Nouveau coup de boutoir contre le chiffrement de bout en bout, qui permet pour rappel aux utilisateurs de s’assurer qu’un prestataire de service ne peut pas lire ses données. Du moins s'il est correctement implémenté.
Elle assure le secret des conversations par exemple, et plus généralement de toutes les données sensibles échangées, tant au sein d’agences gouvernementales que des entreprises. Mais la technique fait débat depuis longtemps.
Les États-Unis, le Royaume-Uni, le Canada, l’Australie, la Nouvelle-Zélande (les Five Eyes, nommés en vertu d’un accord commun sur les renseignements), l’Inde et le Japon ont publié une lettre ouverte, en fait un appel à l’industrie concernée pour faciliter l’accès aux informations. En clair, ouvrir des portes dérobées.
La thématique n’a rien de nouveau. Depuis plusieurs années, des gouvernements – y compris la France – pestent contre les technologies qui bloquent le bon déroulement des enquêtes. Le terrorisme et la pédopornographie sont les deux domaines de lutte les plus souvent cités dans ce contexte.
À cause du chiffrement de bout en bout dans certains produits, les entreprises concernées sont dans l’incapacité d’obéir aux lois les obligeant à collaborer durant les enquêtes, notamment en fournissant les données réclamées.
Ce qui offre, selon la lettre ouverte, un parfait refuge aux criminels et accentue la pression sur les populations à risque, dont « les enfants sexuellement exploités ».
Les gouvernements souhaitent donc que les entreprises participent plus activement à la lutte contre les contenus illégaux, facilitent les enquêtes en coopérant davantage avec les forces de l’ordre, fournissent les données demandées dans des formats lisibles et s’engagent dans une relation de consultation avec les agences concernées… le tout sans porter atteinte à la sécurité publique.
Mais comme nous l’avons expliqué à maintes reprises, on ne peut avoir le beurre et l'argent du beurre. Les gouvernements réclament des portes dérobées dans le chiffrement de bout en bout des services de communication, des appareils, d’applications spécifiques et de plateformes intégrées. Mais une fois ces portes ouvertes, le risque qu’un tiers les découvre par hasard est grand.
En matière de sécurité, les gouvernements demandent l’équivalent de l’endroit où est caché la clé. Si un pirate découvre qu’elle est sous le paillasson, les dégâts potentiels sont vertigineux. Le vieux rêve de la porte dérobée accessible seulement à quelques-uns continue.
Commentaires (20)
#1
en gros ils demandent accès aux clés stockées sur les terminaux.
facebook avait envisagé un autre truc, qui consistait à scanner sur le terminal les images échangées sur Messenger pour détecter du pédoporn, du coup sans vraiment créer de backdoor.
le coup du pédoporn pour ouvrir les portes, c’est d’un classique. ^^
entre toutes les lois sécuritaires, l’attaque contre le chiffrement E2E, et Qanon, tout le monde l’utilise pour choquer et faire passer son message.
#1.1
+10
Et pour une fois, l’idée de Facebook si elle est basée sur un algo exécuté localement sans remontée de métadonnées sur les images scannés, c’est une excellente idée pour faire une clef de bras à ceux qui utilisent l’argument.
#1.2
Vu les ratés de l’ensemble de ces algoritmes, j’attends avec impatience les convocations en GAV parce que tu as des photos de ton neveu de 3 ans qui se ballade cul nul à côté de la piscine en vacance.
#1.3
Non.
Les pédophiles n’auront qu’à utiliser des terminaux qui n’exécutent pas le code de détection de la pédophilie.
Je ne comprends même pas comment on a pu avoir l’idée de dire que la solution c’était que les criminels se dénoncent.
C’est de l’affichage par Facebook.
Note: ce qui précède ne veut pas dire que je valide le concept de backdoors gouvernementales. Il a été expliqué jusqu’à l’épuisement que cela ferait plus de mal que de bien, et je suis d’accord avec ces explications.
#2
Nous vivons donc dans un monde où même les lecteurs de NXI préfèrent exécuter localement du code écrit par Facebook plutôt que de confier des moyens de déchiffrement à leur gouvernement.
Victoire écrasante des GAFA.
#2.1
On vit plutôt dans un monde où 127.0.0.1 préfère coller des backdoor dans les méthodes de chiffrement de bout en bout au profit de tous les gouvernements (et de tous les autres acteurs avec la capacité d’en profiter) plutôt que de choisir librement et en connaissance de cause de laisser une boite privée exécuter un script sur son terminal, sans toucher au chiffrement.
edit: je précise que je n’adhère pas à la “solution” de FB, et qu’il ne s’agit pas de choisir entre les deux propositions.
#2.2
Si le code ne fait pas remonter de metadonnées et que le système dit juste “non j’upload pas”, tant mieux. Après s’il se trompe, tant pis pour Facebook, je n’y mettrai pas les photos de famille, ça générera moins de data et j’irai porter mon temps et mon attention ailleurs.
Donc oui, entre les deux je préfère la solution code fermé embarqué.
Android contient pas mal de modules fermés malgré aosp iOS encore plus.
#3
J’accorde un niveau ZERO de confiance à tout ce qui est décidé par FB concernant ma vie privée.
Alors quand leur “solution” c’est d’exécuter du code sur mon PC… lol.
#4
C’est pas une question de ce qu’ils font, mais de ce qu’ils ont le droit et le pouvoir de faire. Et en l’occurrence, un gouvernement peut tout faire.
