Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Chiffrement : les ministères de l’Intérieur du G7 rêvent de backdoors installées par l’industrie

Fenêtre dérobée

Chiffrement : les ministères de l’Intérieur du G7 rêvent de backdoors installées par l’industrie

Le 24 avril 2019 à 13h02

Le 5 avril dernier, le message des ministres de l’Intérieur du G7 était passé sous nos radars. Le texte prévoit des mesures très ambitieuses, sur l’autel de la lutte contre le terrorisme, pour l'instant. Au menu : des hébergeurs appelés à être de plus en plus actifs dans cette lutte et des éditeurs de solutions de chiffrement invités à installer des portes dérobées.

La réunion du G7 organisée en France début avril s’est attachée notamment à la question du terrorisme, mais aussi de l’extrémisme violent. Selon les ministres de l’Intérieur des pays réunis, « la tragédie de Christchurch a mis une fois de plus en lumière l’utilisation qui peut être faite d’Internet à des fins terroristes et d’extrémisme violent ». Avec une vidéo du tueur qui s’est répandue comme une trainée de poudre sur les réseaux sociaux.

Internet n’est pas seulement accusé de faciliter la propagation de ces contenus, il « joue (...) un rôle clef dans les processus de radicalisation terroriste et d’attaques terroristes, notamment celles perpétrées récemment dans les pays du G7 ».

Pour y répondre, les actions de prévention et de lutte « requièrent inévitablement un rôle actif de la part des gouvernements et des entreprises de l’Internet » estime le communiqué. Or, si de nombreux échanges ont eu lieu jusqu’alors, couplés à de multiples engagements, « les résultats et l’efficacité concernant le retrait de contenus demeurent encore contrastés, notamment en ce qui concerne les petites plateformes ».

Autre problématique : l’accès à la preuve numérique par les services d’enquête et les services judiciaires. « Les réquisitions judiciaires de telles preuves numériques sont souvent laissées sans réponse en raison des difficultés rencontrées par les services de sécurité pour accéder aux données, en particulier aux communications électroniques chiffrées ».

C’est à partir de ces différents constats que les ministres de l’Intérieur du G7 se sont engagés à prendre une série de décisions pour répondre à ces difficultés.

Des hébergeurs suractifs

Les services en ligne devront d’abord redoubler d’effort sur leur communication et leur transparence dans la lutte contre ces contenus, aussi bien avec les gouvernements qu’avec les internautes. Ils devront toujours plus rapidement identifier puis retirer les contenus terroristes comme les plateformes s’étaient engagées lors d’un précédent rendez-vous à Toronto. Ces sociétés doivent par ailleurs poursuivre le développement de « moyens technologiques appropriés » permettant d’aiguiser cette lutte.

Le communiqué demande ainsi des mesures proactives à ces hébergeurs, notamment pour éviter la réapparition des contenus. Un vœu qui implique nécessairement l’usage de technologies de filtrage et d’empreintes.

Ce n’est pas tout. En cas de situation d’urgence, il leur est demandé de « mettre en place des protocoles (…) pour retirer les contenus à caractère terroriste ou relevant de l’extrémisme violent, incluant des garde-fous pour préserver les informations légitimes ».

Ils veulent aussi que des chercheurs et des universitaires analysent les meilleures façons de prévenir et lutter contre l’utilisation d’Internet à des fins terroristes ou d’extrémisme violent. Du côté du public, ils réclament une « résilience numérique et médiatique par l’éducation et la formation », afin de développer la pensée critique contre les « fake news ».

Enfin, ils demandent à ce que les services en ligne mettent en avant des contrediscours afin de percer l’enfermement algorithmique autour de contenus extrémistes et terroristes.

Des solutions d'accès autorisé aux données chiffrées 

Les ministères veulent surtout encourager les entreprises de l’Internet « à mettre elles-mêmes en place des solutions d’accès autorisé à leurs produits et services, notamment aux données chiffrées ». Ces portes dérobées permettraient ensuite aux forces de l’ordre et aux autorités compétentes (donc y compris les services du renseignement) d’accéder aux preuves numériques.

Le point a visiblement divisé au sein du G8 puisque certains pays membres ont tenu à souligner « l’importance de ne pas interdire, limiter ou fragiliser les procédures de chiffrement ».

S’agissant de l’accès aux preuves, toujours, l’Allemagne, le Canada, les États-Unis, la France, l’Italie, le Japon et le Royaume-Uni, tous les pays du G7 comptent « étudier les opportunités d’une meilleure coopération judiciaire pour faire face à l’évolution du stockage des données en nuage (le « cloud »), en considérant l’adoption d’un deuxième Protocole additionnel à la Convention de Budapest sur la cybercriminalité ». L’idée ? Fluidifier ces accès pour faciliter le travail des services.

