Connexion
Abonnez-vous

Le FBI se heurte également à WhatsApp sur le chiffrement des données

Une affaire à la fois

Le FBI se heurte également à WhatsApp sur le chiffrement des données

Le 16 mars 2016 à 14h30

L’actuel combat du FBI contre Apple n’est pas le seul concernant le chiffrement. Selon le New York Times, l’agence fédérale est ennuyée par le chiffrement présent dans WhatsApp et pourrait chercher, là encore, à contourner ces difficultés.

WhatsApp a mis l’accent sur le chiffrement des communications à partir de fin 2014. Dans un premier temps, les échanges entre versions Android de l’application de messagerie ont commencé à être chiffrés de bout en bout. Un changement important pour la sécurité puisque les messages sont alors chiffrés sur l’appareil puis relayés aux destinataires, le serveur n’assurant qu’un rôle de relai. Cette fonctionnalité a été ensuite répercutée sur la version iOS durant l’été dernier.

Des écoutes rendues complexes par le chiffrement

Le chiffrement de bout en bout représente un problème de taille pour les forces de l’ordre. Dans le cas où les données sont stockées sur des serveurs, les éditeurs ne sont pas en mesure de pouvoir les lire, puisqu’ils ne possèdent pas la clé. Selon un article du New York Times, c’est précisément ce qui ennuie le FBI actuellement.

Le journal cite des sources qui ont tenu à rester anonymes. Des procureurs auraient ainsi approché WhatsApp la semaine dernière pour aborder le sujet des messages chiffrés. Au cœur du problème, une écoute autorisée par un juge sur des communications, ainsi que le blocage d’un tel mécanisme à cause des protections mises en place. Le New York Times indique que le dossier est scellé mais que l’enquête ne concerne a priori pas le terrorisme.

Ars Technica, qui s’est fait l’écho du New York Times, indique pour sa part avoir demandé un complément d’information au département de la Justice, ainsi qu’à Facebook, propriétaire de WhatsApp. L’un comme l’autre ont refusé de répondre.

Même combat, mais autre partenaire

La question qui se pose bien sûr est de savoir si le FBI va tenter la même approche qu’avec Apple. L’agence s’est servie de la loi All Writs Act pour demander de l’aide à un tiers, qu’il s’agisse d’une personne physique ou morale. Cependant, ce texte ne peut pas être appliqué quand les actions demandées représentent une charge excessive pour ledit tiers. Dans le cas d’Apple, les avocats tentent donc actuellement de prouver que tel serait le cas, percer ses propres défenses revenant à briser la confiance des utilisateurs.

Dans le cas de WhatsApp, l’éditeur pourrait présenter les mêmes arguments. La position de Facebook ne fait aucun doute en la matière, l’entreprise ayant déjà appuyé la position d’Apple en se joignant à d’autres pour rédiger un amicus curiae au tribunal de Riverside, un document expliquant l’avis de son auteur sur l’affaire en cours.

Dans l'attente d'une jurisprudence ?

Le FBI préfère en outre sûrement jeter toutes ses forces dans le combat contre Apple, puisqu’une victoire aurait une forte influence sur les affaires du même acabit, de l’aveu même de son directeur, James Comey. C’est d’ailleurs l’avis de Peter Eckersley, l’un des responsables de l’Electronic Frontier Foundation : « Ils [le FBI, ndlr] attendent que l’affaire fasse paraître la demande comme raisonnable ».

Commentaires (58)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Toute la Silicon Valley va y passer (les plus grands noms). Et Microsoft, Amazon seront épargnées par le FBI.

votre avatar

Lol. Très bien, et il vont tous les faire du coup ? <img data-src=" />



“AU SUIVANT, PAR ICI SVP ==&gt; “&nbsp;<img data-src=" />

votre avatar

il FAUT que “Apple” tienne bon !!!

si……jamais “la digue Apple” lâche ….on sera TOUS foutu !!!<img data-src=" />

votre avatar

Pitoyable! <img data-src=" /> Tout le monde a le droit à la sécurité de la communication. Et pas seulement ces politiciens véreux <img data-src=" />

Le FBI n’a toujours pas compris que s’il y a une vulnérabilité, ce sera tout le monde qui sera concerné car ça fuite toujours à un moment?

votre avatar

Que se passe-t-il si le service est a l’etrengé ? Par exemple telegram et ses conversations privées.

votre avatar

Pourtant là c’est relativement simple. Comme les écoutes classiques -&gt; il n’y a pas d’historique.

