Chiffrement et accès des autorités : un projet de résolution du Conseil de l’UE en quête de solution magique
Le 09 novembre 2020 à 09h44
3 min
Droit
Droit
« Sécurité grâce au chiffrement, la sécurité malgré le chiffrement ». Le chiffrement de bout en bout est l’objet d’un projet de résolution du Conseil de l’Union européenne. S’il est sans valeur juridique, le document entend refléter les commentaires reçus des États.
« Il existe des cas où le chiffrement rend l'analyse du contenu des communications dans le cadre d'accès aux preuves électroniques, extrêmement difficile ou pratiquement impossible malgré le fait que l'accès à ces données soit légal », indique le document daté du 6 novembre 2020 et publié par le site autrichien fm4.orf.at.
« Il est donc essentiel de préserver les pouvoirs des autorités compétentes dans le domaine de la sécurité et de la justice pénale grâce à un accès légal pour mener à bien leurs tâches, prescrit et autorisé par la loi »
En quête d’un équilibre entre la nécessité de préserver ce chiffrement et un renforcement des pouvoirs de ces autorités, le projet de résolution considère que celles-ci « doivent pouvoir accéder aux données de manière ciblée, dans le plein respect des droits fondamentaux et du régime de protection des données, tout en préservant la cybersécurité ».
Les solutions techniques à trouver « doivent être conformes aux principes de légalité, de transparence, de nécessité et de proportionnalité ».
Cependant, concède-t-il, « puisqu'il n'y a pas de moyen unique d'atteindre les objectifs fixés, les gouvernements, l'industrie, la recherche et les universités doivent travailler ensemble pour atteindre stratégiquement cet équilibre ».
On est donc encore loin d’une éventuelle loi européenne sur un sujet qui concentre les attentions depuis de nombreuses années.
En 2016, l’ANSSI avait déjà souligné que vouloir à tout prix garantir l'accès aux données chiffrées, par exemple au moyen d'une backdoor, « aurait pour effet désastreux d'imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques ».
Le 09 novembre 2020 à 09h44
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/11/2020 à 10h54
J’ai bien envie de voir quel idiotie ils vont pondre contre ça.
À part une backdoor, il est toujours possible de chiffrer un message localement (PGP et compagnie) avant de l’envoyer sur une plateforme qui fait du bout en bout. Donc même s’ils arrivent à mettre en place quelque chose pour casser la partie chiffrement bout en bout, ils se retrouvent avec un message chiffré avec PGP.
La plupart des personnes potentiellement ciblés ne feront pas de chiffrement local au début, mais ils s’adaptent vite et pourrons rajouter ça dans leur process de communication. Parce que niveau adaptation, je me souviens que certains utilisaient le dossier spam des messageries pour communiquer entre-eux en utilisant exprès des termes utilisé par les spammeurs pour déclencher un classement dans le dossier spam directement ou simplement en utilisant les chats des jeux-vidéos.
Le jour où les gens passeront au chiffrement local avec des solutions open-source et compagnie, ça risque de faire encore plus mal qu’actuellement, mébon.
Le 09/11/2020 à 11h50
Ca date pas d’hier ni de chez nous : https://www.cyberscoop.com/fbi-going-dark-encryption-ari-schwartz-op-ed/ .
Les USA essaient depuis longtemps d’inclure dans les processeurs, les softs, …. des failles pour faciliter le décodage, tant de manière technique que politique.
Il existe un moyen non pas d’empêcher mais de compliquer la vie des gens dans un cadre où le principe ci-dessus est déployé partout:
C’est de s’arranger pour bloquer la transmission de tout message que t’arrive pas à décoder au niveau des FAI, avec un système de liste blanche pour les opérateurs de services “amis”.
Exemple : Tu ouvres une connexion HTTPS (ou imaps,…) avec Apple/Google/Facebook/Twitter/gouv.fr/….. : Ca passe, car ces services sont réputés “amis” et répondent systématiquement positivement aux réquiz. Ces services sont par ailleurs rendus responsable des actions de leurs utilisateurs, comme dans la loi récente (ie si les utilisateurs sur-chiffrent, à ces plate-forme de les arrêter).