Les précédents May-Macron et Five Eyes 

Il y a deux ans, lors d’une conférence de presse commune avec Theresay May, Emmanuel Macron avait déjà exprimé sa volonté d’« améliorer les moyens d’accès aux contenus cryptés (sic), dans des conditions qui préservent la confidentialité des correspondances, afin que ces messageries ne puissent pas être l’outil des terroristes ou des criminels ».

En ce 17 juin 2017, le texte cosigné affirmait que « lorsque les technologies de chiffrement sont utilisées par des groupes criminels, voire terroristes, il doit exister une possibilité d’accès au contenu des communications et à leurs métadonnées (entourage d’un suspect, IP de connexion, sélecteurs techniques de l’utilisateur, etc.) ».

Le programme détaillé par le G7 rappelle furieusement d’autres sorties publiques, en particulier les positions des Five Eyes (Australie, Canada, Nouvelle-Zélande, Royaume-Uni et États-Unis) qui appelaient en septembre 2018 à une coopération poussée des entreprises du secteur, à charge pour elles d’« établir volontairement des solutions d’accès licites à leurs produits et services qu’ils créent ou exploitent dans nos pays ».

Le signal d'alarme du CNNum

En avril 2017, le Conseil national du numérique avait écrit au dernier ministre de l’Intérieur de l’ère Hollande pour l’alerter des « conséquences graves et non anticipées d’une limitation du chiffrement ». Matthias Fekl avait regrettait lors d’un rendez-vous européen l'absence « de base légale obligeant les opérateurs Internet à coopérer avec les autorités ». Il invitait la Commission européenne « à étudier la possibilité de légiférer en la matière ».

Le CNNUM lui répondait alors que la mise en place de « backdoors » ou autres limitations aboutirait « à un affaiblissement dommageable de la sécurité sur l’ensemble des réseaux ». Mieux, « de telles mesures auraient une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés », sachant que « limiter le chiffrement pour le grand public reviendrait alors à en accorder le monopole aux organisations qui sauront en abuser ».

Les mesures déroulées au G7 sont ciblées pour l’heure sur la lutte contre le terrorisme, mais déjà les ministres de l’Intérieur veulent aller plus loin. Ils appellent le Groupe Lyon-Rome (le premier dédié à la lutte contre le crime organisé, le second réunissant des experts de l’antiterrorisme) à évaluer la possibilité d’étendre ces engagements « à d’autres préjudices en ligne conduisant à la violence ».

Commentaires (50)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Zerdligham a écrit :



Je ne vois en effet pas pourquoi la lutte contre le terrorisme culturel serait exclu des bénéficiaires de ces saines mesures. Quoi de plus efficace qu’aller scanner le disque dur des contrevenants potentiels pour faire le décompte de leurs méfaits?





justement, c’est pas les “méfaits” qui sont comptés pour le calcul de la rcp car dédommagement par rapport aux copies illégales = recel comme indiqué par d’autres :)



“ … Quoi de plus efficace qu’aller scanner le disque dur des contrevenants potentiels bénéficiaires de l’exception au droit d’auteur effectuant une copie privée pour faire le décompte de leurs méfaits copies légales ?”


votre avatar

Je parlais bien des méfaits des vilains pirates, pas de la gentille RCP. L’usage pour compter les copies privées légales est intelligent, et absolument pas incompatible avec la chasse aux terroristes culturels.

A analyser toutefois au regard du risque important d’aboutir à des résultats moins facilement bidonnables que les études au doigt mouillé pratiquées actuellement. Il serait embarrassant de s’apercevoir que celles-ci surévaluent le réel usage de la copie privée, et d’être par conséquent obligé d’en réduire la compensation.



Edit: Pour couvrir ceci efficacement, je suggère une liste d’acteurs autorisés à utiliser ces accès comme bon leur semble, liste pouvant être étendue par simple décret (pas besoin d’emmerder l’assemblée avec ça)

votre avatar

encore une fois le but ici est d’adresser la problématique du chiffrement MASSIF des communications (post-snowden).

une fois que tu peux déchiffrer massivement, tu peux considérer que la masse est en clair.

il te reste donc uniquement ceux qui resquillent (ie qui utilisent une méthode de chiffrement non backdooré), donc hors la loi, donc pour lesquels tu as une autre législation qui va te permettre de faire du ciblé.



je me répète sur chaque news à ce propos, mais c’est très important: le but est de distinguer entre les échanges chiffrés légitimes et les autres, afin d’identifier automatiquement les échanges intéressants pour les services.



Le fait que tout le monde chiffre apporte en effet une couche de sécurité opérationnelle aux “illégaux” (terros, crime organisé, toussa), car non seulement la communication est chiffrée (sécu des communications ou COMSEC), mais en plus ils sont noyés dans la masse (sécu opérationnelle ou OPSEC).

