Sans parler de backdoor, le FBI souhaite quand même faciliter l’accès aux données chiffrées
On reprend les mêmes
Le 04 mai 2017 à 12h52
7 min
Internet
Internet
Le directeur du FBI, James Comey, a apporté son soutien à une future proposition de loi américaine qui introduirait l’obligation pour les entreprises nationales de ménager des voies d’accès à travers le chiffrement dans le cadre d’enquêtes. Un mouvement qui illustre une situation toujours aussi tendue dans le monde de la sécurité.
Depuis les révélations d’Edward Snowden en 2013, la sécurité informatique en général est ballotée au gré des annonces des entreprises et des gouvernements. Le choc initial a provoqué une grave crise de confiance dans les entreprises du cloud, qui se sont toutes employées à communiquer abondamment sur le sujet, mettant peu à peu en place des mesures supplémentaires de chiffrement, parfois classiques, d’autres de bout en bout.
Mais, comme on a pu le voir avec l’opposition du FBI à Apple, la situation est très loin d’être réglée. Tout repose sur un curseur qui se déplace entre la sécurité des communications et celle, plus générale, des populations à travers les enquêtes des forces de l’ordre. Un nombre croissant d’appareils mobiles ne révéleraient plus ses secrets à cause du chiffrement, arguent les autorités, amenant régulièrement de nouveaux projets de loi.
C’est justement à l’un d’entre eux que le directeur du FBI apporte désormais son soutien.
Une situation qui ne cesse de se complexifier
Devant le comité juridique du Sénat américain, James Comey a répondu à une série de questions portant sur l’état actuel des enquêtes face au chiffrement. Plusieurs éléments de réponse donnent une idée assez précise de la manière dont le chiffrement peut influer négativement sur les enquêtes en cours.
Ainsi, durant les six premiers mois de l’actuelle année fiscale, plus de 3 000 appareils mobiles se seraient révélés impossibles à ouvrir. Leur contenu peut être important dans le cadre des enquêtes, notamment pour révéler les contacts fréquents d’un suspect. Selon Comey, c’est presque la moitié des smartphones et tablettes récupérés pendant cette période. Il n’a cependant pas pu fournir de réponse quand la sénatrice Dianne Feinstein lui a demandé la proportion d’appareils impliqués dans des affaires de terrorisme.
Autre point intéressant, le fait que les informations techniques mises à disposition par les constructeurs ne soient pas toujours exploitables. Il a ainsi indiqué qu’elles étaient « rapidement périssables », à cause de cycles de support trop courts. Les failles parfois utilisées peuvent être également corrigées suite à des révélations, ou simplement parce que les éditeurs concernés les découvrent.
Un énième projet de loi espérant faciliter les échanges de données
Face à une situation globale qui semble inextricable, James Comey apporte son soutien à un projet de loi qui devrait être proposé prochainement par Dianne Feinstein. La sénatrice est impliquée depuis des années dans les comités sénatoriaux imposés au FBI, à la CIA et à la NSA pour en contrôler les résultats et surtout les méthodes.
Ce projet est la reprise presque à l’identique d’un autre proposé l’année dernière, qui prévoyait d’imposer aux entreprises de déchiffrer pour les forces de l’ordre les données ciblées par une enquête. La proposition avait finalement été abandonnée, faute d’un soutien suffisant dans le Sénat. Depuis, avec un changement de présidence et certaines affaires comme la tuerie de San Bernardino (qu’elle a évoquée hier), le contexte semble plus adapté pour retenter sa chance.
Face à ce sujet, James Comey a tenté de rassurer : « Nous avons de très bonnes conversations, très ouvertes, avec le secteur privé au cours des 18 derniers mois sur ce problème, parce que tout le monde se rend compte que nous sommes tous concernés. Nous aimons tous la vie privée, nous faisons tous attention à la sécurité publique, et aucun de nous ne veut des portes dérobées – nous ne voulons pas l’accès aux appareils produits de quelque manière que ce soit ».
Et d’ajouter que tout ce qu’il souhaite, c’est qu’un terrain soit aménagé pour simplifier la vie de tout le monde et laisser les enquêtes suive leur cours. Évidemment, la situation est loin d’être aussi simple qu’il le décrit.
La même problématique, encore et toujours
« Comment pouvons-nous optimiser les fonctionnalités de vie privée et de sécurité sur leurs appareils et permettre en même temps aux mandats d’être appliqués ? » demande James Comey, avant de répondre : « Nous avons de bonnes conversations à ce sujet – franchement, je ne sais pas où elles vont mener ». Et c’est bien là tout le problème.
Tous les projets de loi en la matière se gardent bien d’évoquer le concept de porte dérobée, qui reviendrait à affaiblir volontairement le chiffrement pour garder la main sur les données en cas de besoin. Les directeurs d’agences et responsables politiques préfèrent évoquer des discussions et des aménagements, avec une finalité identique : si un mandat intime l’ordre à une entreprise de fournir des données, elle doit le faire. Ce qui revient précisément au même.
Il n’y a aucune solution miracle dans ce domaine. Si un éditeur veut récupérer des données, il lui faut une trappe par laquelle les exfiltrer. Cette trappe, c’est évidemment la porte dérobée. Le projet revient à leur demander en effet d’affaiblir le chiffrement en introduisant un trou dans la protection. Il ne reste alors essentiellement que deux possibilités.
Soit l’entreprise a la clé, soit elle ne l’a pas. Le premier cas s’applique souvent aux données stockées dans le cloud. L’affaire de San Bernardino avait rappelé notamment qu’Apple ne pouvait pas percer le chiffrement de l’iPhone (le code PIN entre dans la composition de la clé), mais elle pouvait accéder aux informations dans iCloud si elles avaient été synchronisées. Dans le second cas, l’implémentation d’une porte dérobée est obligatoire.
