Discussion :

[Katleen Erna]

Le bataille du chiffrement fait rage pour Google en Inde, les autorités locales demandent à accéder aux données privées de Gmail

Google est en train de passer un mauvais quart d'heure en Inde. Les autorités locales y sont plutôt irritées et cherchent à mettre leur nez partout. Au cours de l'année, elles ont déjà fortement agacé RIM (en tentant d'avoir accès aux données des utilisateurs de BlackBerry avec une deadline au 31 janvier). Le gouvernement du pays demande à obtenir des informations techniques sur le chiffrement mis en oeuvre.

Désormais, le Ministère de l'Intérieur local veut étendre ses prérogatives à l'Internet, et demande expressément à Google de lui livrer les informations de chiffrement relatives à son client Gmail ; et souhaiterait également pouvoir accéder aux entrailles du service.

Ce serait un non respect des utilisateurs finaux, rétorque Google : "Quand nos utilisateurs nous confient avec confiance leurs données, ils attendent de nous qu'on les protège. Le respect de la vie privée est très important pour Google".

Mais l'Inde évoque la "sécurité nationale" pour justifier son processus de contrôle de toutes les télécommunications passant sur son territoire. Et les sociétés étrangères n'auraient pas droit à un régime de faveur.

Mais Google ne cédera pas si facilement, même si la firme a déjà déclaré qu'elle autorisera l'accès à certains comptes Gmail au autorités en cas de réels problèmes sécuritaires". La firme coopérera, mais uniquement en cas de menace tangible.

Source : The Economic Times

[Marco46]

Le gouvernement du pays demande à obtenir des informations techniques sur le chiffrement mis en oeuvre.

Ah mais si un collaborateur du ministère intérieur indien lit le français je peux lui répondre ici à la place de Google :

Il s'agit d'un chiffrement TLS entre le client de messagerie (ou le navigateur pour la majorité silencieuse d'inconscients qui utilisent du webmail ou IMAP) et les serveurs de Google.

Le protocole est défini en sa version 1.2 dans la RFC 5246 (Google ça doit bien utiliser la dernière version non ? J'ai pas vérifié.)

Dans les grandes lignes, ça dit que le chiffrement des données en lui même est effectué avec un algorithme de chiffrement symétrique, genre AES256 bits, c'est à dire un protocole qui n'a pas été encore cassé en recherche scientifique fondamentale.
La clef de session (de chiffrement) est bien évidemment générée aléatoirement à chaque session, comme son nom le laisse supposer, ce qui rend légèrement problématique toute tentative d'attaque sur le flux de données.
La clef de session circule chiffrée via un algorithme asymétrique, RSA (2048bits ? On me dit oui dans l'oreillette ...), protocole également non cassé en recherche fondamentale (on est bloqué actuellement à 768 bits ... ).

EDIT précision : Seul le flux est chiffré, pas le mail en lui même. Pour ça il faut des certificats personnels, soit via une infrastructure X.509, soit via une infrastructure GPG. Je précise parce que vu la demande d'info je doute que le système soit compris ...

Désormais, le Ministère de l'Intérieur local veut étendre ses prérogatives à l'Internet, et demande expressément à Google de lui livrer les informations de chiffrement relatives à son client Gmail
[...]
les autorités locales demandent à accéder aux données privées de Gmail
[...]
et souhaiterait également pouvoir accéder aux entrailles du service.

Oui donc en fait l'Inde ne demande pas des informations techniques sur la technologie mise en oeuvre mais un accès direct, total et permanent à tous les mails stockés sur le service gmail.

Euh ... Alors question ...

Comment Google fait la différence entre un compte appartenant à un indien et un compte appartenant à un français ?

Non je demande parce que je connais des tas de gens ayant une adresse chez Google et j'ai jamais entendu dire qu'il fallait un contrôle d'identité pour créer un compte ...

Si ça se trouve, vu le fiasco sécuritaire dans l'affaire Wikileaks aux USA, les ambassadeurs utilisent leurs comptes gmail pour communiquer avec l'administration US. Plus besoin de Wikileaks pour le gouvernement Indien, il suffit de voter des lois.

Bref, chez les politiques, que l'on soit en Inde, en Chine, aux USA ou en France, c'est toujours pareil, on a affaire à des analphabètes du numérique.
Ils ont des conseillers ces gens là non ?

PS : Je remarque avec joie que dans le titre il y a écrit chiffrement au lieu de cryptage, et ça ça fait zézir. (je mets un +1 rien que pour ça !)