Si les services peuvent forcer la masse à utiliser du backdooré, ça force les autres à utiliser d’autres canaux de communication, abandonnant ainsi la partie OPSEC (ou la rendant plus difficile).



le souci ici c’est donc le chiffrement DE MASSE, pas le chiffrement.

votre avatar

Les gouvernements ont l’air d’adorer de passer par l’entrée des artistes.<img data-src=" />

votre avatar







Fab’z a écrit :



C’est bien une idée de bureaucrate…





Si les bureaucrates avaient des idées, ça se saurait.

Tout au plus ont ils des marottes, et s’en une belle, de la catégorie ‘marronnier’ (qui ressort régulièrement) :

“l’utilisation qui peut être faite d’Internet à des fins terroristes et d’extrémisme violent”

Suivant vos marottes, vous pouvez lancer des :

“l’utilisation qui peut être faite des produits chimiques à des fins terroristes et d’extrémisme violent”

“l’utilisation qui peut être faite du populisme à des fins terroristes et d’extrémisme violent”

Lâchez vous, ça marche avec plein de choses …


votre avatar







KP2 a écrit :



Mon dieu… mais qui, à un moment, peut se dire c’est une idée qui vaut la peine d’être envisagée ?





Rantanplan… euh pardon castaner entre deux shooters ?&nbsp;<img data-src=" />


votre avatar

Par moment, je me dis que les films Idiocraty et V étaient des documentaires.

votre avatar

Dixit les politiques qui utilisent Telegram à longueur de journée. Tellement drôle.

Ils en sortent de belles quand même. Vaut mieux en rire … Ils sont pas là d’y arriver.

votre avatar







crocodudule a écrit :



Rantanplan… euh pardon castaner entre deux shooters ? <img data-src=" />







Le problème est que cette idée ne date pas seulement de ce gvt… elle est bien plus ancienne…


votre avatar

“Pire que le précédent”, la devise du ministère de l’Intérieur <img data-src=" />

votre avatar

Ils vont juste tuer toutes les sociétés proposant des vraies solutions de sécurité sur notre territoire.

Après avoir ruiné la confiance dans nos hébergements nationaux ; ils sont très forts quand-même.

votre avatar



à une coopération poussée des entreprises du secteur





Comme Huawei avec le gouvernement Chinois ?

votre avatar

Je pensais que c’était du domaine réservé du président de la république ? <img data-src=" />

votre avatar

C’est un prétexte tout ça.

Comment imaginer une seconde qu’un terroriste va utiliser une app avec backdoor ? En même temps que le terroriste en herbe ira apprendre le maniement des armes, il va récupéré une une appli maison, compilée par eux avec des sources fiables et basta.

Non, les seules personnes que ça va INpacter, c’est le quidam moyen. Et à n’en pas douter, ils le savent. Alors pourquoi de telles idées ?

votre avatar

Quelques questions que je me pose





  • Comment empêcher des gouvernements étrangers d’intercepter les communications ? (USA, Chine, Russie, Maroc, Allemagne, Belgique, Cuba, Venezuela, le Vatican, …)

  • Comment faire un backdoor unique avec un chiffrement asymétrique ?

  • Comment savoir, détecter l’utilisation de la backdoor par des organismes non-gouvernementaux ?

  • La performance du-dit algorithme ?

  • Interdiction des protocoles non homologués ? Sanction ?

  • Fin du VPN comme en Russie et en Chine ?

  • Obligation des CAs de livrer une copie des clés ?

  • Obligation des hébergeurs de livrer une copie des clés ?



    [TROLL]



  • &nbsp;À quand le Grand Firewall européens ?



    [/TROLL]

votre avatar

Le chiffrement asymétrique avec la clé publique ou privée ? <img data-src=" />

votre avatar

Faut pas croire, ils crachent tous sur la Chine et son Great Firewall, mais ils rêvent tous de le mettre en place…



Ainsi, fini les journalistes gênants, fini les news gênantes qui sortent, fini les attaques contres les potes, fini les gilets jaunes, fini les… (la liste est trop longue pour que je la complète, ne serait-ce qu’en France, alors dans le monde…).

votre avatar







skankhunt42 a écrit :



Surtout quand de l’autre côté tu laisse un mec de 29 fiché S en liberté alors que condamné 27 fois dans trois pays différent avec 67 antécédents judiciaire au compteur. A un moment donné c’est surtout la justice les terroristes…





La justice fait ce que l’Etat lui a demandé de faire : maintenir la paix sociale, à n’importe quel prix. D’où cette impression qu’elle s’écrase face aux violents et autres délinquants. Il ne faudrait pas trop les énerver, ils pourraient faire pire… et de toute façon on n’a plus de places en prison formateur de criminels paraît-il <img data-src=" />



Sauf que la colère monte à force entre ce genre de conneries et tout le reste… Et si on ajoute la bétise habituelle à coup de SJW qui empêchent d’agir par pression médiatique, ou de débiles qui invitent les policiers au suicide, on n’a pas fini.



