Le chiffrement cible de nombreux dangers, selon le think tank L’Hétairie
Un nouveau char pensif
Le 31 octobre 2017 à 15h10
7 min
Internet
Internet
Affaiblissement, clés passe-partout, interception des données en clair... Le chiffrement peut être contourné ou cassé de bien des manières, pointe le think tank L'Hétairie, qui s'inquiète des conséquences possibles de telles attaques.
Ce matin, le projet de loi instaurant l'état d'urgence permanent est publié au Journal officiel. Pendant les débats, un tout jeune think tank s'était ouvertement opposé au texte, dénonçant « l'injustifiable agonie de nos droits ». Il y a quelques jours, ce groupe nommé L'Hétairie a publié une analyse profonde afin de promouvoir un chiffrement fort. Comme l'ANSSI, la CNIL ou le Conseil national du numérique (CNNum) avant lui, il prévient des risques que poserait un affaiblissement de cette protection.
L'Hétairie est une association destinée à « diffuser une réflexion de gauche », avec pour premières cibles l'exercice du pouvoir par Emmanuel Macron ou le projet de loi porté par le ministre de l'Intérieur, Gérard Collomb. La peinture est encore fraîche, les publications remontant au mieux à septembre, comme le compte Twitter. L'organisation est pilotée par Floran Vadillo et Tristan Foveau, responsables de la sécurité intérieure chez Sopra Steria ainsi que Jérôme Picaud, le délégué à la promotion de l'accord Ceta à l'ambassade du Canada.
La note pro-chiffrement est écrite par un anonyme, « chercheur dans un grand organisme ». La réflexion, qui catégorise les atteintes possibles à cette technique, prend ouvertement l'angle des libertés publiques.
Six moyens d'attaquer le chiffrement
Le texte revient rapidement sur les notions de chiffrement symétrique et asymétrique (avec une clé unique, ou des clés publique et privée séparées). Il réexplique le besoin d'une occultation de bout en bout, dans les cas où un message transite par de nombreux intermédiaires. Il explore surtout les différentes méthodes pour décrypter, autrement dit casser ou contourner cette protection, censée poser des contraintes grandissantes aux forces de l'ordre.
La première méthode, la plus simple, consiste à obtenir la clé à l'expéditeur ou au destinataire, voire un tiers. Refuser de fournir la clé suite à une réquisition judiciaire, si on en a connaissance, est puni par le Code pénal. Comme le note L'Hétairie, un intermédiaire dans le cas du chiffrement de bout en bout ne peut pas être poursuivi.
La deuxième est de décrypter le message via la force brute, ou avec une analyse cryptographique. En clair, il s'agit de casser le chiffrement, comme le pourraient certains services de renseignement. De prime abord, l'association estime qu'une telle volonté est « vouée à l'échec » vu que les interlocuteurs peuvent simplement augmenter la taille des clés pour protéger leurs futurs échanges.
Pourtant, « la combinaison de la force brute et de l’exploitation de failles (découvertes ou anticipées) permet cependant de décrypter ou d’envisager de décrypter des messages chiffrés avec des clés réduites ou affaiblies d’une manière ou d’une autre ». Interrogé sur l'éventuelle rétention de failles pour faciliter le décryptage, Guillaume Poupard de l'ANSSI nous répondait récemment que « les vulnérabilités sont faites pour être comblées ».
La troisième piste concerne les ordinateurs quantiques, qui pourraient casser très rapidement certains algorithmes et donc menacer la sécurité des systèmes informatiques. Leur développement est toujours en cours et, même si des machines quantiques existent déjà, elles n'ont pour le moment pas suffisamment de qubits (bit quantique) pour être une réelle menace.
Contraindre, affaiblir ou intercepter ?
Est ensuite évoquée l'idée de contraindre les opérateurs (comprendre les fabricants, opérateurs ou services en ligne) à posséder les clés de chiffrement, donc les fournir sur demande. Elle rappelle, à juste titre, la multiplication des services chiffrés de bout en bout (tirés par Signal), quand PGP ou Silence fournissent des échanges décentralisés, où la protection elle-même peut être difficile à détecter... Voire la création d'enclaves sécurisées sur les smartphones, censées constituer des bunkers à données sensibles, comme les cartes SIM des opérateurs.
Pour L'Hétairie, une telle contrainte représenterait un grand danger. S'il ne s'agit pas directement d'un affaiblissement du chiffrement, elle peut y être assimilée. « La fuite de ces clés compromettrait la sécurité de tous les clients de ces sociétés, dont les communications seraient écoutables ou les téléphones déverrouillables par tous ceux ayant accès à ces clés » écrit le spécialiste anonyme. Les protéger serait une contrainte importante.
L'affaiblissement du chiffrement est donc considéré, ici, d'un pur point de vue technique. Pêle-mêle, cela peut consister à modifier les logiciels de protection (ou dérober les clés), introduire des portes dérobées (par exemple dans des logiciels dont les services de renseignement sont contributeurs), passer des accords financiers avec des concepteurs, leur mettre la pression ou s'ingérer pendant la négociation d'une connexion, pour choisir un algorithme plus faible que l'habituel.
