Connexion
Abonnez-vous

Chiffrement : l’ENISA met en garde les pays de l’Union contre les portes dérobées

Mirages et futilité

Chiffrement : l'ENISA met en garde les pays de l'Union contre les portes dérobées

Le 16 février 2016 à 09h55

L’ENISA a publié il y a quelques jours un document dans lequel l’agence appuie la nécessité d’un chiffrement puissant. Elle met en garde les gouvernements tentés par des lois contre cette technologie et insiste sur la futilité et les dangers des portes dérobées.

L’European agency for network and information security (ENISA) est une importante agence de l’Union européenne. Créée en mars en 2004, elle est entièrement tournée vers la sécurité des réseaux et de l’information. Elle a publié en fin de semaine dernière un rapport sur le chiffrement et les dangers qui l’entourent. Le bilan du document est sans appel : les communications sans protection sont une menace.

Avant tout un problème de confiance

Cette conclusion tient compte des problématiques actuelles, sans pour autant plonger dans l’infinité de détails observés ces deux dernières années dans le sillage des révélations d’Edward Snowden. Il s’agit plutôt d’un condensé des observations faites jusqu’ici, à commencer par la confiance : la société (dans son ensemble) doit pouvoir compter sur les services qu’elle emploie. Cela va d’un service de stockage distant pour les particuliers à des produits professionnels, en passant par tout ce qui touche à l’administration.

Cette confiance ne devrait jamais être brisée par la volonté de fournir aux forces de l’ordre des armes trop destructices. On parle ici bien sûr des portes dérobées, ces armes à double tranchant qui permettraient de déchiffrer n’importe quel contenu. La police, l’armée, les agences de sécurité et bien entendu celles du renseignement s’intéressent de près à cette technique, mais on en connait les dangers depuis longtemps maintenant.

Les portes dérobées, un véritable mirage technologique

L’ENISA souligne qu’à l’heure actuelle, deux grandes politiques ont été principalement utilisées contre le chiffrement. La première consiste à limiter le chiffrement à des algorithmes contenant des portes dérobées ou des mécanismes d’interception, la seconde à limiter la taille et la complexité de la clé pour que les agences en ayant les moyens techniques puissent la retrouver. L’agence européenne note que dans les deux cas, l’assomption de départ est fausse : il est impossible de garantir que la mesure mise en place ne pourra être utilisée que par ceux à qui on a souhaité fournir ces moyens.

De fait, l’agence pointe plusieurs problèmes. D’une part, des pirates ou autres personnes malveillantes peuvent eux-mêmes trouver les portes dérobées ou disposer des moyens suffisants pour retrouver la clé. D’autre part, obtenir une clé spécifique à une personne permettrait d’altérer ses données, avec pour conséquence d’affaiblir la fiabilité des preuves contre elle. Enfin, la promulgation de lois anti-chiffrement est jugée comme futile, car les outils sont trop nombreux.

Des lois qui seraient trop simples à contourner

Cette futilité rappelle notamment certains projets de lois en gestation dans des États américains, comme on a pu le voir récemment. Considérant que le chiffrement de bout en bout ne peut être contourné, des sénateurs proposent tout simplement de bannir les appareils mobiles qui le proposent. Pour l’ENISA, il s’agit clairement d’une vision à court terme : « Dans ce domaine, la communauté de recherche a une longue tradition d’accès ouvert et d’open source, un grand nombre d’outils est déjà disponible gratuitement. De plus, les algorithmes sont disponibles publiquement et bien documentés, un développeur moyennement doué pourrait donc les implémenter. » En clair, peu importe le nombre de produits bannis, le chiffrement pourra toujours s’exprimer.

On nuancera tout de même ici les propos de l’ENISA. Il est vrai que ceux qui chercheront à chiffrer leurs échanges auront toujours une solution sous la main. Cela étant, le but de ces lois n’est pas de s’occuper de ces utilisateurs « avertis », mais bien de la majorité des clients : ceux qui ne connaissent pas ces problématiques ou qui ne s’y intéressent pas. C’est le chiffrement activé par défaut sur les appareils iOS ou les récents sous Android qui sont dans la ligne de mire, comme le directeur du FBI, James Comey, l’avait déjà signalé l’année dernière.

