Connexion
Abonnez-vous

L’EFF, des journalistes et des réalisateurs demandent une meilleure sécurité des données

Chiffrement et suppression des données

L'EFF, des journalistes et des réalisateurs demandent une meilleure sécurité des données

Le 22 décembre 2016 à 10h30

Dans une publicité, l'EFF appelle la Silicon Valley à prendre les mesures nécessaires pour combattre la surveillance de masse. L'association lui promet son soutien. En parallèle, 150 photojournalistes et réalisateurs demandent aux fabricants de caméras de chiffrer les images dès leur captation.

Nouvel épisode dans la préparation de la Silicon Valley à l'arrivée de Donald Trump à la tête des États-Unis. Après une rencontre entre les patrons des principaux groupes technologiques et le futur président, l'Electronic Frontier Foundation (EFF) demande à la communauté technologique de revoir la protection des données des utilisateurs. Dans une publicité diffusée dans Wired, la fondation affirme aux entreprises que « votre modèle de menace vient de changer », et qu'il faut donc agir.

Des actions concrètes pour lutter contre la surveillance

Concrètement, elle demande à ces sociétés d'utiliser le chiffrement des communications et de bout-en-bout pour toutes les activités des utilisateurs, par défaut. Elles doivent aussi supprimer leurs historiques : « Vous ne pouvez pas être forcés à fournir des données que vous n'avez pas », selon la fondation. Elles devraient aussi révéler les demandes de surveillance ou de censure, et résister à ces demandes devant le Congrès américain « et ailleurs ».

Ces mesures, censées lutter contre les promesses de fichage et de déportation formulées par Donald Trump, ne seront pas sans contrepartie de la part de la fondation. Habituée aux batailles juridiques, elle déclare qu'elle combattra aux côtés des acteurs du numérique dans ce combat. « En tant qu'organisation à but non-lucratif, non-partisane, nous combinons le combat légal, l'activisme et le développement logiciel pour défendre les libertés civiles dans le monde numérique. »

Au-delà de l'arrivée de Trump, l'EFF surfe sur la prise de conscience affichée des groupes numériques sur la surveillance. Dernièrement, Google a publié huit lettres de sécurité nationale reçues du FBI, qui demandaient des données précises sur des utilisateurs de ses services. Le geste, avant tout symbolique, doit encourager le secteur à multiplier ce genre de manœuvres, pour plus de transparence.

Les caméras, maillon faible du chiffrement

La semaine dernière, un collectif de 150 photojournalistes et réalisateurs a demandé aux fabricants d'appareils photo et de caméras de chiffrer les enregistrements dès la captation, via la Freedom of Press Foundation. « La réalité malheureuse est que les photojournalistes sont régulièrement ciblés et menacés quand ils tentent d'apporter leur témoignage, mais il y a peu de choses qu'ils puissent faire pour protéger leurs équipements et photos ».

Pour la fondation, les fabricants de matériel photo sont en retard quand il s'agit de protéger les enregistrements, citant l'exemple des smartphones qui chiffrent par défaut le stockage, et des systèmes pour PC qui le permettent. « Pourtant, les images sur les caméras professionnelles les plus utilisées aujourd'hui sont toujours dangereusement vulnérables » déclare-t-elle. Si la lettre elle-même s'adresse à Canon, tous les acteurs du domaine sont invités à discuter avec les signataires.

Pour illustrer le problème, Wired prend l'exemple de Laura Poitras, qui a réalisé le documentaire Citizenfour sur Edward Snowden. Elle affirme avoir constamment craint pour les images dans sa caméra, le seul endroit où ses données n'étaient pas chiffrées. Lui enlever sa caméra avant qu'elle n'ait pu transférer ses données en sécurité aurait pu exposer Snowden à de graves problèmes, estime-t-elle, alors que le tournage a eu lieu avant la publication des documents de la NSA.

Interrogés par le magazine, plusieurs fabricants de matériel photo disent se plonger dans le sujet, pour apporter une réponse sans délai précis. Le chemin sera donc encore long.

