L'ANSSI défend le chiffrement de bout-en-bout, sans portes dérobées

L’ANSSI défend le chiffrement de bout-en-bout, sans portes dérobées

Le chiffrement devient hype

Avatar de l'auteur

Guénaël Pépin

Publié dansInternet

03/08/2016
36
L'ANSSI défend le chiffrement de bout-en-bout, sans portes dérobées

Dans une missive adressée à plusieurs ministères, Guillaume Poupard, directeur général de l'ANSSI, affirme que le chiffrement est nécessaire à la protection des données. Pour l'agence, imposer des portes dérobées ne ferait qu'affaiblir leur sécurité, alors que des solutions d'accès aux contenus existent déjà.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) défend ouvertement le chiffrement. Dans une lettre datée du 24 mars, publiée hier par Libération, son directeur général Guillaume Poupard met en garde les ministères de la Défense, de l’Économie, de l'Intérieur et de la Justice contre la tentation d'imposer des backdoors (portes dérobées) dans les logiciels utilisant du chiffrement.

Éviter d'affaiblir la sécurité des particuliers et entreprises

Pour lui, la cryptographie est un « moyen indispensable » pour protéger les communications, dont les données personnelles des citoyens et les données sensibles des entreprises. Ce serait même la seule garantie de la sécurité de ces contenus, qu'il faut encourager, « voire règlementairement l'imposer dans les situations les plus critiques ». Il estime ainsi que la législation actuelle, qui impose par exemple de fournir les clés de chiffrement aux autorités si besoin, est proportionnée.

L'ANSSI affirme ainsi que vouloir à tout prix garantir l'accès aux données chiffrées, par exemple au moyen d'une backdoor, « aurait pour effet désastreux d'imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques ». Il serait d'ailleurs impossible de s'assurer que ces portes ne seront pas utilisées par des tiers. 

De même, une telle obligation s'appliquerait aux acteurs qui respectent la loi, alors que les criminels peuvent désormais créer leurs propres solutions de chiffrement, estime l'ANSSI. Il faudrait donc privilégier la coopération avec les acteurs du numérique, ou développer les techniques d'interception « et d'intrusion informatique » légales si nécessaire. L'agence, chargée de la sécurité des données de l'État, défend donc surtout les moyens à disposition pour garantir sa mission.

La défense du chiffrement, une position qui s'étend

Comme le rappelle à juste titre Libération, cette lettre suivait une série d'interventions de la DGSI et du procureur de la République François Molins, qui décrivaient le chiffrement comme un problème. Des parlementaires avaient également envisagé d'imposer ces backdoors. La situation a bien changé depuis, la loi Numérique, portée par Axelle Lemaire, affichant une position modérée sur le sujet.

Lors de la consultation publique sur cette fameuse loi Numérique – qui doit être définitivement adoptée fin septembre –des propositions avaient émergé pour imposer le chiffrement de bout-en-bout des communications, y compris des comptes email fournis par les fournisseurs d'accès. Las, Bercy n'a pas donné suite à ces requêtes, indiquant que les FAI se sont déjà engagés à chiffrer les échanges d'emails.

La loi confie tout de même à la CNIL la promotion des technologies à même de protéger la vie privée, chiffrement compris. La commission s'affiche d'ailleurs ouvertement en faveur du chiffrement de bout-en-bout, notamment dans son bilan 2015, présenté en avril. « L’introduction de portes dérobées ou de clés maîtres conduirait à affaiblir la sécurité des solutions techniques aujourd’hui déployées » affirmait-elle.

Au niveau européen, le contrôleur de la protection des données personnels a récemment demandé une modification de la législation actuelle, entre autres pour protéger le chiffrement de bout-en-bout. Selon Giovanni Buttarelli, il ne serait ainsi pas question d'introduire des portes dérobées, ni d'effectuer de rétro-ingénierie sur ces logiciels.

36
Avatar de l'auteur

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 17
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 35
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 16

Sommaire de l'article

Introduction

Éviter d'affaiblir la sécurité des particuliers et entreprises

La défense du chiffrement, une position qui s'étend

#Flock a sa propre vision de l’inclusion

Flock 17
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

35
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 16
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 18
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 4

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 52
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 10

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 39
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (36)


Northernlights Abonné
Il y a 7 ans

Qu’est ce qui est entendu par rétro ingénierie?
 
