Le FBI a récemment fait l'actualité avec sa campagne visant à forcer les entreprises technologiques à modifier leurs méthodes de chiffrement. Comment fonctionne le chiffrement et est-il vraiment sûr? Comment fonctionne le chiffrement, et est-il vraiment sûr? En savoir plus pour faciliter l'exploration des messages des utilisateurs. Selon le FBI, c'est un changement de bon sens: après tout, les criminels comptent sur ces services cryptés pour communiquer secrètement, et la constitution leur accorde le droit de saisir des informations (comme des lettres et des documents) lorsqu'un mandat légal est présenté.
Alors pourquoi ne pas donner au FBI la possibilité de lire des documents cryptés?
Si nous ne prenons pas ces mesures, avertit le FBI, les criminels et les terroristes continueront à «faire sombre» pour déplacer leur trafic vers des plates-formes de messagerie anonymes qui ne peuvent pas être surveillées avec précision. Cela, disent-ils, laisse l'équilibre du pouvoir entre les mains de mauvaises personnes. Le gouvernement du Royaume-Uni a fait des avertissements similaires Pourquoi Snapchat et iMessage pourraient être interdits au Royaume-Uni Pourquoi Snapchat et iMessage pourraient vraiment être interdits au Royaume-Uni Parlant à une salle pleine de militants du parti à Nottingham, le Premier ministre David Cameron a déclaré que le cryptage de la messagerie serait interdit si son parti obtenait la majorité à la prochaine élection générale. Lire la suite .
Selon le directeur du FBI James Comey:
"L'OM de l'EIIL doit diffuser sur Twitter, amener les gens à les suivre, puis les déplacer vers Twitter Direct Messaging" pour évaluer s'ils sont une recrue légitime, a-t-il dit. "Ensuite, ils vont les déplacer vers une application de messagerie mobile cryptée afin qu'ils deviennent sombres pour nous."
Le FBI ne bavarde pas non plus. La prochaine bataille dans la guerre de confidentialité se déroule, en grande partie secrète, chez Apple, Inc. Le PDG, Tim Cook, a fait des déclarations de plus en plus fâchées sur la vie privée des utilisateurs, y compris ce qui suit:
"Il y avait des rumeurs et des choses écrites dans la presse que les gens avaient des backdoors sur nos serveurs. Rien de tout cela n'est vrai. Zéro. Nous ne permettrions jamais cela. Ils devraient nous mettre dans une boîte avant que nous fassions cela. "
Des rumeurs circulent depuis un certain temps que le FBI tente de faire pression sur l'entreprise pour qu'elle ajoute des «back-doors» au cryptage de ses produits et services (comme l'iPhone et l'iMessaging). Maintenant, il y a des preuves publiques que cela se produit. Le ministère de la Justice a émis une ordonnance de la cour à Apple, exigeant qu'ils retournent des journaux de messagerie en temps réel entre deux suspects dans une affaire de crimes avec arme à feu et drogue. Apple a refusé, disant que même s'ils ne peuvent pas déchiffrer le cryptage des utilisateurs - après tout, c'est le but.
La réponse du FBI et du DoJ a été qu'ils envisagent de poursuivre Apple en justice - probablement pour essayer d'obtenir une ordonnance du tribunal pour forcer l'entreprise à cacher leur cryptage. ZDNet prévient que si cela se produit, Apple pourrait être forcé de capituler. Ce ne serait pas la première fois qu'une telle chose s'est produite: en 2014, Yahoo a finalement pu discuter de ses tractations secrètes avec la PRISM, le programme de surveillance du gouvernement révélé par Edward Snowden Hero ou Villain? NSA modère sa position sur Snowden Hero ou Villain? La NSA modère sa position sur Snowden Le dénonciateur Edward Snowden et le John DeLong de la NSA ont participé à un symposium. Bien qu'il n'y ait pas eu de débat, il semble que la NSA ne considère plus Snowden comme un traître. Qu'est-ce qui a changé? Lire la suite, au début des années 2000. Quand il a refusé de donner des informations sur les utilisateurs, Yahoo a été confronté à d'énormes amendes secrètes - 250 000 $ chaque jour, doublant chaque mois. Par contexte, l'amende journalière aurait dépassé le PIB mondial de 74 billions de dollars en un peu plus de deux ans.