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

 On appréciera (ou pas) l’ironie de demander de combattre la surveillance de masse à des entreprises qui y participent et dont c’est même le business model….

votre avatar







loser a écrit :



On appréciera (ou pas) l’ironie de demander de combattre la surveillance de masse à des entreprises qui y participent et dont c’est même le business model….





Même s’il serait bon de ne pas généraliser, j’avoue y avoir également pensé <img data-src=" /> (“Oui mais à ce moment, s’ils veulent continuer à picorer dans les données perso, ça implique qu’ils ont la clé - ou une master key - et donc ça servirait à rien…” )


votre avatar

&nbsp;Oui c’est assez croustillant. Cela étant, si il n’y avait pas la loi pour les forcer à collaborer avec les autorités, elles n’auraient aucun intérêt à le faire. Pourquoi aux US Google et MS se battent pour ne pas donner les infos?

&nbsp;

Parce que savoir que ton GAFA est un délateur potentiel, ce n’est pas vendeur.

&nbsp;

En France , Free tente de résister mais ca ressemble à de la com. Orange doit surement faire du zèle par contre <img data-src=" />&nbsp;

votre avatar







loser a écrit :



&nbsp;On appréciera (ou pas) l’ironie de demander de combattre la surveillance de masse à des entreprises qui y participent et dont c’est même le business model….







Dans le cas présent, cela concerne surtout les fabricants d’appareil photo, dont le métier n’est pas d’assurer un cryptage des données.



Il est clair que ça risque de leur prendre un peu de temps avant de fournir des solutions fiables sur leurs appareils, même si je pense qu’il doit déjà exister des solutions plus ou moins alternatives.



votre avatar







loser a écrit :



On appréciera (ou pas) l’ironie de demander de combattre la surveillance de masse à des entreprises qui y participent et dont c’est même le business model….





Justement, s’il y a bien des gens qui seront les plus enclins et qui disposent de moyens conséquents, ce sont bien ces entreprises.



Parce que des données trop accessibles, c’est la porte ouverte à la fuite des utilisateurs si une offre concurrente équivalente dispose d’une meilleure sécurité.


votre avatar

Et la clé de chiffrement, elle viendrait d’où ?

votre avatar







js2082 a écrit :



Dans le cas présent, cela concerne surtout les fabricants d’appareil photo, dont le métier n’est pas d’assurer un cryptage des données.



Il est clair que ça risque de leur prendre un peu de temps avant de fournir des solutions fiables sur leurs appareils, même si je pense qu’il doit déjà exister des solutions plus ou moins alternatives.





C est en effet un pt auquel je n avais jamais pensé: exiger que son boitier chiffre les données avant de les enregistrer sur carte.

Je vois 2 solutions techniques:




  1. chiffrage par le boitier/l APN:&nbsp;Les chips des boitiers sont devenus tellement puissant, y ajouter le support des extensions AES-NI ne devrait pas être trop compliqué j imagine.

  2. chiffrage par la carte SD: cartes plus cheres et moins compatibles.&nbsp;

    Ds les 2 cas, l experience utilisateur risque de fléchir si il faut qu il entre un mdp pour chq carte SD insérée…



    Pas sur que tout cela intéresse la majorité des utilisateurs. Il serait ptet préférable d avoir des extensions aux normes pour le permettre en option mais sans l obliger.&nbsp;


votre avatar

Ça me paraît impensable pour des boîtes commerciales de ne pas garder un historique de l’activité de ses clients. C’est indispensable pour ces boîtes pour faire progresser leur business et ça ça m’étonnerait qu’ils y renoncent.

votre avatar

Le chiffrement c’est maintenant !



🤖

votre avatar







vampire7 a écrit :



Et la clé de chiffrement, elle viendrait d’où ?





Ben, de l’utilisateur, comme d’habitude.


votre avatar







ActionFighter a écrit :



Justement, s’il y a bien des gens qui seront les plus enclins et qui disposent de moyens conséquents, ce sont bien ces entreprises.



Parce que des données trop accessibles, c’est la porte ouverte à la fuite des utilisateurs si une offre concurrente équivalente dispose d’une meilleure sécurité.





