Chiffrement : l'ENISA met en garde les pays de l'Union contre les portes dérobées

Chiffrement : l’ENISA met en garde les pays de l’Union contre les portes dérobées

Mirages et futilité

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

16/02/2016
15
Chiffrement : l'ENISA met en garde les pays de l'Union contre les portes dérobées

L’ENISA a publié il y a quelques jours un document dans lequel l’agence appuie la nécessité d’un chiffrement puissant. Elle met en garde les gouvernements tentés par des lois contre cette technologie et insiste sur la futilité et les dangers des portes dérobées.

L’European agency for network and information security (ENISA) est une importante agence de l’Union européenne. Créée en mars en 2004, elle est entièrement tournée vers la sécurité des réseaux et de l’information. Elle a publié en fin de semaine dernière un rapport sur le chiffrement et les dangers qui l’entourent. Le bilan du document est sans appel : les communications sans protection sont une menace.

Avant tout un problème de confiance

Cette conclusion tient compte des problématiques actuelles, sans pour autant plonger dans l’infinité de détails observés ces deux dernières années dans le sillage des révélations d’Edward Snowden. Il s’agit plutôt d’un condensé des observations faites jusqu’ici, à commencer par la confiance : la société (dans son ensemble) doit pouvoir compter sur les services qu’elle emploie. Cela va d’un service de stockage distant pour les particuliers à des produits professionnels, en passant par tout ce qui touche à l’administration.

Cette confiance ne devrait jamais être brisée par la volonté de fournir aux forces de l’ordre des armes trop destructices. On parle ici bien sûr des portes dérobées, ces armes à double tranchant qui permettraient de déchiffrer n’importe quel contenu. La police, l’armée, les agences de sécurité et bien entendu celles du renseignement s’intéressent de près à cette technique, mais on en connait les dangers depuis longtemps maintenant.

Les portes dérobées, un véritable mirage technologique

L’ENISA souligne qu’à l’heure actuelle, deux grandes politiques ont été principalement utilisées contre le chiffrement. La première consiste à limiter le chiffrement à des algorithmes contenant des portes dérobées ou des mécanismes d’interception, la seconde à limiter la taille et la complexité de la clé pour que les agences en ayant les moyens techniques puissent la retrouver. L’agence européenne note que dans les deux cas, l’assomption de départ est fausse : il est impossible de garantir que la mesure mise en place ne pourra être utilisée que par ceux à qui on a souhaité fournir ces moyens.

De fait, l’agence pointe plusieurs problèmes. D’une part, des pirates ou autres personnes malveillantes peuvent eux-mêmes trouver les portes dérobées ou disposer des moyens suffisants pour retrouver la clé. D’autre part, obtenir une clé spécifique à une personne permettrait d’altérer ses données, avec pour conséquence d’affaiblir la fiabilité des preuves contre elle. Enfin, la promulgation de lois anti-chiffrement est jugée comme futile, car les outils sont trop nombreux.

Des lois qui seraient trop simples à contourner

Cette futilité rappelle notamment certains projets de lois en gestation dans des États américains, comme on a pu le voir récemment. Considérant que le chiffrement de bout en bout ne peut être contourné, des sénateurs proposent tout simplement de bannir les appareils mobiles qui le proposent. Pour l’ENISA, il s’agit clairement d’une vision à court terme : « Dans ce domaine, la communauté de recherche a une longue tradition d’accès ouvert et d’open source, un grand nombre d’outils est déjà disponible gratuitement. De plus, les algorithmes sont disponibles publiquement et bien documentés, un développeur moyennement doué pourrait donc les implémenter. » En clair, peu importe le nombre de produits bannis, le chiffrement pourra toujours s’exprimer.

On nuancera tout de même ici les propos de l’ENISA. Il est vrai que ceux qui chercheront à chiffrer leurs échanges auront toujours une solution sous la main. Cela étant, le but de ces lois n’est pas de s’occuper de ces utilisateurs « avertis », mais bien de la majorité des clients : ceux qui ne connaissent pas ces problématiques ou qui ne s’y intéressent pas. C’est le chiffrement activé par défaut sur les appareils iOS ou les récents sous Android qui sont dans la ligne de mire, comme le directeur du FBI, James Comey, l’avait déjà signalé l’année dernière.

Le sacre du chiffrement

L’agence indique donc que les pouvoirs publics « ont la responsabilité de faire passer des lois justes, équitables et qui aient le moins d’impact possible sur la liberté des personnes et des entreprises ». Elle note également que ce type de politique se met en place pour de longues périodes, nécessitant un examen minutieux de la situation et le repérage des dangers à court terme. Les législateurs devraient donc considérer trois points importants :

  1. Ne pas limiter les fonctionnalités de sécurité dans les logiciels, quels qu’ils soient.
  2. Ne pas limiter l’exportation de ces fonctionnalités.
  3. Alléger d’éventuelles mesures existantes.