Problèmes d'implémentation
Même en ignorant les diverses préoccupations morales et constitutionnelles avec ce genre de chose, il y a aussi beaucoup de problèmes techniques avec la proposition. Depuis que le FBI a commencé à faire pression pour leur backdoors de cryptage, un certain nombre de chercheurs en sécurité se sont manifestés pour signaler certaines failles fondamentales dans tout le concept.
Pour commencer, n'importe quel expert en sécurité courant vous dira que les «backdoors sécurisés» que Comey veut n'existent pas réellement. Le directeur de la Federal Trade Commission a déclaré catégoriquement que la proposition est une mauvaise idée. Il n'y a aucun moyen de laisser une porte dérobée dans n'importe quel schéma de chiffrement fort sans endommager sérieusement la sécurité globale. Les cryptosystèmes qui ont cette propriété n'existent tout simplement pas . La cryptographie n'est pas quelque chose qui peut être voulu.
TechDirt a un article assez merveilleux qui déchire cette idée. Une citation de choix:
"C'est assez impressionnant que Comey insiste sur le fait que ces esprits brillants dans la Silicon Valley peuvent saupoudrer de la poussière de lutin magique et lui donner ce qu'il veut, mais affirme en même temps qu'il est trop difficile pour le FBI de quantifier le problème. le cryptage est pour ses enquêtes. En outre, il ne peut même pas fournir un seul exemple réel où le cryptage a été un réel problème. "
Même si un tel système pouvait être créé, il y a un autre défaut sérieux: nous donnerions cette clé au gouvernement . Le même gouvernement qui ne peut même pas garder ses propres dossiers personnels en sécurité Qu'est-ce que l'OPM Hack, et qu'est-ce que cela signifie pour vous? Qu'est-ce que l'OPM Hack, et qu'est-ce que cela signifie pour vous? Depuis plusieurs semaines, les nouvelles de l'Office of Personnel Management (OPM) ne cessent d'empirer, à la suite d'un hack de proportions historiques. Mais qu'est-ce qui s'est réellement passé et que pouvez-vous y faire? Lire la suite, et est allé des mois ou des années sans se rendre compte qu'ils avaient été piratés. Edward Snowden, un entrepreneur, est sorti avec des détails sur les transactions les plus sensibles de la NSA. Combien d'heures pensez-vous qu'il faudrait au gouvernement chinois pour obtenir une copie de la clé? Combien de jours jusqu'à ce qu'il apparaisse sur le réseau sombre Comment trouver des sites d'oignon actif et pourquoi vous pourriez vouloir trouver des sites d'oignon actifs et pourquoi vous pourriez vouloir sites d'oignon, ainsi nommé parce qu'ils se terminent par ".onion", sont hébergé en tant que services cachés de Tor - un moyen complètement anonyme d'héberger des sites Web. Lire la suite et tout hacker semi-compétent peut accéder au compte bancaire de quelqu'un? Les normes de sécurité informatique au sein du gouvernement américain ne sont même pas assez proches pour leur confier la sécurité de l'Internet entier.
Faux objectifs
Cependant, il y a un problème plus vaste qui va directement au coeur de tout l'argument: à savoir que ces types de portes dérobées ne résolvent pas vraiment le problème dont le FBI est censé se préoccuper. La justification du FBI repose sur des menaces sérieuses - pas de trafic de drogue et de vols de sacs à main, mais des terroristes et des trafiquants d'êtres humains. Malheureusement, ce sont les personnes qui seront le moins touchées par ces backdoors.
Les terroristes et les criminels n'ignorent pas le cryptage. Ceux qui utilisent le cryptage le font exprès pour éviter la surveillance. Il est naïf de penser qu'ils ne remarqueront pas quand le FBI réussira à obtenir une sorte de porte dérobée. Les terroristes et les marchands d'armes ne vont pas simplement continuer à utiliser un iMessenger backdoored - ils vont passer à des programmes de chat cryptés Comment sécuriser et crypter vos chats de messagerie instantanée Comment sécuriser et crypter vos chats de messagerie instantanée Lire Plus développé dans d'autres pays, ou à un logiciel open-source dont ils peuvent vérifier la sécurité. Ceux qui sont vulnérables aux portes dérobées seront ceux qui sont trop mal informés pour utiliser une meilleure sécurité informatique - alias, les petits délinquants et la plupart des citoyens respectueux des lois.
Les portes dérobées cryptographiques sont beaucoup plus utiles pour espionner votre grand-mère que pour espionner l'EIIL, et le FBI le sait très probablement. Alors prenez leurs avertissements sur les terroristes avec un grain de sel de la taille de l'Utah.
