Les États-Unis ont-ils un problème avec le chiffrement des données ? Pas si l’on en croit le directeur de la NSA, Mike Rogers, qui cherche à jouer l’apaisement désormais et à exposer une problématique simple : comment protéger les utilisateurs sans bloquer les enquêtes ou la traque des terroristes ?
L'impossible équation
Depuis les premières révélations autour des documents dérobés par Edward Snowden à la NSA, les appels au chiffrement des données se sont multipliés. Le processus prend une place proéminente dans le monde de la sécurité en général, et Apple et Google ont notamment accéléré sur leurs systèmes mobiles respectifs. Mais cette augmentation ne se fait sans provoquer des inquiétudes dans le monde du renseignement et chez les forces de l’ordre. James Comey, directeur du FBI, était particulièrement ennuyé par « la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ».
Le problème est d’autant plus manifeste que les États-Unis réfléchissent actuellement à résoudre la quadrature du cercle : laisser le chiffrement des données envahir graduellement les applications, systèmes et services, tout en se gardant une voie légale d’obtention des données. Or, comme nous l’indiquions récemment, tout mécanisme visant à se procurer des données qui ne devraient être lisibles que par leur propriétaire pourra nécessairement être exploité par des personnes malintentionnées. Le tout au grand dam des entreprises américaines qui tentent de freiner la méfiance des utilisateurs.
Le directeur de la NSA n'a rien contre le chiffrement, mais...
Officiellement, il n’est pas question de porte dérobée, mais la NSA cherche dans tous les cas à calmer le jeu. Son directeur, Mike Rogers, a participé à une conférence en Estonie hier, au cours de laquelle il a indiqué : « Vous ne m’entendrez pas dire que le chiffrement est une mauvaise chose. Je ne pense pas que ce soit une mauvaise chose. Le chiffrement n’est pas mauvais. Le chiffrement est une partie fondamentale du futur ; je pense qu’il serait ridicule de prétendre l’inverse ».
Mais quel genre de futur exactement ? Un futur dans lequel il souhaiterait que ce qui est aujourd’hui possible avec les données téléphoniques le devienne « pour Internet et l’ère numérique ». Il fait ici référence à une infrastructure légale qui permet à la NSA et aux forces de l’ordre d’obtenir les métadonnées téléphoniques, voire les conversations elles-mêmes. En fait, un socle légal, constitué de plusieurs lois (essentiellement le Patriot Act et le FISA), permettant de clarifier qui peut faire quoi, et comment.
Qu’on ne s’y trompe pas : si Mike Rogers loue le chiffrement, il n’est pas question pour autant de le laisser progresser de manière sauvage. Ce ne serait d’ailleurs pour lui pas dans l’intérêt à long terme des nations : « J’ai bien entendu un grand respect pour ceux qui défendent l’idée que le plus important est d’assurer la vie privée de nos citoyens et que nous ne devrions, par aucun moyen, laisser le gouvernement accéder aux informations. Je dirais pour ma part que ce n’est pas dans l’intérêt à long terme de la nation, que nous devons créer une structure qui nous permettrait de réaliser ça, tout en étant conscient que ce doit être fait de manière légale et que ce ne soit pas être arbitraire ». Un point de vue qui n'est pas sans rappeler celui de Barack Obama.
Une union des pays autour de règles communes
Il indique surtout qu’une telle structure devrait être internationale, pour que l’ensemble des pays traite de la même manière cet épineux cas de figure. Selon le directeur de la NSA, toutes les nations devraient s’unir autour d’un jeu de règles commun, leur permettant d’aborder le chiffrement de la même manière, avec d’un côté ce que les citoyens peuvent faire, et de l’autre comment obtenir les données sur un smartphone par exemple en cas d’enquête. On se rappellera à ce sujet qu’un rapport des forces de l’ordre mettait en avant une difficulté croissante pour la police de percer le chiffrement de certains appareils impliqués dans des enquêtes. La question alors posée était simple : des crimes ne seront-ils plus punis à cause du trop fort chiffrement des appareils mobiles ?
C’est la question qui revient désormais sans cesse et qui pose la problématique du curseur. Ce dernier oscille entre efficacité des forces de l’ordre et respect de la vie privée, et donc entre deux questions extrêmes : les citoyens doivent-ils renoncer à leur vie privée pour prendre en compte les nouveaux moyens que les criminels peuvent utiliser pour se protéger ? Ou les forces de l’ordre doivent-elles accepter l’idée que certaines enquêtes n’aboutiront pas parce que le chiffrement place certaines informations hors de leur portée ?
La réflexion en cours aux États-Unis montre clairement quel est l’avis du gouvernement sur le sujet. Les différents responsables qui s’expriment sur le sujet tournent tous autour de cette possibilité de laisser le chiffrement suivre son cours et envahir les services de communication, tout en laissant une voie d’accès quand c’est nécessaire. Mais quel sera alors le discours quand les acteurs impliqués auront la preuve qu’une porte peut être ouverte par n’importe qui ?