Et de fait le citoyen lambda devient un ennemi potentiel, si ce n’est même le seul véritable ennemi de l’Etat. Car à force de s’énerver ou de sombrer dans la bêtise, lui et d’autres pourraient monter une révolte totale… D’où les TES et compagnie.



On tourne à l’Etat policier parce que l’Etat est devenu impuissant à assurer l’ordre, et est devenu incapable de former l’esprit civique des citoyens.


votre avatar

Bonjour,



Je suis lent ce matin, tu peux préciser ta pensée?

votre avatar
votre avatar







pha13 a écrit :



Bonjour,



Je suis lent ce matin, tu peux préciser ta pensée?







c’est pourtant évident, rajouter une backdoor c’est une idée de merde.


votre avatar

Les gens qui bossent à la justice pourrait très bien rejoindre le mouvement des gilet jaunes ou simplement organiser leur propre grève au lieu de subir en permanence. Pour le reste je suis entièrement d’accord mais le problème de ce laxisme ambiant est que ça ne donne pas une bonne image pour les gens normaux ce qui pourrais les pousser vers une escalade de la violence vu qu’ils ne risquent rien.



Personnellement j’ai vraiment peur pour l’avenir, de voir le paix sombrer de plus en plus jusqu’a un point de quasi non retour :/ . Rien qu’autour de moi avec mes connaissance proche qui ont fait de hautes études, tout le monde c’est tiré du pays et ne veut pas revenir.

votre avatar

Ceux qui ne comprennent pas qu’on peut chiffrer un message avant de le poster - ce que tous les terroristes savent - et que même avec une porte dérobée, on se retrouve quand même avec un message illisible.



Ou ceux qui font semblant de ne pas le comprendre.

votre avatar







mrintrepide a écrit :



Comment empêcher des gouvernements étrangers d’intercepter les communications ? (USA, Chine, Russie, Maroc, Allemagne, Belgique, Cuba, Venezuela, le Vatican, …)





Hors-sujet. L’objectif est précisément de le permettre, pas de l’empêcher.

Si tu parles du fait qu’un pays ne voudra pas qu’on espionne les conversation de son armée (par exemple), ils prévoiront certainement une exception à l’obligation de backdoor pour les ‘gentils’ (aka eux-mêmes)







mrintrepide a écrit :



Comment faire un backdoor unique avec un chiffrement asymétrique ?





Un principe de chiffrement de fichier multi-clé publiques est le suivant :

On tire une clé aléatoire. On chiffre le fichier avec un algo symétrique robuste (plus perf que les algos asymétriques). On chiffre la clé symétrique avec toutes les clés publiques qu’on souhaite. On concatène la liste des clés chiffrées avec le fichier chiffré symétrique pour former le fichier chiffré

Ainsi quand tu as une des clés privées valides, tu peux déchiffrer la clé symétrique et récupérer le ficher.



Il suffirait que tous les logiciels de chiffrement appliquent ce principe en chiffrant systématiquement avec la clé publique du destinataire légitime, mais aussi celles des heureux possesseurs de backdoor.



Cela étant, je pense que ce que les gouvernements ont en tête, c’est plutôt la mort du bout en bout et le backdoor chez le fournisseur de service.







mrintrepide a écrit :



Comment savoir, détecter l’utilisation de la backdoor par des organismes non-gouvernementaux ?





Pourquoi faire? Le but n’est pas la sécurité, mais l’espionnage.







mrintrepide a écrit :



La performance du-dit algorithme ?





Si c’est le principe que j’ai décrit plus haut qui est appliqué, marginalement différent de ce qui se fait aujourd’hui







mrintrepide a écrit :



Interdiction des protocoles non homologués ? Sanction ?





Obligé.

Niveau sanctions, vu que l’objectif est de dissuader des candidats à l’attentat suicide, il va falloir y aller franco. Je ne vois que la torture (sur la famille éventuellement).







mrintrepide a écrit :



Fin du VPN comme en Russie et en Chine ?





Mais non, cessez donc ce discours anxiogène. Les VPN seront toujours autorisé, il suffira de prendre ceux homologués avec backdoor.







mrintrepide a écrit :



Obligation des CAs de livrer une copie des clés ?





Difficilement imaginable, ils ne devraient jamais les avoir.

Ou alors c’est le combo de la faille de sécurité (on peu piquer les clés au choix au propriétaire du backdoor ou à la CA)







mrintrepide a écrit :



Obligation des hébergeurs de livrer une copie des clés ?