Si un chiffrage peut tomber via retro ingénierie, ca veut dire que la méthode est mauvaise.
 


Linuxation
Il y a 7 ans

La force de tout système de chiffrement se mesure à sa durée de résistance au déchiffrement. Aucun système n’est incassable, seul le temps qu’on mettra à y arriver variera, il pourra être raccourci par un ordinateur extrêmement puissant.
Tous émettre en chiffré,obligera celui ou ceux qui veulent en connaître le contenu en clair à adopter des moyens coûteux, mais accessibles à un état qui lui a les moyens financiers pour atteindre cet objectif.


Loufute
Il y a 7 ans

Un État ou toute autre macro-structure qui peut se le permettre.


svoboda
Il y a 7 ans

[]…procureur de la République Frédric Molins, qui décrivaient le chiffrement comme un problème[/i]
ce n’est pas le chiffrement qui est un problème, ce sont les criminels


svoboda
Il y a 7 ans

…procureur de la République Frédric Molins, qui décrivaient le chiffrement comme un problème
ce n’est pas le chiffrement qui est un problème, ce sont les criminels


Constance Abonné
Il y a 7 ans

“Il estime ainsi que la législation actuelle, qui impose par exemple de
fournir les clés de chiffrement aux autorités si besoin, est
proportionnée.”
Tout est dans le “si besoin”… et qui est ou sera habilité à le valider.


Jonathan Livingston Abonné
Il y a 7 ans


Certes, mais imposer des backdoors serait infiniment pire parce que ça imposerait des failles potentiellement exploitables par n’importe qui.


Constance Abonné
Il y a 7 ans

C’est sûr, en aucun cas je ne cautionnerais les backdoors.


pamputt Abonné
Il y a 7 ans

”“Il estime ainsi que la législation actuelle, qui impose par exemple de fournir les clés de chiffrement aux autorités si besoin, est proportionnée.” Si le chiffrement est effectué de bout en bout (et correctement) comme le dit le titre de l’article alors il est impossible de fournir la clé. Cependant le chiffrement de bout en bout n’est pas repris dans l’article, c’est bien la position de l’ANSSI ?


pamputt Abonné
Il y a 7 ans






Linuxation a écrit :

La force de tout système de chiffrement se mesure à sa durée de résistance au déchiffrement. Aucun système n’est incassable, seul le temps qu’on mettra à y arriver variera, il pourra être raccourci par un ordinateur extrêmement puissant.
Tous émettre en chiffré,obligera celui ou ceux qui veulent en connaître le contenu en clair à adopter des moyens coûteux, mais accessibles à un état qui lui a les moyens financiers pour atteindre cet objectif.


Euh, il me semble que Snowden a montré que si le chiffrement est suffisamment fort alors aucun super-ordinateur actuel (ceux d’il y a 5 ans certes) n’est capable de casser le chiffrement dans un temps raisonnable (moins de quelques années). Donc avec des clés de 4096-bits ou plus, le chiffrement doit pouvoir résister aux super-ordinateurs les plus puissants pour encore quelques années.



La Mangouste
Il y a 7 ans






Linuxation a écrit :

La force de tout système de chiffrement se mesure à sa durée de résistance au décryptage.


<img data-src=" />



 Il s'agit quand même du deuxième avis publique de "grandes" personnes en ce sens en quelques jours, ce qui plutôt bon signe. Il ne reste plus qu'à mettre en place ce chiffrement de bout en bout partout, parce que c'est loin d'être le cas pour le moment.


Zerdligham Abonné
Il y a 7 ans

C’est à l’utilisateur qu’on demande la clé.
Par exemple, si tu es soupçonné de quelque chose et que la police a besoin d’accéder à ton gmail, ils ne vont pas demander la clé à google, mais exiger que tu la donnes (avec peut-être contrôle du juge, je ne sais pas).
Si tu refuses, tu es condamnable indépendamment de ta culpabilité sur le fond de l’affaire.