Un Gafa ne peut pas nous envoyer en prison arbitrairement s’ils le veulent.
Un gouvernement, si (et s’il y a des lois pour protéger le citoyen, ils peuvent les faire sauter : rien ne leur empêche, sinon leur humanité [donc rien]).
Après un Gafa peut toujours partager les données avec un gouvernement, c’est sûr. Mais ce n’est pas non pas trop dans leur intérêt non plus (image de marque, etc.).
#5
“la pédopornographie et le terrorisme”, tellement pratique et populiste comme argument :p
#6
C’est ce que je disais. Victoire écrasante des GAFA (entités privées non-démocratiques à but lucratif) contre les gouvernements (entités publiques représentatives de la volonté du peuple) en terme d’image de confiance.
Je ne dis pas que les gouvernements sont dignes de confiance. Mais de là à leur préférer des multi-nationales dont l’objectif est clairement de faire du pognon sur le dos des utilisateurs…
#6.1
En fait, dans cette histoire, à mon sens, il ne faut faire confiance ni aux uns, ni aux autres.
D’ailleurs, le fait de dire que le gouvernement représente la volonté du peuple est aussi vrai que de dire qu’Apple se soucie de nos vies privées. C’est de la com’.
L’argument lutte contre la pédopornographie, c’est bien gentil, mais c’est comme le terrorisme, on a une justification pour un régime d’exception, et à terme, ça devient du droit commun, parce que quand même, c’est vachement bien pratique de pouvoir espionner tous les échanges chiffrés quand on veut.
Pour l’algo de Facebook, c’est la même, l’intention est peut être louable, mais comme c’est pour refourguer tes données pour vendre de la pub, c’est non.
#7
Et pis quoi encore. Ce qu’il y a sur les terminaux nous appartient. Il n’y a pas de raison qu’un tiers non étatique aille fouiller dans mes données. Sur leur propres serveurs oui pourquoi pas. On n’est pas en Chine ici
#7.1
L’idée serait pas de scanner l’intégralité du terminal, juste de vérifier toute donnée qui transite par les applications Facebook (que ça soit de l’envoi ou de la réception) de manière locale, pour pouvoir dire “la vérification est en place, du coup pas besoins de rendre vulnérable la sécurité des communication”.
Après comme toute solution il y a l’inconvénient qui est que Facebook décide (plus ou moins honnêtement) ce qui doit être vérifié manuellement et donc pas crypté/envoyé sur un service spécifique, mais au moins, la base des communication sécurisé qui est le chiffrement point à point n’est pas corrompue et ne facilitera pas la tache à n’importe quel organisation autre que Facebook d’intercepter toutes les données.
C’est comme si demain l’état décidait d’interdire tous type de serrure des portes parce que comme ça c’est plus simple pour la police de faire leurs intervention, ce qui en soit n’est pas totalement faux, mais laisse la possibilité a n’importe qui de mal intentionné d’ouvrir n’importe quel porte.
#8
le saint argument du terrorisme et de la pédocriminalité…
Puis après ça sera un autre truc, puis un autre, ect ect… on connait la chanson.
#9
Si les communications chiffrés ne sont plus possibles, c’est la porte ouverte au pillage généralisé des entreprises un tant soit peu sensible ou innovante ou à des cyberextorsions en pagaille.
Sans compter la mise à mort potentielle de la contestation politique. Je dis NON.
#10
Vu que contrairement à FaceBook, le gouvernement peut te mettre en prison pour “pensée déviante”, je préfère nettement l’option FaceBook, oui. Renseigne-toi sur la différence de pouvoirs entre un gouvernement et une entreprise, aussi grosse soit-elle, avant de poster des énormités comme ça ! Et le fait que le gouvernement soit “démocratiquement élu” n’y change rien, au vu de ce qui peut parfois sortir de la démocratie.
Enfin, à choisir, je n’autorise pas cette appli à scanner mon matériel (j’ai déjà Google qui le fait, ça suffit !)
#11
Oui comme ca les criminel utiliseront un linux phone flashé ou un terminal non connecté et on aura mis la population sur écoute pour rien.
A ce que je vois les vieux croutons en politique on toujours rien compris au technologie et au méthode de fonctionnement des criminels.
#12
“On vous ouvre un backdoor, mais vous devez promettre que vous allez régler le probleme de l’exploitation des enfants et de la pauvreté”
– “c’est promis”.
#13
Vision très, trop, simpliste.
Déjà ce n’est pas une victoire des GAFA, mais un échec de nos gouvernements successifs. A force de vouloir nous espionner “pour notre bien” et le présenter de manière si mauvaise, les gens se méfient, pas qu’en France.
Ensuite, exécuter localement un code, quelque soit sa source, sera souvent bien mieux que d’ouvrir des brèches qui pourront être exploitées par n’importe qui …
Si on continue sur le code local, on peut estimer que des chercheurs indépendants tenteront de vérifier que le code ne fait que ce qu’il est supposé faire, alors qu’ouvrir une brèche ne permet de rien vérifier ET donne l’accès complet à Facebook (dans le cas ici)… ironique quand on préfère ne pas faire tourner le code…
Bref, personnellement je ne suis absolument pas du coté des multinationales, mais je choisi des les utiliser (ou pas) en connaissance de cause, en essayant de limiter les informations que je considère comme privée que je leur partage. Et c’est pareil pour le gouvernement. Ce n’est pas parce que je n’ai rien à cacher, que je dois être à poil pour autant.