En conclusion, l’ENISA note que le chiffrement fournit aux télécommunications « les équivalents de l’enveloppe, du sceau ou du tampon et de la signature », et que ces outils électroniques sont « nécessaires pour protéger nos biens dans un monde hautement informatisé ».

Un remède qui serait pire que le mal

L’agence indique tout de même qu’en théorie, le séquestre des clés par les forces de l’ordre ou les entités autorisées est possible, mais à un prix très élevé : « Il nécessiterait un changement fondamental dans notre infrastructure de communication et le développement conjoint de nombreux experts. L’infrastructure résultante serait plus complexe, la rendant davantage vulnérable aux attaques et moins résistante aux pannes ». Trop faciles à contourner, ces mesures auraient de plus « un impact négatif sur l’économie ».

Le message de l’ENISA aux gouvernements européens est dans tous les cas très clair : résister à la tentation de bannir le chiffrement, ne pas chercher à l’affaiblir et revenir sur des lois qui le feraient déjà.

15
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

Cyber résilience 2.0

10:10 DroitSécu 5
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

B.I.A Bia

08:40 IA 3
livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

Toxique de répétition

17:15 IAScience 3

Sommaire de l'article

Introduction

Avant tout un problème de confiance

Les portes dérobées, un véritable mirage technologique

Des lois qui seraient trop simples à contourner

Le sacre du chiffrement

Un remède qui serait pire que le mal

Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 5
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 3

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 5
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 60

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 33
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 148

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Web 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 65
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécu 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécu 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

Puces en silicium

Apple ne paierait que peu de royalties à Arm pour ses puces

Hard 34

Des logiciels libres scientifiques français à l’honneur

SoftScience 4

Une femme dont le visage se reflète en morceaux dans une série de miroirs.

Pourquoi inclure des femmes si on peut les fabriquer ?

Société 19

Logo de Google sur un ordinateur portable

Google commencera son ménage dans les comptes non utilisés le 1er décembre

Web 5

Commentaires (15)


pat98eraser Abonné
Il y a 8 ans

Enfin un peu de bon sens quelque part ! sans confiance, fini le ecomerce et consort, alors un peu plus de chiffrement et de confiance siouplait !


jaffalibre
Il y a 8 ans

il y a bien un truc qui me chiffonne :




  • les lois cherche uniquement à viser le grands public

  • hors les terrorrist ou autre compère ne sont pas madame michu et savent crypter

    donc on fait une loi qui permet de surveiller tout le monde SAUF ceux qui sont sensée être visé …… WTF ??????


FRANCKYIV
Il y a 8 ans






jaffalibre a écrit :

il y a bien un truc qui me chiffonne :




  • les lois cherche uniquement à viser le grands public

  • hors les terrorrist ou autre compère ne sont pas madame michu et savent crypter

    donc on fait une loi qui permet de surveiller tout le monde SAUF ceux qui sont sensée être visé …… WTF ??????



    Que voudrais-tu alors ?

    Une porte dérobée dans tous les logiciels de cryptographie ?



CUlater
Il y a 8 ans

HS?


hellmut Abonné
Il y a 8 ans

on est bien d’accord. ^^
le but c’est d’affaiblir le plus grand nombre afin de casser facilement leur chiffrement (s’ils en ont), et de pouvoir en théorie se concentrer sur les quelques-uns qui utilisent un chiffrement fort.
le souci des agences c’est que si tout le monde utilise un même chiffrement fort, alors les cibles seront noyées dans la masse.


picatrix
Il y a 8 ans






jaffalibre a écrit :

il y a bien un truc qui me chiffonne :




  • les lois cherche uniquement à viser le grands public

  • hors les terrorrist ou autre compère ne sont pas madame michu et savent crypter

    donc on fait une loi qui permet de surveiller tout le monde SAUF ceux qui sont sensée être visé …… WTF ??????


    Les lois ne sont pas faites pour les “hors la loi” (par définition), elles sont faites pour rassurer le mouton bon peuple qui se sent en sécurité et paye ses impôts sans protester.
     
    Par exemple la peine de mort n’a strictement aucun effet sur la délinquance (au contraire même, dans les états où elle existe on assiste plus à une délinquance “jusqu’au-boutiste”), ça sert juste à consoler les proches des victimes.



the_frogkiller Abonné
Il y a 8 ans






picatrix a écrit :

Les lois ne sont pas faites pour les “hors la loi” (par définition), elles sont faites pour rassurer le mouton bon peuple qui se sent en sécurité et paye ses impôts sans protester.
 
Par exemple la peine de mort n’a strictement aucun effet sur la délinquance (au contraire même, dans les états où elle existe on assiste plus à une délinquance “jusqu’au-boutiste”), ça sert juste à consoler les proches des victimes.