Je ne sais pas ce que l’ANSSI pense de la plausible denyability, qui casse un peu le truc…


127.0.0.1
Il y a 7 ans






svoboda a écrit :

ce n’est pas le chiffrement qui est un problème, ce sont les criminels



Certes, le problème n’est pas la technologie elle-même. Mais c’est tout de même l’usage qui est fait de cette technologie. Déplacer le problème sur les criminels, c’est acter qu’on s’occupera des gens seulement après qu’ils aient commis un crime (car avant ils ne sont pas des “criminels”).

Auquel cas:




  • soit on crée un crime/délit d’utilisation du chiffrement (c’était le cas il n’y a pas si longtemps).

  • soit on autorise le chiffrement à condition qu’il ne soit pas utilisé dans le but de perpétrer un crime, et il faut un moyen pour les autorités de déchiffrer les messages.

  • soit on autorise le chiffrement inconditionnel et on accepte que les autorités ne pourront pas prévenir l’échange de messages visant à perpétrer un crime.

    Il faut forcément une balance entre “liberté individuelle” et “sécurité publique”. En France, on tolère un contrôle strict de la vente d’armes au nom de la sécurité publique. Aux US on ne le tolère pas au nom de la liberté individuelle. Je ne pense pas qu’on puisse universellement décréter ce qui est bien ou mal.



Gnppn Abonné
Il y a 7 ans

L’ANSSI défend toutes les techniques de chiffrement, en intégrant en l’occurrence le bout-en-bout. Quand il parle de l’obligation de données les clés, il précise effectivement que la technique s’applique quand lesdites clés sont disponibles.


Mimoza Abonné
Il y a 7 ans






pamputt a écrit :

Euh, il me semble que Snowden a montré que si le chiffrement est suffisamment fort alors aucun super-ordinateur actuel (ceux d’il y a 5 ans certes) n’est capable de casser le chiffrement dans un temps raisonnable (moins de quelques années). Donc avec des clés de 4096-bits ou plus, le chiffrement doit pouvoir résister aux super-ordinateurs les plus puissants pour encore quelques années.


L’algo peut être invulnérable, si l’implémentation est bancale tout se casse la geule. La sécurité est une chaine, sa résistance est déterminé par son maillon le plus faible.



fred42 Abonné
Il y a 7 ans

Non. Si c’est l’utilisateur qui a la clé, on ne peut pas l’obliger à donner la clé en vertu du droit à ne pas s’auto-incriminer. C’est le même principe que le droit de garder le silence. Pourtant un policier te dira le contraire pour essayer d’obtenir la clé.

Par contre, si un tiers est dépositaire de la clé, lui devra la fournir. C’est ce cas là qui est prévu dans la loi.
Et dès que tu fais du TLS avec un site WEB ou un serveur mail, c’est lui qui connaît la clé privée.


Zerdligham Abonné
Il y a 7 ans

Tu es sûr que ça existe en France, ce droit à ne pas s’incriminer?

Code pénal, Article 434-15-2
Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.

(donc effectivement, on peut aller demander à google la clé, mais s’ils ont fait en sorte de ne pas la connaitre, ou si dans ton exemple le serveur efface soigneusement les clés privées au fur et à mesure, on ne peut rien leur reprocher)


WereWindle
Il y a 7 ans

le “quiconque” de l’article que tu cites est implicitement “quiconque sauf la personne elle-même” (art 6§1 de la Convention Européenne des Droits de l’Homme)


shugninx
Il y a 7 ans

Lors de la consultation publique sur cette fameuse&nbsp;loi Numérique –&nbsp;qui doit être définitivement adoptée fin septembre –des propositions&nbsp;avaient émergé&nbsp;pour imposer le chiffrement de bout-en-bout des communications, y compris des&nbsp;comptes email fournis par les fournisseurs d’accès. Las, Bercy n’a pas donné suite à ces requêtes, indiquant que les&nbsp;FAI&nbsp;se sont déjà engagés à chiffrer les échanges d’emails.&nbsp;&nbsp;
Ah ? Les e-mails seront prochainement chiffrés de bout en bout chez les FAI ?


Gnppn Abonné
Il y a 7 ans

Ils sécurisent les échanges, soit TLS en envoi et réception donc :)


Ricard
Il y a 7 ans


Northernlights a écrit :
&nbsp;
Si un chiffrage peut tomber via retro ingénierie, ca veut dire que la méthode est mauvaise.
&nbsp;

Allez, le retour du chiffrage digital… <img data-src=" />


Ricard
Il y a 7 ans






Linuxation a écrit :

La force de tout système de chiffrement se mesure à sa durée de résistance au déchiffrement. Aucun système n’est incassable, seul le temps qu’on mettra à y arriver variera, il pourra être raccourci par un ordinateur extrêmement puissant.