Le sacre du chiffrement

L’agence indique donc que les pouvoirs publics « ont la responsabilité de faire passer des lois justes, équitables et qui aient le moins d’impact possible sur la liberté des personnes et des entreprises ». Elle note également que ce type de politique se met en place pour de longues périodes, nécessitant un examen minutieux de la situation et le repérage des dangers à court terme. Les législateurs devraient donc considérer trois points importants :

  1. Ne pas limiter les fonctionnalités de sécurité dans les logiciels, quels qu’ils soient.
  2. Ne pas limiter l’exportation de ces fonctionnalités.
  3. Alléger d’éventuelles mesures existantes.

En conclusion, l’ENISA note que le chiffrement fournit aux télécommunications « les équivalents de l’enveloppe, du sceau ou du tampon et de la signature », et que ces outils électroniques sont « nécessaires pour protéger nos biens dans un monde hautement informatisé ».

Un remède qui serait pire que le mal

L’agence indique tout de même qu’en théorie, le séquestre des clés par les forces de l’ordre ou les entités autorisées est possible, mais à un prix très élevé : « Il nécessiterait un changement fondamental dans notre infrastructure de communication et le développement conjoint de nombreux experts. L’infrastructure résultante serait plus complexe, la rendant davantage vulnérable aux attaques et moins résistante aux pannes ». Trop faciles à contourner, ces mesures auraient de plus « un impact négatif sur l’économie ».

Le message de l’ENISA aux gouvernements européens est dans tous les cas très clair : résister à la tentation de bannir le chiffrement, ne pas chercher à l’affaiblir et revenir sur des lois qui le feraient déjà.

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Enfin un peu de bon sens quelque part ! sans confiance, fini le ecomerce et consort, alors un peu plus de chiffrement et de confiance siouplait !

votre avatar

il y a bien un truc qui me chiffonne :




  • les lois cherche uniquement à viser le grands public

  • hors les terrorrist ou autre compère ne sont pas madame michu et savent crypter



    donc on fait une loi qui permet de surveiller tout le monde SAUF ceux qui sont sensée être visé …… WTF ??????

votre avatar







jaffalibre a écrit :



il y a bien un truc qui me chiffonne :




  • les lois cherche uniquement à viser le grands public

  • hors les terrorrist ou autre compère ne sont pas madame michu et savent crypter



    donc on fait une loi qui permet de surveiller tout le monde SAUF ceux qui sont sensée être visé …… WTF ??????







    Que voudrais-tu alors ?



    Une porte dérobée dans tous les logiciels de cryptographie ?


votre avatar

HS?

votre avatar

on est bien d’accord. ^^

le but c’est d’affaiblir le plus grand nombre afin de casser facilement leur chiffrement (s’ils en ont), et de pouvoir en théorie se concentrer sur les quelques-uns qui utilisent un chiffrement fort.

le souci des agences c’est que si tout le monde utilise un même chiffrement fort, alors les cibles seront noyées dans la masse.

votre avatar







jaffalibre a écrit :



il y a bien un truc qui me chiffonne :




  • les lois cherche uniquement à viser le grands public

  • hors les terrorrist ou autre compère ne sont pas madame michu et savent crypter



    donc on fait une loi qui permet de surveiller tout le monde SAUF ceux qui sont sensée être visé …… WTF ??????





    Les lois ne sont pas faites pour les “hors la loi” (par définition), elles sont faites pour rassurer le mouton bon peuple qui se sent en sécurité et paye ses impôts sans protester.

     

    Par exemple la peine de mort n’a strictement aucun effet sur la délinquance (au contraire même, dans les états où elle existe on assiste plus à une délinquance “jusqu’au-boutiste”), ça sert juste à consoler les proches des victimes.


votre avatar







picatrix a écrit :



Les lois ne sont pas faites pour les “hors la loi” (par définition), elles sont faites pour rassurer le mouton bon peuple qui se sent en sécurité et paye ses impôts sans protester.

 

Par exemple la peine de mort n’a strictement aucun effet sur la délinquance (au contraire même, dans les états où elle existe on assiste plus à une délinquance “jusqu’au-boutiste”), ça sert juste à consoler les proches des victimes.



Non elles sont là pour donner un cadre pour vivre ensemble et sanctionner ceux qui vont au delà. la loi n’empêche pas les crimes et délits évidement. mais vous proposez quoi comme alternative?


votre avatar

<velu>

 nan mais c’est à  cause de gus comme çac,dans des garages, qu’on risque de gros attentats terroristes voyons!!!!