Il suffirait de débrayer le chiffrement temporairement pour le compte visé par la procédure d’écoute.

votre avatar

Ils seront pas “épargnés” mais puisqu’ils fournissent déjà ce que le FBI reclame… spa compliqué…

votre avatar







ledufakademy a écrit :



Bon sinon, il l’a bouffé sa chaussure l’autre grande gueule de mc Afee ?





Ouais je me demandais aussi, j’ai pas eu de nouvelles non plus ^^


votre avatar

Une mise en scène pour éviter que l’on revienne là dessus plus tard ?

“Bah on avait le droit…”



Je suis mitigé entre la barrière technique, et ça…Quand on sait ce qu’ils en ont à faire du droit&nbsp;<img data-src=" />

votre avatar

Je pensais surtout au fait que la campagne du candidat républicain à la présidence des Etats-unis a de fortes chances d’être financée, entre autres entreprises, par Microsoft et Amazon (alors que Apple et Google supportent plutôt le (la) candidat(e) démocrate).



Et ça ne date pas d’hier, Barack Obama en son temps, avait potentiellement été financé par Google… et aussi par Microsoft&nbsp;https://www.slate.fr/monde/61173/obama-finance-microsoft-google-romney-wall-stre… ).




exemple :&nbsp;http://geeko.lesoir.be/2016/03/09/apple-facebook-google-et-tesla-sont-decides-a-...
votre avatar

La question se pose, mais en pratique personne aux US n’utilise de service étranger.



Mais c’est ce qui va finir par se passer, une messagerie à l’étranger qui sera aussi bonne et qui fera attention au respect de la définition de chiffrement :)

votre avatar







Silly_INpact a écrit :



Pitoyable! <img data-src=" /> Tout le monde a le droit à la sécurité de la communication. Et pas seulement ces politiciens véreux <img data-src=" />

Le FBI n’a toujours pas compris que s’il y a une vulnérabilité, ce sera tout le monde qui sera concerné car ça fuite toujours à un moment?



Le FBI s’en branle. Ils veulent leur jouet, c’est tout…


votre avatar

&gt; Le FBI n’a toujours pas compris que s’il y a une vulnérabilité, ce sera tout le monde qui sera concerné car ça fuite toujours à un moment?



Ils ont parfaitement compris, ils sont pas cons non plus…

C’est juste qu’ils n’en ont absolument rien à foutre.

votre avatar







KP2 a écrit :



&gt; Le FBI n’a toujours pas compris que s’il y a une vulnérabilité, ce sera tout le monde qui sera concerné car ça fuite toujours à un moment?



Ils ont parfaitement compris, ils sont pas cons non plus…

C’est juste qu’ils n’en ont absolument rien à foutre.



Justement avec cette histoire, on peut se poser la question <img data-src=" />


votre avatar

Le FBI et plus généralement les enquêteurs sont coincés dans leur affaires, ont probablement essayé toutes les alternatives possible et sont exaspérés que juste “débloquez nous ce tel pour qu’on avance quoi” implique de la philo et de l’idéologie.



T’est juste à ça de pouvoir avancer dans ton enquête, mais non, faire un exception, c’est ouvrir le débat sur la sécurité et la confidentialité de Mr tout le monde. Ils peuvent même pas le faire débloquer par un hacker, ça serait pas recevable en justice.



(Bon ceci dis, j’ai pas tellement envie que ma confidentialité soient ouverte de cette façon non plus hein.)

votre avatar

C’est Whatsapp, suffit d’attendre la prochaine faille <img data-src=" />

votre avatar

Le FBI nous prend pour des billes : dans le cas de whatsapp ils ne sont pas limités par le nombre de tentatives pour casser une clé.

Donc ils ne veulent pas faire le boulot, c’est tout.



Ah on est bien protégé avec une telle police de feignasses.

&nbsp;

Les terroristes quand ils bossent, eux au moins ils y mettent leurs tripes, ils les mettent même partout autour.

votre avatar

Whatsapp c’est pas du chiffrement end to end, ils ont accès au contenu des messages.

votre avatar

CryoGen a écrit :

Pourtant là c’est relativement simple. Comme les écoutes classiques -&gt; il n’y a pas d’historique.