Faux. Le masque jetable est incassable.<img data-src=" />



Ricard
Il y a 7 ans






svoboda a écrit :

[]…procureur de la République Frédric Molins, qui décrivaient le chiffrement comme un problème[/i]
ce n’est pas le chiffrement qui est un problème, ce sont les criminels


C’est l’ignorance de Frédéric Molins le problème. Depuis qu’il passe à la TV, il se prend pour une star, il a la tête qui gonfle.



Zerdligham Abonné
Il y a 7 ans

J’apprends des choses, merci (je suis persuadé que j’avais lu quelque part le fait que ce droit à ne pas s’incriminer faisait partie des différences de procédure entre la France et les US).
Cela dit, avec l’état d’urgence, les droits de l’homme s’appliquent ils toujours ? <img data-src=" />


Ricard
Il y a 7 ans






Zerdligham a écrit :

Tu es sûr que ça existe en France, ce droit à ne pas s’incriminer?


ARTICLE 6 DE LA CEDH <img data-src=" />
&nbsphttp://www.fbls.net/6-1proincrimi.htm

&nbsp;



Ricard
Il y a 7 ans






Zerdligham a écrit :

J’apprends des choses, merci (je suis persuadé que j’avais lu quelque part le fait que ce droit à ne pas s’incriminer faisait partie des différences de procédure entre la France et les US).
Cela dit, avec l’état d’urgence, les droits de l’homme s’appliquent ils toujours ? <img data-src=" />


Seulement en cas de terrorisme, mais ça, les flics ne vont pas te le dire, d’où l’intérêt de toujours garder le silence en attendant ton avocat, de lui demander conseil, et de ne jamais donner tes mdp.<img data-src=" />



matroska
Il y a 7 ans

Je pense et ce n’est que mon avis mais avec les supercalculateurs et le quantique, “ils” savent déjà casser à peu près tous les mécanismes de chiffrement. Au moins jusqu’au 2048. Plus loin je ne sais pas.

<img data-src=" />


Kardahs
Il y a 7 ans

Au fait pour les commentateurs (et pour l’auteur de l’article), il me semble que le procureur de la république de Paris c’est François Molins et pas Frédéric ^^


Gnppn Abonné
Il y a 7 ans

Effectivement, merci pour la remontée.&nbsp;<img data-src=" />&nbsp;Pour ce genre de cas, le bouton “Signaler une erreur” en haut de page est plus efficace pour qu’on puisse le voir. :)


WereWindle
Il y a 7 ans

effectivement ce droit est inscrit dans la constitution US (5ème amendement je crois) alors que chez nous il découle de la jurisprudence (du fait, comme déjà dit plus haut, de l’article 6 de la CEDH qui garantit un procès équitable… procès équitable dont Valls a prévenu ladite CEDH qu’il pourrait être amoindri pendant l’état d’urgence…)


Ricard
Il y a 7 ans






Kardahs a écrit :

Au fait pour les commentateurs (et pour l’auteur de l’article), il me semble que le procureur de la république de Paris c’est François Molins et pas Frédéric ^^


<img data-src=" />&nbsp;Exact. My bad.



Ricard
Il y a 7 ans






WereWindle a écrit :

procès équitable dont Valls a prévenu ladite CEDH qu’il pourrait être amoindri pendant l’état d’urgence…)


Le droit à un procès équitable est un droit constitutionnel, donc personne ne peut y déroger. Surtout pas la petite crotte. <img data-src=" />



uzak
Il y a 7 ans






Ricard a écrit :

Faux. Le masque jetable est incassable.<img data-src=" />


Encore faut-il que personne n’ait vu ce masque



Ricard
Il y a 7 ans






uzak a écrit :

Encore faut-il que personne n’ait vu ce masque


Quelle remarque étrange…



fred42 Abonné
Il y a 7 ans

En effet, c’est ce qui est derrière le masque qui n’est pas vu. <img data-src=" />