 </velu>

votre avatar

Perso, je trouve que rien ne remplacera l’agent de terrain et le noyautage des réseaux (je parle des structures de personnes). Effectivement le fait d’espionner tout le monde permettra de facilité le travail, mais je trouve le prix à payer trop chère. Quoi qu’il arrive, le risque 0 n’existe pas, donc pour moi faire le tout chiffrer sur internet me parais normal.



Edit: Sinon je suis d’accords avec toi, les lois donnent le cadre de nos sociétés. Seulement la, on parle de supprimer la vie privée pour renforcer notre sécurité. Un juste milieu doit être trouvé et pour moi je trouve disproportionnée le fait de supprimer la vie privée (qui pour moi est un droit)

votre avatar

Les lois permettent de définir les limites des libertés individuelles pour permettre à tout le monde de vivre ensemble.



Par contre la peine de mort est, pour moi, une peine plus douce que la peine à perpétuité. Un moment à souffrir et tu ne ressent plus rien car mort, tandis que la perpet te permet d’avoir la vie à repenser à tes actes (en plus cette peine à l’avantage de revenir sur un jugement incorrecte). Mais bon c’est mon avis et on peux en débattre longtemps et c’est surtout HS

votre avatar







jaffalibre a écrit :



Perso, je trouve que rien ne remplacera l’agent de terrain et le noyautage des réseaux (je parle des structures de personnes). Effectivement le fait d’espionner tout le monde permettra de facilité le travail, mais je trouve le prix à payer trop chère. Quoi qu’il arrive, le risque 0 n’existe pas, donc pour moi faire le tout chiffrer sur internet me parais normal.



Edit: Sinon je suis d’accords avec toi, les lois donnent le cadre de nos sociétés. Seulement la, on parle de supprimer la vie privée pour renforcer notre sécurité. Un juste milieu doit être trouvé et pour moi je trouve disproportionnée le fait de supprimer la vie privée (qui pour moi est un droit)





entièrement d’accord. le plus drôle dans ces histoires c’est qu’ils ne voient pas de problèmes pour nous espionner tous mais quand une personne enregistre des conversations à leur dépends par exemple ils s’en offusquent. cf enregistrement de Sarkozy etc


votre avatar

C’est tellement tentant pour les état, presque nostalgiques de la RDA  

votre avatar

Échec et Mat.

votre avatar







jaffalibre a écrit :



Les lois permettent de définir les limites des libertés individuelles pour permettre à tout le monde de vivre ensemble.



Par contre la peine de mort est, pour moi, une peine plus douce que la peine à perpétuité. Un moment à souffrir et tu ne ressent plus rien car mort, tandis que la perpet te permet d’avoir la vie à repenser à tes actes (en plus cette peine à l’avantage de revenir sur un jugement incorrecte). Mais bon c’est mon avis et on peux en débattre longtemps et c’est surtout HS





Moi, je plussoie picatrix.



Les lois sont peut-être faites pour définir un cadre, mais déjà tout dépend si celui-ci est acceptable ou pas, et on le voit bien avec la problématique évoquée par la news, le cadre est changeant et peut vite passer de cadre à geôle, lorsque l’on y prend pas garde.

Et c’est bien pour ça qu’il ne faut pas être tenté de définir un cadre trop restrictif, ni de sanction ou de moyens de contrôle disproportionné, encore plus lorsque les mesures ne servent au final qu’à servir la démagogie, notamment en ce qui concerne les sanctions uniquement destinées à faire plaisir aux victimes (après c’est effectivement HS).


votre avatar

Ce que tu décrit est le problème entre une chose qui est légitime et une chose qui est légale.

Après, il est obligatoire de faire changer les lois car la société évolue comme notre façon de pensée. Après je peux reconnaitre que dans 20 ou 30 ans la notion de vie privée peux évolué et apparaitre comme dérisoire et c’est moi qui suis un illuminée dans cette société.



Les règles de la société sont fixées par la façon de penser et de réagir de la majorité. Après c’est nos représentant qui souvent “guide” la bonne morale qu’il soit un dictateur ou un bienfaiteur.

Chiffrement : l’ENISA met en garde les pays de l’Union contre les portes dérobées

  • Avant tout un problème de confiance

  • Les portes dérobées, un véritable mirage technologique

  • Des lois qui seraient trop simples à contourner

  • Le sacre du chiffrement

  • Un remède qui serait pire que le mal

Fermer