Le cas WhatsApp illustre les tensions actuelles
La question se pose surtout pour les services qui ont fait du chiffrement de bout en bout la sécurité par défaut de leurs communications. Parmi les applications les plus couramment utilisées, WhatsApp en est clairement le porte-étendard. Dans ce mode, l’éditeur ne possède pas la clé, ne devenant alors qu’un relais pour des informations chiffrées avant même qu’elles ne quittent le smartphone. Les caractéristiques matérielles de ce dernier servent d’ailleurs à composer la clé de chiffrement.
On rappellera que cet aspect a entrainé des problèmes pour WhatsApp, notamment au Brésil et au Royaume-Uni. À chaque fois, le problème est le même : des données sont réclamées, WhatsApp est dans l’incapacité de les fournir. Au Brésil, le service avait même dû subir plusieurs interruptions imposées par la justice.
Mais James Comey en est certain maintenant : « Je pense que les entreprises du numérique se rendent mieux compte aujourd’hui de l’obscurité – mon inquiétude était que la vie privée soit si importante qu’elles ne voient pas le coût pour la sécurité publique. Je pense qu’elles l’appréhendent mieux maintenant ».
Reste à voir la proposition de loi, et la manière dont les entreprises réagiront. Après les décrets anti-immigration et mesures pro-charbon de Donald Trump, elles se préparent sans doute à une nouvelle vague de protestations... comme elle l'avait fait l'année dernière devant le projet de Dianne Feinstein.
Sans parler de backdoor, le FBI souhaite quand même faciliter l’accès aux données chiffrées
-
Une situation qui ne cesse de se complexifier
-
Un énième projet de loi espérant faciliter les échanges de données
-
La même problématique, encore et toujours
-
Le cas WhatsApp illustre les tensions actuelles
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/05/2017 à 13h20
On dirait un électeur du FN en train d’expliquer qu’il n’est pas raciste, ou moi qui expliquerais que je ne trolle pas quand je me ferais sworder pour ce commentaire " />
Le 04/05/2017 à 13h23
”…notamment pour révéler les contacts fréquents d’un suspect.”
Les méta-données du fournisseur d’accès ne suffisent pas dans ce cas précis ?
(ça ne résout pas le problème de l’accès aux contenus mais bon…)
En résumé, le type dit malgré tout “on ne veut pas une backdoor mais une backdoor serait bien cool quand même”
Le 04/05/2017 à 13h27
Non, ne nous percez pas une porte pour nous… Par contre, si vous pouvez baisser la hauteur du mur d’enceinte à 50cm, ce serait super.
Il aurait fait fureur au moyen age pour les constructions de châteaux.
Le 04/05/2017 à 13h31
Le 04/05/2017 à 13h33
On est pas vendredi coco.
Le 04/05/2017 à 13h36
Le 04/05/2017 à 13h42
Le 04/05/2017 à 13h49
Le FBI ne veut pas de backdoor, il veut que les entreprises puissent fournir les données.
Après, si les entreprises sont obligées de mettre une backdoor pour fournir les données, c’est pas son problème. " />
A la question “est-ce que le FBI ne se fout-il pas un peu de notre gueule ?”, la réponse est “très certainement”.
Le 04/05/2017 à 13h55
A quand un smiley “Enfumage” sur NXI ? " />
Le 04/05/2017 à 14h29
Le 04/05/2017 à 14h39
« Je pense que les entreprises du numérique se rendent mieux compte
aujourd’hui de l’obscurité – mon inquiétude était que la vie privée soit
si importante qu’elles ne voient pas le coût pour la sécurité publique.
Je pense qu’elles l’appréhendent mieux maintenant »
Le problème est que les enquêteurs devraient utiliser d’autres moyens pour leurs enquêtes (comment faisaient-ils avant ?).
Or nous, nous n’avons pas d’autre alternative pour protéger notre vie privée.
Le 04/05/2017 à 18h16
Avec les téléphones modernes, tu as des contacts qui passe pas le GSM et donc ne voient pas sur les fadettes.
Typiquement les contacts de messagerie instantannée. On sait que tu utilises tel ou tels réseau mais pour parler à qui? Combien de temps?
Le 04/05/2017 à 18h19
Avec les téléphones modernes, tu as des communications qui ne passent pas par le GSM et donc ne se voient pas sur les fadettes.
Typiquement les contacts de messagerie instantannée et les comunications y afférents. On sait que tu utilises tel ou tel réseau mais pour parler à qui? Combien de temps?
Le 05/05/2017 à 04h23
du coup les paquets envoyés par 3/4G n’auraient pas de métadonnée ? ça me parait étrange…
(j’avoue que c’est plus chiant à tracer qu’un identifiant téléphonique mais bof)
ça laisse le cas du wifi public qui serait particulièrement compliqué (et encore)
Le 05/05/2017 à 04h27
La curiosité est un phénomène en expansion dans les forces de l’ordre." />
Le 05/05/2017 à 07h02
Sauf si les données passent par un serveur de centralisation (comme pour Whatsapp par exemple).
Le 06/05/2017 à 19h48
Le 06/05/2017 à 22h48
Contrairement aux opérateurs, ça peut être plus compliqué de récupérer les méta-données d’applications (développeurs/serveurs à l’étranger, pas forcément de logs, etc.).
Le 07/05/2017 à 14h31
Les métadonnées des paquets 3G/4G disent juste que tu communiques avec tel serveur.