Semble nettement plus intéressant, mais pourquoi se limiter aux clés?

Il me semble que pour ne pas faire les choses à moitié, il vaudrait mieux prévoir un accès root non désactivable aux autorités sur toute machine. Comme ça ils peuvent piquer les clés, mais aussi faire ce que bon leur semble pour lutter efficacement contre le terrorisme.


votre avatar

Même si ça se fait, que les solutions de chiffrements sont toutes vendues avec des backdoors, qu’est ce qui empêchera l’utilisation de protocoles de chiffrements libres ?

votre avatar







darkbeast a écrit :



c’est pourtant évident, rajouter une backdoor c’est une idée de merde.







<img data-src=" />


votre avatar







GruntZ a écrit :



“l’utilisation qui peut être faite des produits chimiques à des fins terroristes et d’extrémisme violent”





C’est déjà le cas avec l’interdiction de remplir des bidons d’essence, les feux d’artifices, etc, avant certaines manifestations ou célébrations.


votre avatar

J’avais entendu dire que l’on ne chiffrait pas avec la clé publique, que c’était uniquement avec les clés privées.

&nbsp;

&nbsp;Si je te comprend, en somme, on chiffre avec sa clé privée (générée aléatoirement ou pas) et l’on chiffre de nouveau avec la clé publique que l’on souhaite ?

votre avatar

Il faut bien distinguer l’algorithme de chiffrement asymétrique lui-même, et les protocoles complets mis en œuvre en pratique.



Au niveau de l’algorithme de chiffrement, par construction, la partie publique sert à chiffrer, et la partie privée à déchiffrer. Cela permet à n’importe qui de chiffrer le message, tout en étant certain que seul le destinataire pourra le déchiffrer.

L’inverse signifierait qu’une seule personne peut chiffrer mais que tout le monde peut déchiffrer, ce qui ne permet absolument pas de masquer les communications, mais est très utile dans un autre domaine, celui de la signature cryptographique (ou signature numérique, ou signature électronique, c’est la même chose).



Au niveau du protocole complet, on a généralement un échange du genre:

1- mon message: “coucou”

2- je génère une clé aléatoire: zuibhzcçai

3- je chiffre mon message avec cette clé avec un algo symétrique: ezdoifesdovf

4- je chiffre la clé avec un aglo asymétrique, en utilisant la clé publique de mon destinataire: dzofqrjoe

5- j’envoie le message suivant: clé=dzofqrjoe, message=ezdoifesdovf

6- mon destinataire reçoit le message, il déchiffre la partie ‘clé’ avec sa clé privée et obtient zuibhzcçai, la clé que j’ai générée aléatoirement

7- Il utilise ce résultat pour déchiffrer la partie ‘message’, et retrouve mon “coucou”



Quand tu dis “J’avais entendu dire que l’on ne chiffrait pas avec la clé publique, que c’était uniquement avec les clés privées.”, c’est probablement de zuibhzcçai, la clé de l’algo symétrique qu’il est question, mais pas de la clé privée de l’algo asymétrique.

L’essentiel du message étant chiffré avec cette clé, qui n’est pas publique, ça rend vraie l’affirmation (à un pinaillage vocabularistique près, c’est que généralement on ne parle de clé privée ou publique que pour les algo asymétrique, et plutôt de ‘clé secrète’ pour un algo symétrique).



Pourquoi faire aussi compliqué et ne pas tout simplement tout chiffrer avec un algorithme asymétrique? pour la perf. Les algos symétriques dont beaucoup, beaucoup plus rapides que les algos asymétriques. On les combine donc pour avoir les avantages de l’asymétrique (pas besoin d’échanger les clés à l’avance), tout en chiffrant le gros du volume avec le symétrique.



(en pratique il y a plein d’autres choses à faire d’autre choses, comme se mettre d’accord sur les algos qu’on utilise, s’assurer que la clé publique que j’utilise est bien celle de mon destinataire, qu’un petit rigolo ne change pas le contenu de mon message en chemin…)

votre avatar







skankhunt42 a écrit :



Les gens qui bossent à la justice pourrait très bien rejoindre le mouvement des gilet jaunes ou simplement organiser leur propre grève au lieu de subir en permanence.







Ils ont eu leur diplôme et leur emploi en prouvant toute leur vie leur soumission au système en place, donc ne compte pas trop là-dessus <img data-src=" />


votre avatar







Zerdligham a écrit :



Hors-sujet. L’objectif est précisément de le permettre, pas de l’empêcher.