Il suffirait de débrayer le chiffrement temporairement pour le compte visé par la procédure d’écoute.



Si c’est du chiffrement bout-en-bout, débrayer le chiffrement pour un compte donné va être difficile sans implémenter un vrai backdoor sur le client… un peu comme faire de l’interception sur des courriels entre deux personnes utilisant GnuPG…

votre avatar

Comme ça doit faire ch… tous les AntiApple de devoir les soutenir ….



mdr

votre avatar

C’est bien beau de s’attaquer aux grands fournisseurs de messageries, mais qu’est-ce qui empêchera des organisation malhonnêtes d’utiliser des outils plus “confidentiels” et tout aussi sécurisés?

&nbsp;Si je devais échanger des messages “sensibles”, ça ne serait pas via ce genre d’applications, mais avec des conteneurs chiffrés.

&nbsp;







Brouck a écrit :



Whatsapp c’est pas du chiffrement end to end, ils ont accès au contenu des messages.





Source?



&nbsp;


votre avatar







Charly32 a écrit :



C’est bien beau de s’attaquer aux grands fournisseurs de messageries, mais qu’est-ce qui empêchera des organisation malhonnêtes d’utiliser des outils plus “confidentiels” et tout aussi sécurisés?







Absolument rien.

C’est tout la malhonnêteté de la démarche du FBI…



Quand Daech ou n’importe quel empire mafieux aura développé ses propres outils de communication chiffrée, le FBI ira se plaindre auprès de qui pour obtenir les clés ??



Ce sont vraiment des enfoirés.


votre avatar







ragoutoutou a écrit :



CryoGen a écrit :

Si c’est du chiffrement bout-en-bout, débrayer le chiffrement pour un compte donné va être difficile sans implémenter un vrai backdoor sur le client… un peu comme faire de l’interception sur des courriels entre deux personnes utilisant GnuPG…





Pas besoin d’une backdoor. L’utilisateur de Whatsapp s’authentifie sur les serveurs pour pouvoir communiquer, il suffirait alors que dans le protocole soit implémenté la désactivation de fonctionnalités, comme le chiffrement. Seul WhatsApp pourrait le faire, sur injonction d’un juge.


votre avatar







CryoGen a écrit :



Pourtant là c’est relativement simple. Comme les écoutes classiques -&gt; il n’y a pas d’historique.

Il suffirait de débrayer le chiffrement temporairement pour le compte visé par la procédure d’écoute.





tout a fait, encore faut juste il que cet option soit prévue dans le soft, par la loi on peut les y obliger


votre avatar

Et c’est ce qui finira par arriver, aux US puis ca fera tache d’huile chez nous.

Apres tu ne peux pas obliger une boite étrangere ( hors US ) à faire ca, soit ! &nbsp;l’appli sera interdite d’utilisation sur le territoire, le simple fait de l’avoir sur un appareil te rendra suspect &nbsp;&nbsp;

votre avatar







KP2 a écrit :



Quand Daech ou n’importe quel empire mafieux aura développé ses propres outils de communication chiffrée, le FBI ira se plaindre auprès de qui pour obtenir les clés ??







Apparemment ce serait déjà le cas :

http://www.ibtimes.co.uk/alrawi-isis-builds-secure-android-messaging-app-replace…


votre avatar

Qui te dit qu’ils ne l’ont pas déjà et attendent juste un prétexte pour “officialiser” les contenus ?

&nbsp;

Et puis, moi j’ai absolument pas confiance en Facebook, s’il font bien une chose c’est ce foutre de leurs pigeon utilisateurs. Rien à foutre de la “confidentialité”…Les dessous tables existent…&nbsp;

votre avatar

Je sais pas ce que l’information vaut mais il est bien possible qu’ils utilisent déjà des outils perso depuis un moment :http://fortune.com/2016/01/13/isis-has-its-own-secure-messaging-app/

votre avatar

Quand est ce qu’il vont demandé a Telegram de leur fournir les sources de la partie non open et/ou une backdor ? qu’on rigoles 5 min.