Le FBI argumentera bien sûr qu'il n'y a pas de problèmes de protection de la vie privée pour les citoyens respectueux des lois. Après tout, ils auraient toujours besoin d'un mandat pour accéder à cette information, tout comme ils chercheraient votre maison ou votre classeur. Cependant, ce ne sont pas les jours non informés et innocents avant que les Snowden ne fuient.
Nous connaissons l'existence de tribunaux secrets qui émettent des mandats secrets fondés sur des preuves secrètes. Ces tribunaux ne refusent pas de délivrer des mandats, car ce n'est pas leur but. Ils sont des tampons en caoutchouc dans tous sauf le nom. Nous demander de faire confiance à notre vie privée à un tel système est activement insultant.
Bruce Schneier Expert en sécurité Bruce Schneier Sur les mots de passe, la confidentialité et la sécurité Expert en sécurité Bruce Schneier Sur les mots de passe, la confidentialité et la confiance En savoir plus sur la sécurité et la confidentialité dans notre interview avec Bruce Schneier. Lire plus exprimant une vue similaire sur son blog, Schneier sur la sécurité,
"Imagine que Comey ait ce qu'il voulait. Imaginez qu'iMessage et Facebook et Skype et tout le reste de l'Amérique aient sa porte dérobée. L'agent de l'EIIL dirait à sa recrue potentielle d'utiliser autre chose, quelque chose de sûr et non fabriqué aux États-Unis. Peut-être un programme de chiffrement de la Finlande, de la Suisse ou du Brésil. Peut-être des secrets moudjahidines. Peut-être n'importe quoi. "
Une histoire de surveillance
Ce n'est pas la première fois que diverses agences gouvernementales tentent quelque chose comme ça. Dans les années 1990, l'administration Clinton a tenté de forcer l'industrie de la technologie à installer du matériel de surveillance sur leurs appareils - la «puce Clipper», qui permettrait aux organismes gouvernementaux de contourner le cryptage fort.
Dans ce cas également, des vulnérabilités ont été trouvées dans le système, rendant les dispositifs moins sécurisés et permettant aux criminels de les contourner dans tous les cas. La proposition a été rejetée. Dans une analyse intitulée «Keys Under Doormats: imposer l'insécurité en exigeant l'accès du gouvernement à toutes les données et communications», plus d'une douzaine de chercheurs en sécurité expriment l'opinion que la nouvelle proposition serait encore pire. Du résumé:
«Il y a vingt ans, les organismes d'application de la loi ont fait pression pour exiger des services de données et de communication pour concevoir leurs produits afin de garantir l'accès des forces de l'ordre à toutes les données. Après de longs débats et de vigoureuses prédictions sur les canaux d'application, ces tentatives de régulation de l'Internet émergent ont été abandonnées.
Dans l'intervalle, l'innovation sur Internet a prospéré et les organismes d'application de la loi ont trouvé des moyens nouveaux et plus efficaces d'accéder à des quantités de données beaucoup plus importantes. Aujourd'hui, nous entendons à nouveau des appels à la réglementation pour exiger la mise en place de mécanismes d'accès exceptionnels.
Dans ce rapport, un groupe d'informaticiens et d'experts en sécurité, dont beaucoup ont participé à une étude de 1997 sur ces mêmes sujets, s'est réuni pour explorer les effets probables de l'imposition de mandats d'accès extraordinaires. Nous avons constaté que les dommages qui pourraient être causés par les exigences d'accès exceptionnel des forces de l'ordre seraient encore plus importants aujourd'hui qu'il y a 20 ans.
Trop pour trop peu
Pour résumer: les backdoors de cryptage sont une mauvaise idée, techniquement et pratiquement. Ils ne résolvent pas les grands problèmes de l'application de la loi, mais en créent de nouveaux pour les consommateurs et toute autre personne qui dépend de la sécurité. Les forcer sur l'industrie sera cher au-delà de la croyance, et nous n'aurons presque rien en retour. Ils sont une mauvaise idée, proposée de mauvaise foi. Et, avec un peu de chance, la clameur croissante des voix contre l'idée va les arrêter encore une fois.
Qu'est-ce que tu penses? Le gouvernement devrait-il avoir le pouvoir de compromettre le cryptage? Faites-nous savoir vos pensées dans les commentaires!
Crédits image: blocage de la porte par Mopic via Shutterstock