Non elles sont là pour donner un cadre pour vivre ensemble et sanctionner ceux qui vont au delà. la loi n’empêche pas les crimes et délits évidement. mais vous proposez quoi comme alternative?



perdu Abonné
Il y a 8 ans

<velu>
 nan mais c’est à  cause de gus comme çac,dans des garages, qu’on risque de gros attentats terroristes voyons!!!!
 </velu>


jaffalibre
Il y a 8 ans

Perso, je trouve que rien ne remplacera l’agent de terrain et le noyautage des réseaux (je parle des structures de personnes). Effectivement le fait d’espionner tout le monde permettra de facilité le travail, mais je trouve le prix à payer trop chère. Quoi qu’il arrive, le risque 0 n’existe pas, donc pour moi faire le tout chiffrer sur internet me parais normal.

Edit: Sinon je suis d’accords avec toi, les lois donnent le cadre de nos sociétés. Seulement la, on parle de supprimer la vie privée pour renforcer notre sécurité. Un juste milieu doit être trouvé et pour moi je trouve disproportionnée le fait de supprimer la vie privée (qui pour moi est un droit)


jaffalibre
Il y a 8 ans

Les lois permettent de définir les limites des libertés individuelles pour permettre à tout le monde de vivre ensemble.

Par contre la peine de mort est, pour moi, une peine plus douce que la peine à perpétuité. Un moment à souffrir et tu ne ressent plus rien car mort, tandis que la perpet te permet d’avoir la vie à repenser à tes actes (en plus cette peine à l’avantage de revenir sur un jugement incorrecte). Mais bon c’est mon avis et on peux en débattre longtemps et c’est surtout HS


the_frogkiller Abonné
Il y a 8 ans






jaffalibre a écrit :

Perso, je trouve que rien ne remplacera l’agent de terrain et le noyautage des réseaux (je parle des structures de personnes). Effectivement le fait d’espionner tout le monde permettra de facilité le travail, mais je trouve le prix à payer trop chère. Quoi qu’il arrive, le risque 0 n’existe pas, donc pour moi faire le tout chiffrer sur internet me parais normal.

Edit: Sinon je suis d’accords avec toi, les lois donnent le cadre de nos sociétés. Seulement la, on parle de supprimer la vie privée pour renforcer notre sécurité. Un juste milieu doit être trouvé et pour moi je trouve disproportionnée le fait de supprimer la vie privée (qui pour moi est un droit)


entièrement d’accord. le plus drôle dans ces histoires c’est qu’ils ne voient pas de problèmes pour nous espionner tous mais quand une personne enregistre des conversations à leur dépends par exemple ils s’en offusquent. cf enregistrement de Sarkozy etc



Kakuro456
Il y a 8 ans

C’est tellement tentant pour les état, presque nostalgiques de la RDA  


Ricard
Il y a 8 ans

Échec et Mat.


anonyme_751eb151a3e6ce065481d43bf0d18298
Il y a 8 ans






jaffalibre a écrit :

Les lois permettent de définir les limites des libertés individuelles pour permettre à tout le monde de vivre ensemble.

Par contre la peine de mort est, pour moi, une peine plus douce que la peine à perpétuité. Un moment à souffrir et tu ne ressent plus rien car mort, tandis que la perpet te permet d’avoir la vie à repenser à tes actes (en plus cette peine à l’avantage de revenir sur un jugement incorrecte). Mais bon c’est mon avis et on peux en débattre longtemps et c’est surtout HS


Moi, je plussoie picatrix.

Les lois sont peut-être faites pour définir un cadre, mais déjà tout dépend si celui-ci est acceptable ou pas, et on le voit bien avec la problématique évoquée par la news, le cadre est changeant et peut vite passer de cadre à geôle, lorsque l’on y prend pas garde.
Et c’est bien pour ça qu’il ne faut pas être tenté de définir un cadre trop restrictif, ni de sanction ou de moyens de contrôle disproportionné, encore plus lorsque les mesures ne servent au final qu’à servir la démagogie, notamment en ce qui concerne les sanctions uniquement destinées à faire plaisir aux victimes (après c’est effectivement HS).



jaffalibre
Il y a 8 ans

Ce que tu décrit est le problème entre une chose qui est légitime et une chose qui est légale.
Après, il est obligatoire de faire changer les lois car la société évolue comme notre façon de pensée. Après je peux reconnaitre que dans 20 ou 30 ans la notion de vie privée peux évolué et apparaitre comme dérisoire et c’est moi qui suis un illuminée dans cette société.

Les règles de la société sont fixées par la façon de penser et de réagir de la majorité. Après c’est nos représentant qui souvent “guide” la bonne morale qu’il soit un dictateur ou un bienfaiteur.