&nbsp;

votre avatar

Là où on va rigoler c’est quand le grand public ira télécharger des apps initialement développées par et pour des terroristes afin de s’assurer du respect de leur propre vie privée :)



“Ah c’est cool ton app, on la trouve où ?”

“Heu sur da-e-sh.com”

“…”

votre avatar

C’est beau ce que tu dis, à croire que les services de sécurité ont des moyens infinis et des ressources en effectif infinies également..

votre avatar

toute facon la technologie ne remplacera pas le travail de terrain, enquêtes / filatures / renseignements / infiltrations …

croire qu’on peux déjouer les criminels tranquillou au bureau comme à l ‘époque de THE WIRE , c’est fini ca.

votre avatar

je ne veux pas être dans la théorie du complot mais ….. je ne peux m’empêcher d’imaginer qu’il est possible (pas forcement crédible ) qu’il s’agit de mise en scène , (n’a ton pas dis que lors des affaires avec la NSA Il avaient ‘ordres de tout nier’ )

votre avatar







CryoGen a écrit :



Pas besoin d’une backdoor. L’utilisateur de Whatsapp s’authentifie sur

les serveurs pour pouvoir communiquer, il suffirait alors que dans le

protocole soit implémenté la désactivation de fonctionnalités, comme le

chiffrement. Seul WhatsApp pourrait le faire, sur injonction d’un juge.





Si une telle option existe dans un soft, ça veut dire que la sécurité est en carton mâché périmé. <img data-src=" />


votre avatar

mais ca voudrait dire que les backdoors existent deja , donc pourquoi tout ce cinema ?&nbsp;

( la NSA qui cracke des clés de 256 bits j’y crois pas , perso )

votre avatar







3rr0r404 a écrit :



Je sais pas ce que l’information vaut mais il est bien possible qu’ils utilisent déjà des outils perso depuis un moment :http://fortune.com/2016/01/13/isis-has-its-own-secure-messaging-app/









BancoLasticot a écrit :



Apparemment ce serait déjà le cas :

http://www.ibtimes.co.uk/alrawi-isis-builds-secure-android-messaging-app-replace…







Je sais qu’ils ont deja des trucs mais je sais pas si c’est reellement utilisé massivement et si c’est vraiment secure …

Neanmoins, les mecs bossent dessus donc meme si c’est encore jeune, ca va forcement s’ameliorer…


votre avatar







psn00ps a écrit :



Si une telle option existe dans un soft, ça veut dire que la sécurité est en carton mâché périmé. <img data-src=" />





Qu’est ce que tu veux que je réponde à çà ? Tu n’as pas un argument à avancer ?



Non parce que déjà que tout le monde mélange confidentialité, vie privée et sécurité… c’est pas toujours simple de s’y retrouver…



Pour moi, le chiffrement des conversations c’est de la confidentialité, pas de la sécurité. Or si la justice estime qu’une personne doit être mise sur écoute, c’est rarement (je l’espère) sans fondement. Pouvoir désactiver le chiffrement à la demande devient donc une possibilité à envisager.





  • Ce n’est pas facilement détournable

  • C’est moins moche qu’une backdoor sans contrôle

  • La confidentialité des utilisateurs est respectés

    – face à la société d’exploitation (Whatsapp)

    – “au pirate” (interception, piratage serveurs)

    – au voleur

    – gouvernement sans consentement de la justice (théoriquement) et pas d’historique accessible (chiffrage “incassable”)



    Si le gouvernement veut se lancer dans l’espionnage de masse via cette fonctionnalité il sera vite découvert…



    Bref, tout le monde peut y trouver son compte à mon avis.


votre avatar

Le probleme est que meme si l’algo est béton, on est jamais a l’abri que l’implementation possede des vulnerabilités.

Et même coté algo, les documents de Snowden ont montré que la NSA a essayé de refourguer des algos “top-moumoute-secure” mais avec des faiblesses conceptuelles.

Ils ont aussi reussi a pousser la firme RSA a affaiblir volontairement ses propres produits censés etre des references absolues sur tout ce qui touche aux technos RSA.

votre avatar

Snowden a dit que c’était de la mise en scène effectivement mais pas tellement parce que la “backdoor” existe déjà mais surtout parce qu’ils ont déjà toutes les infos dont ils ont besoin.