« L’impact de ces méthodes est délétère : lorsque la porte dérobée est découverte par d’autres — et l’expérience montre qu’elle finit toujours par l’être — tous ceux qui ont accès aux détails de la faille peuvent l’exploiter » pointe le cercle de réflexion. La CIA a elle-même perdu certaines de ses failles fétiches.
Enfin, les données peuvent être interceptées avant ou après leur (dé)chiffrement, par exemple en piégeant un terminal ou le classique phishing, toujours efficace.
Une menace qui plane toujours
Pour l'ANSSI, le débat porte aujourd'hui beaucoup sur les messageries instantanées du type Facebook Messenger, Signal ou WhatsApp, qui font du chiffrement de bout en bout un argument commercial. Elles « reposent complètement le débat » selon lui, quand Ercom nous dit s'être retiré de l'interception légale à cause (au moins en partie) de ces outils. Pour protéger leur activité fondée sur les données, de grands groupes comme Microsoft promettent de protéger les internautes des États indiscrets.
Depuis plus d'un an, l'agence de sécurité informatique de l'État, comme la CNIL et le CNNum, saisissent toutes les occasions pour défendre cette protection, considérée essentielle pour la confiance dans l'économie numérique. Face à eux, les forces de l'ordre (principalement) pointent les nombreux contenus auxquels ils ne pourraient plus accéder, sans pour autant prouver que cela bloque des enquêtes.
Cette volonté de contraindre les opérateurs ou services est clairement affichée par des responsables politiques, comme Theresa May et Emmanuel Macron. Dernièrement, la Commission européenne a promis une législation facilitant l'accès aux preuves numériques pour l'année prochaine.
En attendant, elle compte renforcer la panoplie habituelle des atteintes au chiffrement, en investissant dans les capacités techniques de décryptage, dans la formation des forces de l'ordre, en suivant mieux les évolutions techniques et légales ou encore en structurant le débat avec les fournisseurs de service, qui protègent jalousement les données chiffrées de leurs utilisateurs.
En guise de conclusion, L'Hétairie estime que « de manière plus générale, reste posée la question de l’évolution de notre société vers une société de surveillance ». Une question qui va bien au-delà du chiffrement, à l'heure où la CNIL s'inquiète des dérives possibles de la smart city (voir notre analyse).
Le 31 octobre 2017 à 15h10
Le chiffrement cible de nombreux dangers, selon le think tank L’Hétairie
-
Six moyens d'attaquer le chiffrement
-
Contraindre, affaiblir ou intercepter ?
-
Une menace qui plane toujours
Commentaires (26)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 31/10/2017 à 15h29
L’Hétairie est une association destinée à « diffuser une réflexion de gauche
»
L’organisation est pilotée par (…) Jérôme Picaud, le délégué à la
promotion de l’accord Ceta à l’ambassade du Canada.
Euh ? La promotion du CETA, c’est tout mais certainement pas de gauche " /> Ou bien c’est la pensée “en même temps” qu’ils disent combattre ?
(j’entends par la vraie gauche, pas le PS qui s’offusque sur les plateaux TV mais vote les lois répressives de Macron sans s’émouvoir)
Le 31/10/2017 à 15h41
Floran Vadillo et Tristan Foveau, responsables de la sécurité intérieure chez Sopra Steria
J’espère qu’ils ont pas peur de se faire taper sur les doigts … faire des vagues dans cette boite est loin d’être bien vue" />
Le 31/10/2017 à 15h53
La gauche aujourd’hui en France, on croit que c’est le marxisme, la mise en commun des moyens de production, al dictature du prolétariat… Il fut un temps où la gauche regroupait tous ceux qui étaient attachés à la liberté : sous la Restauration on y trouvait La Fayette (semble-t-il à l’extrême gauche), Benjamin Constant, plus tard Frédéric Bastiat.
Est-ce que ces braves gens seraient pour le CETA…? Sans doute pas, un traité bilatéral n’a rien de libéral…
Le 31/10/2017 à 16h04
Modifier le sens des mots au point que plus personne n’ait de repère fiable en politique fait malheureusement partie du jeu. Évincer jusqu’à l’idée de socialisme de “la gauche” est un sport national depuis les années 30 (possiblement même avant) par exemple…
Ainsi quand on élit Emmanuel Madelin " /> président il est visiblement normal que des gens “de gauche” votent majoritairement pour parce qu’en 2017 l’extrême droite néo libérale ça ne signifie plus rien tellement l’ensemble du champ politique a adopté cette idéologie et de fait viré à l’extrême droite… Donc ils peuvent bien se dire “de gauche”, cette étiquette n’a plus grand sens quand elle est endossée par des nationalistes comme Mélenchon ou des néo libéraux comme le PS. C’est juste une absurdité de plus dans ce grand relativisme moral flou qu’est le découpage gauche/droite.
