. Ni techniquement, ni politiquement.





De nos jours, les critères de faisabilité ont peu d’importance dans les processus décisionnels…



Le 25/01/2017 à 14h 56







ragoutoutou a écrit :



De nos jours, les critères de faisabilité ont peu d’importance dans les processus décisionnels…





Jusqu’à une certaine limite tout de même



PtiDidi Abonné
Le 25/01/2017 à 15h 21







Ricard a écrit :



lol





Mais encore? Les US l’ont fait par le passé il me semble et certains pays continuent à le faire..



&nbsp;





Ricard a écrit :



C’est juste impossible à mettre en place. Ni techniquement, ni politiquement.





Techniquement? Quest ce qui empêche techniquement les politiques de dire “le chiffrement est interdit pour les citoyens lambda?”

Politiquement? Bah.. C’est vrai qu’en ces temps de campagnes électorales ca serait pas super bien vu mais “c’est pour lutter contre les terroristes ma p’tite dame”



hellmut Abonné
Le 25/01/2017 à 17h 11

heu sisi c’est très clair: éviter de prendre des décisions qui ne seront appliquées qu’aux citoyens “honnètes” et que ne respecteront pas les cibles principales (évadés fiscaux, employeurs fictifs, politiciens corrompus, etc…)


Le 25/01/2017 à 18h 21







PtiDidi a écrit :



Mais encore? Les US l’ont fait par le passé il me semble et certains pays continuent à le faire..





C’est pour ça qu’ Apple s’est battu avec le FBI pour une histoire d’ iPhone chiffré très récemment.

Ca fait bien longtemps que le chiffrement est libre aux USA et que toutes les tentatives pour essayer de l’affaiblir ont échoué.





Techniquement? Quest ce qui empêche techniquement les politiques de dire “le chiffrement est interdit pour les citoyens lambda?”

Politiquement? Bah.. C’est vrai qu’en ces temps de campagnes électorales ca serait pas super bien vu mais “c’est pour lutter contre les terroristes ma p’tite dame”



Tu vas mettre un flic dans chaque foyer pour voir si ils n’échangent pas des trucs chiffrés ? Et le cas échéant, tu fais comment pour leur interdire ? Juste pour rappel, le téléchargement de fichiers protégés est interdit en France, il y a même un truc qui s’appelle Hadopi, tu connais ? Si tu te fais chopper, t’as quoi ? Un mail d’avertissement. Comment tu fais avec ta banque ? Si tu commandes en ligne ?

Et pour finir, juste pour rappel, le secret des communications qui est dans la charte des droits de l’homme ? Même ça ça n’est pas remis en cause avec l’état d’urgence dans les dérogations signées par le GVT.

D’ailleurs, les récents attentats ont montré que les terroristes ne chiffraient pas leurs communications, alors les services de renseignement auront bien d’autres choses à faire tu crois pas ?



Le 25/01/2017 à 18h 22







hellmut a écrit :



heu sisi c’est très clair: éviter de prendre des décisions qui ne seront appliquées qu’aux citoyens “honnètes” et que ne respecteront pas les cibles principales (évadés fiscaux, employeurs fictifs, politiciens corrompus, etc…)





<img data-src=" />&nbsp;Mais laissez François Fillon tranquille à la fin…



Le 25/01/2017 à 19h 07







PtiDidi a écrit :



Mais si tu interdis l’utilisation de chiffrement avec des tailles de clef supérieure à 512/1024bits, le simple fait d’utiliser un tel logiciel fera de toi un terroriste





heu… clés de chiffrements de supports ou clés de chiffrement type gpg ? Parce que si ce sont des clés gpg/pgp … ça fait un bail que par défaut c’est du 2048 bits voire 4096. Actuellement on peut même faire plus (l’option existe pour faire des clés de 8192).&nbsp;



Pour les partitions, par défaut c’est du 256 qui est proposé sur Debian GNU/Linux



Le 26/01/2017 à 07h 40

Tout est dans le “faire évoluer les techniques d’enquêtes”. Cela pourrait vouloir dire de doter les pouvoirs d’enquête (la Police) de moyens d’investiguer directement dans les PC des utilisateurs, pour y récupérer les données non chiffrées. Ainsi, les données qui transitent sur les moyens de communications, quels qu’ils soient, peuvent rester chiffrées.


je pense que cette annonce devrait vous amenez à réfléchir, beaucoup , je l’espère tout du moins …





D-Wave a donné quelques précisions techniques sur son 2000Q. Il fonctionne à une température de moins de 15 millikelvins (donc près du zéro absolu), pour permettre à la puce de réaliser son traitement quantique. Chaque système peut comprendre jusqu’à 2048 qubits et 5 600 raccords pour chaque qubit. Le 2000Q consomme 25 kW en énergie.

En savoir plus surhttp://www.silicon.fr/d-wave-livre-son-systeme-quantique-2000q-a-15-millions-de-…



Avec 2048 qBits … le chiffrement telle qu’on le connait , juste lol !


PtiDidi Abonné
Le 26/01/2017 à 09h 46

La longueur de la clef depend aussi du type de chiffrement.

Mais rien n’empèche nos politiques de dire “on limite à une longueur de X bits en RSA et Y bits en whatever parce que sinon nos services de renseignements ne pourront pas assurer la protection des Francais”


PtiDidi Abonné
Le 26/01/2017 à 10h 03

Par “Techniquement, quest ce qui empeche” je ne parlais pas des moyens à postériori pour vérifer que la loi est bien appliquée mais du fait que le projet de loi pourra être monté ou pas.



Des lois qui ne sont pas appliquées, il y en a des pages et des pages.

Contre le téléchargement illégal par exemple, mais c’est dans la loi, du coup qu’est ce qui les empêche d’en inscrire une sur le chiffrement?



Le secret des communications? Cest pas parce que la communication n’est pas chiffrée qu’elle est forcément lue/publique (carte postale sans enveloppe, les mails qui circulent généralement sur des canaux non chiffrés)


Le 26/01/2017 à 10h 36







PtiDidi a écrit :



Le secret des communications? Cest pas parce que la communication n’est pas chiffrée qu’elle est forcément lue/publique (carte postale sans enveloppe, les mails qui circulent généralement sur des canaux non chiffrés)





Ouais, on a vu ce que ça donnait avec la NSA où ou le FBI quand les agents passaient leur temps à espionner leurs petites copines ou mater les sexcams sur Skype. C’est techniquement et politiquement impossible.