Après, je me demande comment le mec arrive bien a être aussi informé depuis sa résidence sur écoute en Russie…

votre avatar

Sauf que dans le cas des EU la NSA pourrait demander l’accès permanent à toutes les conversations, ce qu’elle a déjà fait non ?

votre avatar

ben là le protocole c’est axolotl, donc c’est béton, whatsapp a bossé avec openwhisper pour implémenter ça chez eux.

votre avatar







Tirnon a écrit :



Sauf que dans le cas des EU la NSA pourrait demander l’accès permanent à toutes les conversations, ce qu’elle a déjà fait non ?







Demander elle peut toujours. Si la justice américaine lui accorde, ca ne risque pas de passer inaperçu.

Ensuite, exploiter les services du société américaine, pays sur lequel tu n’as aucun pouvoir (même pas en tant qu’électeur), tu peux difficilement te plaindre à qui de droit <img data-src=" /> . Par contre utiliser un autre service de messagerie c’est faisable ;)



Quand on aura Freemail (de Freenet) sur nos smartphones, ca va largement être plus complexe que de se frayer un chemin dans un serveur <img data-src=" />


votre avatar







BancoLasticot a écrit :



Apparemment ce serait déjà le cas :

http://www.ibtimes.co.uk/alrawi-isis-builds-secure-android-messaging-app-replace…









3rr0r404 a écrit :



Je sais pas ce que l’information vaut mais il est bien possible qu’ils utilisent déjà des outils perso depuis un moment :http://fortune.com/2016/01/13/isis-has-its-own-secure-messaging-app/





c’est des conneries:http://www.dailydot.com/politics/isis-alrawi-encryption-messaging-app/



de toute manière l’EI n’a actuellement absolument pas les compétences pour développer une appli sécurisée.

leur “CTO” s’est fait dégommer par les SAS y’a quelques mois, et tout ce qu’ils arrivaient à faire c’était hacker des comptes twitter et défacer des sites.

donc développer une appli sécurisée, on en est loin, toute cette histoire est du FUD.



et de toute manière, ils n’en ont visiblement pas besoin, cf les attentats du 13, où les mecs discutaient tranquillement par SMS.

le COMSEC c’est bien gentil, mais déjà faut commencer par l’OPSEC. c’est visiblement déjà bien efficace.


votre avatar







CryoGen a écrit :



Demander elle peut toujours. Si la justice américaine lui accorde, ca ne risque pas de passer inaperçu.





pas d’accord. la NSA passe systématiquement par un tribunal FISA, et pourtant toutes les conneries dévoilées par Snowden sont bien passées inaperçues.


votre avatar

… c’est que de la comm. !



Il savent péter les algo de chiffrement … et surtout par la patriot act ont les clefs de cryptage à dispo !



Ils nous prennent vraiment pour des bœufs !

votre avatar

Inaperçu ? Si tout d’un coup les serveurs d’authentification (c’est un exemple) de whatsapp se mettent à demander des sessions non chiffrées pour 500 millions d’utilisateurs, ca risquent de se voir <img data-src=" />

Et puis toutes les révélations de Snowden confirment ce que beaucoup pensait ou croyait déjà. On juste passé de la théorie du complot à la vérité.



Et puis, on est assez d’accord, je pense, pour dire qu’il y a des alternatives aux solutions sous domination américaine.

votre avatar

ah ben oui niveau solutions y’en a plein, ils sont juste très forts pour vendre leurs merdes. <img data-src=" />









ledufakademy a écrit :



… c’est que de la comm. !

Il savent péter les algo de chiffrement … et surtout par la patriot act ont les clefs de cryptage à dispo !

Ils nous prennent vraiment pour des bœufs !





alors pourquoi s’emmerder à faire de la com?

et puis les clés de chiffrement, vu le protocole utilisé, doivent être sur les terminaux puisque c’est du bout en bout. après j’ai pas été vérifier l’implémentation.



c’est un peu leFUDakademy parfois, non?


votre avatar

et ça en est où les négos sur le “Safe Harbor” ??&nbsp;

votre avatar







ledufakademy a écrit :



… c’est que de la comm. !



Il savent péter les algo de chiffrement … et surtout par la patriot act ont les clefs de cryptage à dispo !



Ils nous prennent vraiment pour des bœufs !