Mais si tu ouvres une connexion chiffrée vers un service non connu (serveur perso, étranger, …) alors 3 cas :
Dans les 2 premiers cas, la communication est systématiquement décodée en temps réel , via des boîtiers DPI spécialisés (vendues & certifiées style Amesys), et le contenu enregistré et analysé sommairement. Dans le cas où l’entropie montre que le contenu est sur-chiffré, alors la communication est aussitôt bloquée , dans le cas contraire c’est juste enregistré.
La puissance de calcul pour réaliser cela est phénoménale, mais pas impossible avec les technos très récents à base de cartes FPGA en 100 et 400Gbps (qui sont pas obligé d’être en coupure de flux d’ailleurs, on peux imaginer un fonctionnement par échantillonnage au début).
D’autant que comme les gens vont voir que “l’internet marche mal quand on utilise pas Google & Facebook”, alors une partie des gens qui s’en foutent vont utiliser les GAFAM exclusivement, libérant ainsi du CPU pour les analyses plus poussés des gens subversifs qui continuent à utiliser d’autres services. Et enfin pour les quelques zadistes informatiques utilisant des méthodes de sténographie pour continuer à échanger de manière confidentielle, ils seront rare, et il seront aussi plus facile à surveiller, voire bloquer préventivement.
On dit merci qui ?
Le 09/11/2020 à 13h24
et on appellera ça le minitel 3.0 ?
Ce que tu décris, c’était en fait les débuts d’internet, où les seules connexions sécurisées étaient vers des services sensibles (banques, états, …) ou frauduleux. Puis les états en ont profité de manière illégale, opaque, non nécessaire et non proportionnée. Les gens se sont alors mis à chiffrer.
Le 09/11/2020 à 13h31
Alors, adieu VPN d’entreprise, VPN personnel.
Le 09/11/2020 à 14h21
Pour ça tu as la possibilité d’utiliser une table de traduction en switchant des mots du dictionnaire (les personnes concernées ayant la table) du coup tu écris des phrases françaises qui ne veulent rien dire pour le commun des mortels et hop, ça passe.
Bon après ça reste énormément contraignant à l’usage
Sinon au pire, tu mets ton message dans une image, Korben à fait des tutos là dessus.
Après ça m’étonnerais qu’ils bloquent tout comme ta solution le suggère pour la raison que c’est le bordel pour mettre ça en place, t’imagine le nombre d’entreprise avec VPN, connexion SSH etc surtout en ces temps de télétravail, le temps d’avoir l’autorisation pour ta boîte, chômage technique (même si la plupart des entreprises seraient déjà dans la clous vu que la plupart font de l’usurpation de certificat pour déchiffrer le trafic sur leur réseau).
Le 09/11/2020 à 14h31
Il y a quelques années j’avais lu que des chercheurs s’amusaient à faire communiquer des IA via twitter et un soupçon de stéganographie.
De mémoire c’était un article chez Arxiv, mais pour le retrouver comme ça, je vais avoir un peu de mal.
Le 09/11/2020 à 13h35
Qui sera bloqué ! :-)
ben c’est - il me semble - un peu ce qui se passe avec les “plateformes” , quelque soit ce qu’on regroupe sous ce terme.
Ma dystopie ci-dessus, c’est un peu ça poussé au paroxysme.
L’avènement de letsencrypt (ACME) et Snowden a légèrement accéléré ce processus… ainsi que google et les autres navigateurs qui ont commencé à faire chier dès qu’on allais sur un site non “sécurisé” .
Aujourd’hui, si tu créé un site à toi, avec un certificat à toi, ben les navigateurs considèrent que c’est une erreur (qu’il faut outrepasser).
Le 09/11/2020 à 13h47
Bah oui, c’est ce que je sous-entends.