Si tu parles du fait qu’un pays ne voudra pas qu’on espionne les conversation de son armée (par exemple), ils prévoiront certainement une exception à l’obligation de backdoor pour les ‘gentils’ (aka eux-mêmes) &nbsp;



&nbsp;



Zerdligham a écrit :



Pourquoi faire? Le but n’est pas la sécurité, mais l’espionnage.



&nbsp;

Donc toutes personnes détentrice d’une copie des clés, que ce soit la Corée du Nord ou Wikileaks peut théoriquement s’amuser à déchiffrer les communications mondiales préalablement enregistrées ? (Hors États)

Le payement en ligne ? L’authentification ?



SI les entreprises ne sont pas concernées, comment différencier les connexions ? Si ledit terroriste utilise une connexion d’entreprise (offre pro) ? Ou est un autoentrepreneur start-upeur ?



Zerdligham a écrit :



Cela étant, je pense que ce que les gouvernements ont en tête, c’est plutôt la mort du bout en bout et le backdoor chez le fournisseur de service.





Effectivement, c’est le plus simple. L’État n’a rien à faire. C’est à l’hébergeur de respecter la loi.



&nbsp;



Zerdligham a écrit :



Mais non, cessez donc ce discours anxiogène. Les VPN seront toujours autorisé, il suffira de prendre ceux homologués avec backdoor.





Selon mon point de vu, je vois l’interdiction des versions actuelles d’openvpn et de wireguard



&nbsp;





Zerdligham a écrit :



Semble nettement plus intéressant, mais pourquoi se limiter aux clés?

Il me semble que pour ne pas faire les choses à moitié, il vaudrait mieux prévoir un accès root non désactivable aux autorités sur toute machine. Comme ça ils peuvent piquer les clés, mais aussi faire ce que bon leur semble pour lutter efficacement contre le terrorisme.





Je comprends par “toute machine” les serveurs des hébergeurs, sinon le Grand Firewall Chinois, c’est du pipi de chat.


votre avatar







mrintrepide a écrit :



Donc toutes personnes détentrice d’une copie des clés, que ce soit la Corée du Nord ou Wikileaks peut théoriquement s’amuser à déchiffrer les communications mondiales préalablement enregistrées ? (Hors États)

Le payement en ligne ? L’authentification ?





Les clés pourraient être par pays (les logiciels de chiffrement autorisés en France contienne le backdoor français)

Mais s’il y a un sujet où toutes les puissances du monde sont d’accord, c’est sur la nécessité d’espionner leurs citoyensterroristes, donc des coopérations ne sont pas à exclure. Ça semble d’ailleurs plus raisonnable, pour ne pas avoir à s’enquiquiner à gérer des tas de clés.

Je ne vois a priori pas de raison de limiter le champ de cet espionnage. pour l’exemple des paiements en ligne, on pourrait par exemple imaginer que l’état les croise avec les données des impôts, aidant ainsi à lutter contre le terrorisme fiscal.







mrintrepide a écrit :



SI les entreprises ne sont pas concernées, comment différencier les connexions ? Si ledit terroriste utilise une connexion d’entreprise (offre pro) ? Ou est un autoentrepreneur start-upeur ?





Attention, j’ai cité la défense, pas les entreprises, l’état saura espionner ses employés sans backdoor. Mais il est vrai que contrairement à l’espionnage du citoyenterroriste, l’espionnage industriel suscite quelques désaccord entre états.

Je vote pour gérer ceci via une obligation réglementaire appliquée aux entreprises d’espionner ses employés pour le compte de l’état, et seulement dans ce cas l’autoriser à utiliser des outils de chiffrement sans backdoor.



Ensuite je me permet de rappeler que le terrorisme est à brandir comme prétexte, mais qu’il est inconvenant de s’interroger sur l’efficacité des mesures envisagées sur le terrorisme. Cette discussion a pour objet de rechercher des solutions élégantes à un problème d’espionnage du citoyenterroriste, pas de les remettre en cause.







mrintrepide a écrit :



Selon mon point de vu, je vois l’interdiction des versions actuelles d’openvpn et de wireguard





Grave erreur de raisonnement. Faire l’inventaire de ce qui est interdit, c’est bien trop compliqué. Il faut tout interdire par défaut, et autoriser ce qui est homologué backdoor-compatible.

Au besoin, faire appliquer l’interdiction par un mécanisme de DPI porté par les opérateurs de réseau, qui vont vérifier que le flux correspond bien à un flux autorisé.







mrintrepide a écrit :



Je comprends par “toute machine” les serveurs des hébergeurs, sinon le Grand Firewall Chinois, c’est du pipi de chat.





C’est ce que j’avais écrit au départ, avant de réaliser mon coupable manque d’ambition.