Tout à fait si Phil Zimmerman a été libéré en 96 par le FBI ce n’est certainement pas sans raisons. Pourtant les charges ont été mystérieusement abandonnées. Certains n’hésitent pas à dire qu’en 5 ans (de 91 à 96) il a oeuvré pour la NSA en incluant une backdoor non pas dans PGP mais dans GCC. En effet comment faites-vous pour mette à jour votre compilateur ? Vous utilisez les nouvelles sources (visuellement parfaitement clean) et vous les compilez avec l’ancien compilateur, puis vous recompilez cette fois en utilisant le nouveau et vous recommencez et vous vous arrêtez quand les binaires obtenus ne changent plus. Donc en fait vous ne savez jamais vraiment ce qu’il y a dedans. Et si la backdoor est bien conçue elle se transmet de mise à jour en mise à jour.

C’est en tout cas ce que j’ai lu sur des sites contenant des archives de l’époque, et il n’y a aucune raison que ça ne soit pas vrai.

Donc il est inutile d’utiliser PGP, GNUPG etc … ils sont tous troués.



Tu as parfaitement raison ils nous prennent vraiment pour des pigeons.


votre avatar

edit: slperie de quote qui bugge <img data-src=" />

votre avatar

le moyen sure ?

d’homme à homme pour délivrer un message, une info capital.

C’est pour cela qu’à l’Élisée … les ordi. et smartphone (etc) … pas trop leur truc …



Ah tiens vous n’aviez pas encore remarqué ?

bah faut un peu réfléchir des fois … hein !

votre avatar

En lisant Misc et en allant sur les .ognion ont lis ce genre de truc …<img data-src=" />

Et puis bon … l’expérience dans ce domaine … ça compte un peu quand même .<img data-src=" />

votre avatar







ledufakademy a écrit :



En lisant Misc et en allant sur les .ognion ont lis ce genre de truc …<img data-src=" />

Et puis bon … l’expérience dans ce domaine … ça compte un peu quand même .<img data-src=" />





euh non&nbsp; :&nbsp; je viens juste de l’inventer …


votre avatar

.. quand je chiffre et signe en PGP 4096bits … j’ai une petite chance … mais c’est comme avoir une kalach : c’est considéré comme une arme de guerre.



Et puis le générateur alétoire pour ma clef basé sur un cpu intel (etc) … pas si aléatoire que ça … alors on vivote quoi …



Gemalto avec son générateur de clef à base de techno quantique : pourquoi pas …fraudait tester …

votre avatar

“Le chiffrement de bout en bout représente un problème de taille pour les forces de l’ordre. Dans le cas où les données sont stockées sur des serveurs, les éditeurs ne sont pas en mesure de pouvoir les lire, puisqu’ils ne possèdent pas la clé. ”



Ca j’adore , car en thérorie c’est beau … propre et safe pour “l’espionné”

votre avatar

Bon sinon, il l’a bouffé sa chaussure l’autre grande gueule de mc Afee ?

votre avatar

“Dans le cas d’Apple, les avocats tentent donc actuellement de prouver que tel serait le cas, percer ses propres défenses revenant à briser la confiance des utilisateurs.”



Quelle pièce de théatre, c’est beau …



Tout le monde y gagne :




  • las avocats (ca doit chiffrer les honoraire sur des affaires de ce type …)

  • apple : THE MEAGA coup de pub,

  • le FBI ; lui c’est en apparence le méchant , qui coûte que coûte pourfendra le terroriste !

votre avatar







3rr0r404 a écrit :



Je sais pas ce que l’information vaut mais il est bien possible qu’ils utilisent déjà des outils perso depuis un moment :http://fortune.com/2016/01/13/isis-has-its-own-secure-messaging-app/





Bah sachant que le dit programme : Whatsapp est à la base un serveur ejabberd customisé, ça serait pas étonnant en effet qu’il utilise leurs propres outils, ce qui signifie : ” J’utilise XMPP et Ejabberd comme tout le monde mais la fédération XMPP ça pue” <img data-src=" />


Le FBI se heurte également à WhatsApp sur le chiffrement des données

  • Des écoutes rendues complexes par le chiffrement

  • Même combat, mais autre partenaire

  • Dans l'attente d'une jurisprudence ?

Fermer