[Thorna]

Oui, bon, ce n'est pas un scoop : de tout temps, les états ont voulu déchiffrer les données privées et des entreprises. Ce n'est que depuis quelques décennies que c'est devenu plus difficile, avec les systèmes de chiffrement modernes. Et on s'y est petit à petit habituée, en pensant que tout ce qu'on conserve secret reste secret. A chacun de voir...
Mais la leçon que tout le monde devrait retenir, enfin j'espère, c'est ce qu'il adviendra des données "confidentielles" que toutes les entreprises françaises et du monde entier iront déposer sur les serveurs "cloud" pas chers en Inde, en Chine et partout ailleurs. Pas étonnant que tout le monde pousse dans cette direction : c'est la fin officielle de tous les secrets d'entreprise et le début de l'espionnage à la portée du moindre petit état qui dispose d'un datacenter !

[watermy]

Comment Google fait la différence entre un compte appartenant à un indien et un compte appartenant à un français ?

Non je demande parce que je connais des tas de gens ayant une adresse chez Google et j'ai jamais entendu dire qu'il fallait un contrôle d'identité pour créer un compte ...

Je fais bien confiance à Google pour stocker mon adresse IP...
Après il n'y a plus qu'a faire une recherche grossière sur celle qui sont indienne.
Moi on me trouve toujours en France (quand je n'utilise pas de proxy )
http://ip-to-country.webhosting.info/

Pour plus de détail il y a un tutoriel sur le site :
http://cyberzoide.developpez.com/php4/ip-to-country/

Question moi aussi : Les États-Unis ne surveille t-ils pas tous les e-mails depuis un bail ? Si oui c'est normal que les autres états soient jaloux.

[Marco46]

Je fais bien confiance à Google pour stocker mon adresse IP...
Après il n'y a plus qu'a faire une recherche grossière sur celle qui sont indienne.
Moi on me trouve toujours en France (quand je n'utilise pas de proxy )
http://ip-to-country.webhosting.info/

Pour plus de détail il y a un tutoriel sur le site :
http://cyberzoide.developpez.com/php4/ip-to-country/

Tu comprends bien que ça se contourne tellement facilement que c'est absurde de faire une demande motivée par la sécurité nationale.

Question moi aussi : Les États-Unis ne surveille t-ils pas tous les e-mails depuis un bail ? Si oui c'est normal que les autres états soient jaloux.

Euh ... Non. Je vois pas bien comment. Que les USA aient un accord avec Google pour espionner les mails du service gmail ça m'étonnerait pas mais surveiller tous les emails je vois pas bien par quel miracle ça serait possible.

[christopheT]

A ma connaissance la seule tentative d'envergure pour filtrer, selectionner, les mails, écoutes téléphoniques .... c'est Echelon, de l'agence du NSA aux états unis.


Systeme militaire, mais qui est aussi utilisé pour des raisons commerciales et politiques.

[fanick]

"Le bataille" ou "La bataille", la rage est toujours la meme, à ce que je vois ... :-)

[Flaburgan]

Le respect de la vie privée est très important pour Google

HAHAHAHAHAHAHAHAHA

[mookmook]

Il s'agit d'un chiffrement TLS entre le client de messagerie (ou le navigateur pour la majorité silencieuse d'inconscients qui utilisent du webmail ou IMAP) et les serveurs de Google.

Bon je sais que c'est pas le sujet mais je ne peux m'empêcher de demander, ca me turlupine, je comprend pas pourquoi.

En quoi utiliser le webmail de google directement relève-il de l'inconscience ?
Ca change quoi pour la sécurité d'utiliser le webmail plutôt qu'un client de messagerie genre thunderbird ?

Amitiés

[Marco46]

Bon je sais que c'est pas le sujet mais je ne peux m'empêcher de demander, ca me turlupine, je comprend pas pourquoi.

En quoi utiliser le webmail de google directement relève-il de l'inconscience ?
Ca change quoi pour la sécurité d'utiliser le webmail plutôt qu'un client de messagerie genre thunderbird ?

Amitiés

Quand tu utilises POP3 normalement avec un client de messagerie (sans cocher la case laisser les mails sur le serveur), les mails que tu reçois sont téléchargés sur ton PC puis sont supprimés du serveur.
Quand tu utilises IMAP avec un client de messagerie ou un webmail, tes mails sont laissés sur le serveur.

C'est comme si tu confiais ton courrier à des inconnus.

[Flaburgan]

ça a l'immense avantage de pouvoir les consulter de partout. A toi d'avoir confiance en ton FAI, après tout ils ont bien aussi ton numéro de carte bleue...