Commentaires (81)
Je sens qu’il va y avoir des lois qui condamne le fait de ne pas donner son mots de passe aussi fortement que si la personne était coupable du crime dont il est soupçonné.
déjà plus ou moins le cas
c’est assez hypocrite en fait, tu peux chiffrer comme une brute, mais si au cours d’une perquisition/GAV tu refuses de donner tes id/pwd c’est assimilé à du blocage/entrave dans l’instruction judiciaire
bref, les conteneurs chiffrés et surtout cachés ont de l’avenir
Utilisez du chiffrement, mais seulement ceux qu’on sait casser!!!!
« Je voudrais qu’on raccourcisse tout, mais sans toucher à la longueur »
cela sent la saucisse de GoT ,cette citation
Sinon ,si la nsa apprends pour la crémière ,elle va prendre cher aussi ,non ?
« Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi »
« Vous ne m’entendrez pas dire que le chiffrement est une mauvaise chose. Je ne pense pas que ce soit une mauvaise chose. Le chiffrement n’est pas mauvais. Le chiffrement est une partie fondamentale du futur ; je pense qu’il serait ridicule de prétendre l’inverse ».
Lol ?
bouleshit
“Selon le directeur de la NSA, toutes les nations devraient s’unir autour d’un jeu de règles commun”
Non c’est vrai quoi, comprenez nous ca va etre chiant pour nous de surveiller les autres pays si chacun fait ce qu’il veut sur notre… excusez moi, je veux dire sur leur territoire.
Ca passera son truc vous croyez ?
Parce que c’est tout de même tres gros au vu des antécédents qu’ils ont.
Il n’a pas tort, sur le principe.
Mais au vu de leurs agissements, je ne peux pas leur faire confiance.
toutes les nations devraient s’unir autour d’un jeu de règles commun
A mais oui, personne n’avait songé avant lui à unir le monde !
De toute façon faut attendre un an ou deux, d’ici là tout sera dans le Cloud et les protections physiques chiantes types des smartphone ne serviront plus à rien…
C’est déjà le cas dans certains pays. C’est pour cette raison que TrueCrypt permet d’avoir deux mots de passe : un pour accéder aux données qu’on veut masquer, un autre pour accéder à des données bidons, qu’on peut dévoiler aux enquêteurs trop curieux.
C’est quoi cette actu. Le mec trolle alors qu’on est pas ‘dredi. Vincent, je demande un coup de sword sur cette actu et les propos trollesques du ce Monsieur.
" />
L’envie de chiffrement n’est qu’un juste retour de bâton pour la NSA après avoir espionné la planète entière et ses propres concitoyens. C’est ce qui se passe quand on abuse d’un pouvoir.
Oui c’est déjà le cas comme en Chine par ex, où la puce TPM des laptops est interdite, et si vous ne déchiffrez pas les données de votre laptop au contrôle douane, vous restez bloqués à l’aéroport.
Dans ma boîte, et dans bien d’autres je suppose, on a interdiction d’emmener des données sensibles à l’étranger, et en particulier en Chine. On peut y accéder via une liaison sécurisée.
Comme quoi ces mesures, qui visent plus l’espionnage économique que la lutte anti-terroriste, ne servent pas à grand chose.
Le sous-titre me fait penser à la vidéo des sept lignes rouges perpendiculaires entre elles, dont une en forme de chaton, tracées avec de l’encre verte, bleue et transparente
" />
owi, j’ai adoré cette video, trop epic et tellement représentative des réunions avec des gens non techniques
" />
ou en Israel, c’est pareil, les douaniers doivent accéder à ton compte mail sinon tu passes pas.
Le coup de la coopération internationale est pas mal. Il veulent en gros que tout le monde coopère, mais bon, j’ai comme un doute qu’ils soient vraiment d’accord pour laisser la Chine, la Russie, la Syrie… pouvoir profiter eux aussi des fruits de cette coopération.
bah justement! c’est tout le sujet de la vidéo.
tout en étant conscient que ce doit être fait de manière légale et que ce ne soit pas être arbitraire
C’est tout le problème: le légal et le non-arbitraire.
Actuellement, la légalité est toute relative et le non-arbitraire n’existe pas.
Impossible de vérifier ni les abus, ni les atteintes à la vie privée.
Impossible de se défendre contre ces abus/atteintes.
Si t’es américain, t’es mal.
Si t’es non américain, t’as aucun droit tout court.
En fait, le gros problème, c’est leurs méthodes qui sont à revoir entièrement.
Mais, ça , avant que ça arrive…
ouais mais si tu dis rien, ils peuvent pas le retenir contre toi: Bluetouffaurait mieux fait de fermer sa mouille, ils auraient pas eu d’aveux.
c’est assez logique en faite…
peu importe, il a annoncé qu’il savait ce qu’il faisait et qu’il savait qu’il se trouvait dans un lieu ou il devait pas être. que la porte soit grande ouverte ou pas n’y change rien: la Loi indique bien que si tu te maintient frauduleusement dans un système informatisé, tu es condamnable. c’est le terme “maintient” qui est important. il serait juste passé et n’aurait rien pompé et aurait fait part de sa découverte, ou en tout cas c’est ce qu’il aurait dit lors de sa grade à vue, il y aurait rien eu contre lui.