Pis on peut toujours demander, ça mange pas de pain. (et c’est bientôt Noël)


votre avatar

Et comment ? Le journaliste qui doit prendre une photo là tout-de-suite, tu crois qu’il va prendre le temps de rentrer son mot de passe à 20 caractères ?

votre avatar







vampire7 a écrit :



Et comment ? Le journaliste qui doit prendre une photo là tout-de-suite, tu crois qu’il va prendre le temps de rentrer son mot de passe à 20 caractères ?





Il le rentre à l’allumage. Comme tu le fais à l’ouverture de session de ton ordi/smartphone.


votre avatar

Un mode veille avec option “pas de mot de passe en sortie de veille”.

Un bouton d’arrêt/verrouillage facilement accessible pour bloquer l’accès aux données.

votre avatar

Donc totalement inutile en cas de vol.

Si le smartphone est prêt à être utilisé, alors il n’y a pas de mot de passe à rentrer, et toutes les données sont donc accessibles.

S’il y a un mot de passe à rentrer, ça rend le smartphone inexploitable pour une utilisation rapide.

votre avatar

Avec les écrans tactiles de plus en plus présents on peut imaginer un pattern à la Android.

Pas besoin de code pour prendre les photos ni voir la dernière photo qu’on vient juste de prendre (elle reste en clair en mémoire quelques secondes).

Ensuite pour afficher des photos :

sur l’appareil, saisie du pattern ou code ou mot de passe, comme pour déverrouiller un smartphone. On peut imaginer un timeout configurable.

Sur ordi, on transfère les fichiers chiffrés et on a un petit utilitaire fourni par le constructeur pour saisir le schéma /code/pass et les déchiffrer si on veut (avant import dans lightroom ou autre soft de traitement par exemple). Une fois sur l’ordi, l’endroit où on vide la carte est de toute façon chiffré (truecrypt, filevault,…)

Le tout bien sûr librement désactivable pour pas déranger tonton Jojo qui vient de s’offrir un 5D mark V

Ça ne semble pas délirant je trouve.

votre avatar

Sur la majorité des smartphones tu peux prendre des photos sans le déverrouiller, c’est juste voir les photos qui nécessite le déverrouillage, et c’est nickel !

votre avatar







vampire7 a écrit :



Donc totalement inutile en cas de vol.

Si le smartphone est prêt à être utilisé, alors il n’y a pas de mot de passe à rentrer, et toutes les données sont donc accessibles.

S’il y a un mot de passe à rentrer, ça rend le smartphone inexploitable pour une utilisation rapide.





Si on te le vole et que tu n’as pas de code, comment tu fais ?


votre avatar

Le chiffrement des données vise à protéger d’un accès à froid (la nsa récupéré la carte sd ou la mémoire interne de l’appareil et essaie de lire le contenu)

La protection contre les accès à chaud via l’appareil lui même passe par le verrouillage de celui-ci et la sécurisation du logiciel. En principe, celui-ci ne te laisse pas accéder aux données si tu ne lui donne pas le bon code pin, schéma ou empreinte digitale.

C’est ce qui permet à la plupart des smart phone de fonctionner par ‘session’: tu peux prendre des photos sans déverrouiller, consulter les photos que tu as prises depuis la dernière mise en veille, mais pas les plus anciennes, qui exigeront que tu déverrouille le smart phone. Aucune raison qu’on ne puisse pas faire pareil avec un appareil photo



Après, si on veut limiter le risque que la sécurité logicielle soit prise en défaut, on peut toujours imaginer un système base sur du chiffrement asymétrique: après tout, l’appareil photo n’est pas obligé de connaître la clé de déchiffrement. Par contre, ça veut dire qu’on ne peut plus consulter les photos qu’on a prises avant de les avoir déchargées.

L’EFF, des journalistes et des réalisateurs demandent une meilleure sécurité des données

  • Des actions concrètes pour lutter contre la surveillance

  • Les caméras, maillon faible du chiffrement

Fermer