Pourquoi s’arrêter aux hébergeurs? il suffirait que toutes les machines vendues bénéficient d’un backdoor sur la carte mère (j’y connais rien en bas-niveau, mais s’il faut faire une intervention hardware, ça devrait limiter le nombre de marginaux qui essaieront de s’en affranchir)

Ainsi, les citoyensterroristes seront gérés même s’ils persistent à essayer de faire du bout-en-bout



Quand on y réfléchit d’ailleurs, ces attaques contre le chiffrement, c’est un cruel manque de vision. Si on est root partout, on se fiche bien que les utilisateurs chiffrent.


votre avatar

Ce qu’ils veulent, ce sera présenté comme une innovation: DRM sur toutes les communications. Du mail aux traitements de texte, pour être sur de la confidentialité. Les droit seront gérés par une procédure de login universelle. Pour le moment, on a 3 candidats possibles vu le nombre de comptes: Microsoft, google ou Facebook.



Ca passera, vous verrez… :-(

votre avatar







Zerdligham a écrit :



&nbsp;il suffirait que toutes les machines vendues bénéficient d’un backdoor sur la carte mère (j’y connais rien en bas-niveau, mais s’il faut faire une intervention hardware, ça devrait limiter le nombre de marginaux qui essaieront de s’en affranchir)&nbsp;



Intéressant, mais en pratique je ne vois pas comment faire ça: Il faudrait que cette backdoor “connaisse” intimement tous les OS , et que ces derniers restent assez stable dans leur fonctionnement. Ou alors, il faudrait que cette backdoor dispose d’un second niveau plus dynamique pour mise à jour périodique.



Difficile à garder discret…



&nbsp;



&nbsp;





mrintrepide a écrit :



Selon mon point de vu, je vois l’interdiction des versions actuelles d’openvpn et de wireguard&nbsp;





&nbsp;Et plus généralement de tout logiciel passé ou a venir qui implémente un algorithme.&nbsp;

SSH a un mode tunnel , il existe tinc, iodine, ….&nbsp;



La loi est une chose, que ce soit applicable en est une autre.&nbsp;

Et là, à moins de revenir à un système de “store d’appli certifié” avec un système pour empêcher d’installer autre chose sur les PC (quelque soit l’OS, y compris passé), ben… (et même dans ce cas-là, Google & Apple arrivent pas toujours à repérer des logiciels malveillants, alors…) . Et comment on fait pour les PC qui existent aujourdhui ? on envoie la milice pour les détruire ?&nbsp;



On peux bien sur criminaliser à qui mieux mieux, mais on peux pas empêcher l’usage.&nbsp;

Les terroristes en auront rien a foutre (enfin , si : Je suis sur, par exemple, que greenpeace & sea shepard sont tous 2 classé “terroriste” chez tous les flics du monde, et l’immense majorité des juges),&nbsp; donc rien que ça, ça montre que la mesure vise effectivement le contrôle de la population lambda , en amont de tous troubles sociétaux.



Dernier point : On prends les paris pour savoir en combien de temps les ayant-droit vont demander à bénéficier des mêmes mesures, arguant que “si on peux faire ça contre le terrorisme, pkoi on pourrait pas contre le piratage” ?


votre avatar







OB a écrit :



Intéressant, mais en pratique je ne vois pas comment faire ça: Il faudrait que cette backdoor “connaisse” intimement tous les OS , et que ces derniers restent assez stable dans leur fonctionnement. Ou alors, il faudrait que cette backdoor dispose d’un second niveau plus dynamique pour mise à jour périodique.

Difficile à garder discret…





Si on a un accès au stockage, on peut déjà faire pas mal de choses.

Et pour les rigolos qui utiliseraient des systèmes de fichiers exotiques, il n’y a qu’à briquer leur machine. Les FS, c’est comme les algos de chiffrement, c’est sur liste blanche uniquement.



Pour la discrétion effectivement on repassera, mais ce n’est pas le but. A partir du moment où c’est imposé par la loi, et qu’on a suffisamment verrouillé la chaine d’appro pour que ce soit effectif, ça n’a plus d’importance.







OB a écrit :



La loi est une chose, que ce soit applicable en est une autre. 

Et là, à moins de revenir à un système de “store d’appli certifié” avec un système pour empêcher d’installer autre chose sur les PC (quelque soit l’OS, y compris passé), ben… (et même dans ce cas-là, Google & Apple arrivent pas toujours à repérer des logiciels malveillants, alors…) . Et comment on fait pour les PC qui existent aujourdhui ? on envoie la milice pour les détruire ?





Exactement. Google et Apple sont faibles, ils autorisent par défaut et essaient de détecter pour bloquer les logiciels malveillants. En procédant par liste blanche, il est beaucoup plus facile de bloquer tous les logiciels malveillants.

Je rappelle que la liberté sert avant tout aux terroristes.