Le 09/11/2020 à 14h33
le but est de déchiffrer la masse pour distinguer ceux qui continuent à chiffrer (et qui sont donc très intéressants).
donc dire “oui mais il suffit d’utiliser , c’est débile” ne répond pas au problème.
le problème des autorités est double:
1- les protocoles de chiffrement sont robustes et le décryptage des échanges est difficile et cher pour les services
2- tout le monde utilise ces protocoles via les messageries grand public (méchants et surtout gentils), parce que c’est facile et gratuit.
On voit que la situation est totalement déséquilibrée en large défaveur des autorités.
Il faut donc revenir à la situation pré-snowden où en gros seuls les méchants chiffrent (traitement du point 2), car les autorités savent très bien que si Whatsapp arrête de chiffrer, le grand public aura la même réaction que quand Whatsapp a déployé le chiffrement: rien à foutre.
en faisant ça on isole les méchants, et on n’a plus qu’à faire du ciblé (traitement du point 1).
on voit donc bien que dire “il suffit de faire du PGP” ne contre absolument pas la menace.
le mec qui fait ça sera 1 parmi 10 000 avec du PGP dans son message.
c’est un peu l’équivalent de contrer la vidéosurveillance en disant qu’il suffit de mettre un balaclava: c’est un peu grillé.
Donc ça suffit pas, il faut ajouter une couche de stégano ou autre. et ça, ça augmente le coût.
le but de tout ça est donc de rééquilibrer la situation en faveur des autorités en réduisant le coût pour celles-ci et d’augmenter le coût pour les méchants.
note: quand je dis méchant, c’est du point de vue des autorités. tout est relatif. ^^
Le 10/11/2020 à 05h32
A partir du moment où on peut et parfois doit déclarer sa crypto à l’anssi…
Le problème est le même qu’avec les rumeurs et fausses informations, si on sait établir un mètre étalon sociétal alors il sera plus simple de dire a priori ce qui est suspect. A défaut de chercher ce qui serait “manifestement illicite” qui ne relève que de l’appréciation des juges et non des autorités.
Là comme ailleurs, on fait la même erreur de se reposer sur une technique pour saper des responsabilités.
Préparer la jeunesse à ce nouveau mode de vie serait plus utile que de chercher à modifier des lois à partir d’une tacite situation qui arrange en réalité tout le monde…
Le 09/11/2020 à 16h20
Avant 1998, il fallait une autorisation pour utiliser des clés de plus de 40 bits.
Le 09/11/2020 à 17h19
Autant donné nos clef de chiffrement a la Chine directement ca ira plus vite et coutera moins chère.
Le 10/11/2020 à 05h38
Non. La cryptographie est libre. Ce sont les utilisateurs non-libres de whats-app ou autre qui sont dans la fange. Le chiffrement ne sert donc à rien si chacun n’a pas les mêmes droits et compétences dessus avant de parler des usages observables, d’où des abus persistants qui n’ont rien à voir avec le chiffrement pour preuve la notion de backdoor persiste, c’est bien que les “méchants” se doublent du qualificatif d”incompétents”.
Le 10/11/2020 à 08h38
Rien au sujet du DarkNet ?
Le 10/11/2020 à 09h43
Comme certain l’ont dit, le but n’est pas de supprimer toute possibilité : Le but est de compliquer la vie des gens lambda pour les pousser vers les services “coopératifs”.
Ceux qui persistent ensuite seront plus facilement espionable.
Tu sais , aujourd’hui ils ont fait passer le tour de force de devoir faire imprimer & signer un papier à chaque sortie dans la rue, par 100% de la population. Et ça passe, sans aucune opposition majeure.
Donc non, je pense que pour les boites , leur imposer
(Un peu comme pour les amendes en voitures de fonctions, ou pour le wifi dans les bars, pour citer les actualités récentes). Et là t’inquiète pas que les entreprises elles même feront, gratos, le boulot de flicage.