Ben t’es dans quel jour de la semaine toi ? 
" />
non. Ce qu’il veut dire, c’est que l’enquêteur soupconnera des données cachées en voyant la différence de taille du conteneur et des fichiers factices à l’intérieur. Du genre, le conteneur fait 100 Go mais il n’y a que 3 fichiers texte dedans qui font 500 Ko à tout casser.
Sauf que voilà. Si on utilise un volume avec une taille fixe, même s’il est vide, il prendra la même place et semblera plein. Donc il faut juste mettre des fichiers crédibles et s’inventer une excuse crédible pour tout l’espace inutilisé.
C’est le principe du déni plausible : un conteneur invisible à l’intérieur d’un conteneur classique.
Il a fortement raison quand il dit que le chiffrement fera partie du futur. Ce sera une clé vitale et un objectif de performance rendant l’informatique moins innocent au passage.
Tes rester coincé dans le 4éme Jeudi de la semaine?
" />
Un jury et un juge qui préside, c’est pire qu’un enquêteur….
A choisir je préfère être jugé par un flic qui, s’il connait TC doit au moins savoir deux trois trucs et avoir uen vision plus réaliste de ta “dangerosité potentielle” que par des péquins moyens influencés à mort par TF1.
Sauf que pour le coup Bluetouff a à demi avoué qu’il savait qu’il était dans un endroit protégé… Ca ça pardonne pas…
La DCRI a vite vu que l’ANSES n’a pas été piraté, mais que BT avait exploité une faille pour RESTER dans leur extranet…
Et puis il a eu 3000€ d’amende quoi, il est pas en taule.
C’est contre le 5eme amendement (de mémoire) qui autorise à ne pas témoigner contre soit-même.
Non, le mise en cause a toujours le droit au silence. L’application en France a été difficile mais c’est toujours d’actualité.
Ce dont tu parles, c’est pour un tiers.
http://rue89.nouvelobs.com/2015/02/05/si-police-demande-est-oblige-donner-mot-pa…
“Aucune loi ne punit le fait de ne pas révéler le mot de passe
permettant de déverrouiller son téléphone portable, son ordinateur, sa
tablette ou tout autre support informatique sur lequel figurent des
données en clair.
« C’est comme une personne qui refuse d’ouvrir sa porte », rappelle Pascal Steyer, major N-tech de la gendarmerie.”
Il a du tomber sur ça :
http://en.wikipedia.org/wiki/Serpent_%28cipher%29
Version FR :
http://fr.wikipedia.org/wiki/Serpent_%28cryptographie%29
;)
En France aussi, tu as le droit de garder le silence. Et c’est très conseillé en GAV.
Ce serait le pire du pire : tout chiffré, et seuls les US pourraient déchiffrer, sans aucun contre-pouvoir dans le monde.
Pour eux, le rêve absolu à n’en pas douter.
“Pour vivre heureux vivons cachés”, et pourtant ce proverbe ne date pas d’hier…
Le mieux serait de laisser tout le trafic US passer en clair, courriel, achats en ligne, banque, bourse… Je leur conseille de faire ça…
" />
" />
Après ça sera les premiers à pleurer dans de fausses histoires comme Sony Pictures où ils se sont fait hacker la masse de données… Je n’imagine même pas les dégâts de Sony s’il n’y avait pas eu de chiffrement…
pas besoin de s’y connaitre en info pour comprendre “La personne dit qu’elle savait qu’elle était en infraction, et elle l’a continuée”.
et le cul de la crémière
" />
Non, c’est pour conclure qu’elle dit qu’elle savait être en infraction, alors que ce n’est pas le cas, qu’il ne faut pas être doué en info.
C’est exactement la réflexion que je me faisais. Il faudrait dans le meilleur du monde avoir une approche 4-yeux qui permettent à un utilisateur de chiffrer ses données, mais de permettre à des tiers de pouvoir y accéder mais aux conditions suivantes:
-La clé d’accès en urgence composé de 2 clés de chiffrement;
-Chacune de ces clés détenues par 2 entités distinctes et étatiques (ex. ministère de la justice et de l’intérieur ou défense);
-Dans les cas d’enquêtes pour flagrance avertir la personne visée;
-Dans les cas d’enquêtes plus complexe, sensisble ou à visée anti-terroriste ne pas avertir la personne visée ou le groupe visé bien sur, mais l’inscrire dans un processus sous contrôle judiciaire.
Bref, c’est un peu long à expliquer et pas très claire, mais il est possible de mettre en place ce genre d’approche, mais effectivement, ça implique une harmonisation et une collaboration supra-nationale.
J’ai tout compris
" />
“Le processus prend une place proéminente” (!) Plutôt prééminente non ?
Comme le prélèvement ADN en fait.
Toute l’ironie de la chose apparaît quand on sait que les deux dernières failles découvertes du protocole TLS, permettant de méchants man-in-the-middle, sont dues à des trucs ajoutés pour satisfaire les exigences des USA en terme d’exports des technologies de crypto… FREAK, logjam Merci les mecs de laisser trainer vos vieilles backdoors pour l’usage des black hats à travers le monde…