Pour l’existant, on peut appliquer la demi-mesure de faire bloquer par l’opérateur qui ne viendrait pas d’un matériel certifié. Les citoyens terroristes seraient ainsi fortement incité à renouveler leur matériel.

Cadeau-bonus, ça crée de l’emploi pour tout changer.







OB a écrit :



On peux bien sur criminaliser à qui mieux mieux, mais on peux pas empêcher l’usage.





Il y aura toujours des marginaux qui trouveront des contournements partiels. Mais si tous les bons citoyens sont transparents, il sera beaucoup plus facile de les trouver.

D’ailleurs pour bien faire, il faudrait commencer à investir lourdement dans la lutte contre la stéganographie. Heureusement, la gestion des logiciels en liste blanche permettra d’en contrôler la diffusion.







OB a écrit :



Dernier point : On prends les paris pour savoir en combien de temps les ayant-droit vont demander à bénéficier des mêmes mesures, arguant que “si on peux faire ça contre le terrorisme, pkoi on pourrait pas contre le piratage” ?





Je ne vois en effet pas pourquoi la lutte contre le terrorisme culturel serait exclu des bénéficiaires de ces saines mesures. Quoi de plus efficace qu’aller scanner le disque dur des contrevenants potentiels pour faire le décompte de leurs méfaits?


votre avatar

Le terrorisme a bon dos, une fois de plus…

votre avatar

comprendront jamais que si y’a une ouverture, c’est plus sécurisé <img data-src=" />

votre avatar







Furanku a écrit :



Le terrorisme a bon dos, une fois de plus…





Surtout quand de l’autre côté tu laisse un mec de 29 fiché S en liberté alors que condamné 27 fois dans trois pays différent avec 67 antécédents judiciaire au compteur. A un moment donné c’est surtout la justice les terroristes…


votre avatar

Le terrorisme c’est cracra. Le terrorisme c’est vilain. Le terrorisme cause la fonte des neiges, la mort des ours blancs tout mignons, la faim dans le monde, et Dora l’exploratrice. Vraiment… on en fait pas assez contre le terrorisme. Parce que le terrorisme c’est pas bien. Et ce qui est pas bien, c’est cracra et vilain. Nah !



C’était un message du niveau des anti-libertaires du moment. J’en fais à peine trop.

votre avatar

Mon dieu… mais qui, à un moment, peut se dire c’est une idée qui vaut la peine d’être envisagée ?

votre avatar

Disons que cette fois ci c’est pas la faute des pédo-pirates-nazi violeur de bébé phoques.



Le bouc émissaire tourne.



@KP2

un politicien. What else ©

votre avatar

Ils ne sont pas assez compétents pour s’infiltrer dans un système informatique qu’ils ont besoin d’un tapis rouge ?

votre avatar

Et contre les Fakes news :

“la candidate de&nbsp;LREM aux européennes est une ancienne candidate d’extreme droite”

Est-ce une fake news ?

Ou bien une news que certains aimeraient étouffer ?

Ou bien une vraie news qui doit être connue du plus grand nombre ?

votre avatar

Le terrorisme est bien pratique pour justifier la mise en place d’un État policier…

votre avatar

J’ai cru lire “pensée critique” ?

Mais on va se rendre compte que tous nos politiques nous mentent avec de l’esprit critique !

Il faudra former les gens à résister aux fake news mais en laissant la porte ouverte aux bullshit provenant de nos politiques ?



C’est comme pour le chiffrement, il faut une backdoor, hein ?

votre avatar







tiret a écrit :



Le terrorisme est bien pratique pour justifier la mise en place d’un État policier…





+1


votre avatar

Non, non non <img data-src=" /><img data-src=" />



Il n’est pas possible de garantir qu’une porte dérobée ne sera utilisée que par la police, et a fortiori d’une police respectueuse des droits de la défense.

votre avatar

C’est bien une idée de bureaucrate…

votre avatar







robertlepreux a écrit :



Et contre les Fakes news :

“la candidate de LREM aux européennes est une ancienne candidate d’extreme droite”

Est-ce une fake news ?

Ou bien une news que certains aimeraient étouffer ?

Ou bien une vraie news qui doit être connue du plus grand nombre ?



Quand le comportement du grand chef des LREM et ses chiens de garde se rapproche de l’ED, ce n’est pas vraiment une fakenews que les autres fassent de même…


votre avatar



améliorer les moyens d’accès aux contenus cryptés&nbsp;(sic), dans des

conditions qui préservent la confidentialité des correspondances



<img data-src=" />

Chiffrement : les ministères de l’Intérieur du G7 rêvent de backdoors installées par l’industrie

  • Des hébergeurs suractifs

  • Des solutions d'accès autorisé aux données chiffrées 

  • Les précédents May-Macron et Five Eyes 

  • Le signal d'alarme du CNNum

Fermer