Sinon. L’orientation idéologique de ce club politique est une info intéressante mais n’est pas vraiment centrale
Le 01/11/2017 à 09h14
Pour La Fayette je ne parlais pas de la période Révolutionnaire mais de la Restauration - voir ici : Wikipedia
Le 01/11/2017 à 14h49
Je trouve la réflexion que fait Usul sur cet axe pas idiote. Pour faire simple :
La gauche croit au politique comme capable de changer les choses alors que la droite voit plutôt le politique comme un accompagnateur d’une autre “puissance” : dieu, la tradition, le marché ,etc…
Sinon classé Mélenchon en nationaliste, c’est une très bonne blague " /> .
Le 01/11/2017 à 16h09
Le 02/11/2017 à 10h16
Le 02/11/2017 à 10h20
" />
C’est sur que face à des royalistes ou des impériaux il était probablement à l’extrême gauche " />
Le 02/11/2017 à 22h27
Le 31/10/2017 à 16h07
Qu’est-ce être de gauche ?
être universaliste ? égalitariste ? défavorable à la loi du marché ? keynésien ? marxiste ? protectionniste ou altermondialiste ?
Il y a tellement de gauches, et tellement de droites, on ne sait plus vers où tourner la tête !
Le 31/10/2017 à 16h16
La gauche républicaine de la révolution était à mort pour le libre échange donc probablement que si, juste le monde a considérablement changé depuis et justement cette “liberté de commerce” absolue a été relativisée par le camp républicain ensuite qui s’est rendu compte que la concentration de pouvoir économique posait autant de soucis que la concentration de pouvoir politique de l’ancien régime.
La Fayette n’était pas à l’extrême gauche (ce qui correspondrait plus aux “enragés” de l’époque je dirais) à ma connaissance c’était un modéré partisan d’une monarchie parlementaire.
Et en France “la gauche” à partir du moment où le pays a eu un mouvement socialiste n’a quasi jamais été majoritairement marxiste je pense. Au départ étaient le blanquisme et l’anarchisme, ensuite ont émergé marxisme et socialistes réformistes, anarchisme et réformistes majoritaires bossaient relativement ensemble du temps de Jaurès (socialistes démocrates) et en opposition aux marxistes (socialisme autoritaire) qui de ce fait ont toujours été en minorité jusqu’à la seconde guerre mondiale. Même après la seconde guerre mondiale où le PCF était la principale force politique à gauche dans les urnes, l’opposition réformiste et parfois interne au PCF au bloc de l’est était telle qu’il est difficile de donner plus de 10 ans de gauche principalement marxiste à la France au 20e siècle. Le raccourci gauche = marxisme est un peu cavalier pour la France selon moi.
Le 31/10/2017 à 16h23
Au départ ça impliquait juste d’être républicain.
Ca a lentement glissé vers le fait d’être socialiste à la fin du 19e.
Pour ensuite glisser vers le fait d’être social démocrate à la fin du 20e.
.
.
.
Pour aujourd’hui n’avoir plus aucune sorte de sens tout le monde étant capitaliste néo libéral soit dans les discours soit en pratique " />
Le 31/10/2017 à 17h35
je me pose simplement la question du nom choisi pour le groupe :
Une hétaïre est, dans la Grèce antique, une femme éduquée et de haut niveau social qui offre compagnie et services sexuels, souvent de manière non ponctuelle
Wikipedia
Le 31/10/2017 à 17h42
Complément : oups j’m’es gourré d’orthographe :
Le terme d’hétairie (hetaireia, association d’amis, de compagnons), désigne un club aristocratique d’une cité de la Grèce classique, ou une société politique ou littéraire de la Grèce moderne, oeuvrant en faveur de la diffusion des idées de la Révolution américaine et de la Révolution française et pour l’indépendance d’une Grèce démocratique.Par extension, il désigne une faction politique . Wikipedia mais la proximité des termes est surprenante
Le 31/10/2017 à 18h04
Moi la question que je me pose est pourquoi on appelle cela un think tank.
J’ai eu du mal à la première lecture du titre de l’article.
Le 31/10/2017 à 19h47
mon dieu mais nextinpact est donc un repère d’islamo-gauchistes!! " />
Le 31/10/2017 à 20h04
Le 31/10/2017 à 20h35
Je reformule : c’est plutôt pourquoi utilise-t-on un terme anglais.
Et en règle générale, quand on lit un titre, on n’a pas encore lu ce qui suit le titre.
Le 31/10/2017 à 20h40
Le 31/10/2017 à 21h44
Relis bien ce que j’ai écrit ; le problème ne vient pas du fait que le mot soit nouveau.
Le 31/10/2017 à 21h54
Le 31/10/2017 à 23h56
Le 01/11/2017 à 07h27
Le 01/11/2017 à 08h23
Je te l’accorde ! " />
Le 01/11/2017 à 08h30