IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Inde : une proposition de loi sur la régulation du chiffrement suscite la controverse

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 992
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 992
    Points : 208 009
    Points
    208 009
    Par défaut Inde : une proposition de loi sur la régulation du chiffrement suscite la controverse
    Inde : une proposition de loi sur la régulation du chiffrement
    suscite la controverse

    Le gouvernement indien voudrait s’assurer que ses forces de l’ordre puissent avoir facilement accès à des informations chiffrées. « Sous la section 84A de la loi sur les Technologies d’Information, les règles doivent être encadrées afin de prescrire des modes ou des méthodes pour le chiffrement », a expliqué le gouvernement. Aussi, un groupe d’experts a été constitué par le département de l’électronique et des technologies d’information (DeitY) pour établir un projet de loi sur les politiques de chiffrement.

    Ce projet de loi se donne pour mission « d’assurer la confidentialité de l’information dans le cyber espace pour les particuliers, la protection des informations sensibles ou propriétaires des particuliers et des entreprises, assurer la fiabilité et l’intégrité continues des systèmes d’informations critiques et des réseaux nationaux ». Un objectif somme toute louable. Mais qu’en est-il en réalité ?

    Au niveau institutionnel, les transactions sur les sites d'e-commerce, les transactions bancaires et les services gouvernementaux en ligne utilisent le chiffrement pour protéger les données personnelles, comme le font d’ailleurs plusieurs sites qui stockent des données de l'utilisateur à l’instar de Facebook et de Google, pour ne citer que ceux-là. Au niveau individuel, les réseaux privés virtuels (VPN), ou des applications de messagerie sécurisées sont quelques exemples de technologies de chiffrement. De par le monde, nombreux sont les militants qui cherchent à chiffrer leurs échanges numériques pour éviter l’espionnage exercé par des régimes répressifs.

    Pranesh Prakash, Policy Director au Center for Internet and Society basé à Bangalore, a traité la proposition de « mauvaise idée conçue par des gens qui ne comprennent pas le chiffrement ». Le projet de loi indique que les fournisseurs de service utilisant des technologies de chiffrement ou ceux qui fournissent de tels services en Inde « doivent conclure une entente avec le gouvernement pour fournir de tels services en Inde. Prakash estime « qu’une telle politique nécessiterait que des dizaines de milliers de sites viennent à conclure un accord avec le gouvernement de l'Inde. Est-ce que le gouvernement a la capacité de faire entrer en vigueur ces nombreux accords ? »

    Il a fait référence à l’article qui prévoit que les utilisateurs « doivent reproduire les paires de texte en clair et texte chiffré. Toutes les informations doivent être conservées par les entités concernées B / C (Business / Citoyen) sur une période de 90 jours à compter de la date de transaction et mises à la disposition des forces de l’ordre dès lors qu’elles sont exigées conformément aux dispositions des lois du pays ».

    Pour Prakash, « cela signifie que si quelque chose comme Ashley Madison devait exister en Inde, ils doivent garder les mots de passe en texte clair (non chiffrés, et donc vulnérables) avec eux pendant 90 jours. Cela pose un problème. En outre, certaines formes de chiffrement ne maintiennent pas des journaux qui pourraient être stockés par les utilisateurs. Le groupe qui a émis cette proposition ne l’a pas pris en considération ».

    « Le gouvernement doit comprendre que les connaissances et l'expertise des citoyens ordinaires peuvent être insuffisantes pour comprendre les nuances du chiffrement », a expliqué Na Vijayashankar, expert en droit numérique. « Bien que les citoyens soient indirectement touchés par la politique mise en œuvre par le gouvernement ou les utilisateurs professionnels, les citoyens ne peuvent pas à ce niveau assumer la responsabilité à la conformité directe de cette politique étant donné que leur ignorance sera exploitée par des intermédiaires pour des gains ».

    « S’attendre à ce que les utilisateurs et les entreprises conservent la combinaison texte en clair / texte chiffré est non seulement ridicule mais aussi dangereux », a avancé Sandesh Anand, un professionnel de la sécurité. « Ridicule parce que cela signifie que des téraoctets de données seront conservés et récupérés sur une simple injonction. Dangereux parce que le but du chiffrement est (parfois) de s’assurer que le texte en clair ne soit pas accessible, à moins qu’un déchiffrement ne soit effectué. Ainsi, dans les cas où le chiffrement est utilisé pour stocker des données sensibles en toute sécurité, les termes de ce projet de loi affaiblissent la sécurité ».

    Mahendra Palsule, un éditeur au sein de l’agrégateur Techmeme, estime que « le projet de loi national sur le chiffrement en Inde pourrait très bien être un projet qui énonce la vision de la NSA / GCHQ ».

    Mais le projet a également ses défenseurs. Krupakar Manukonda, un ingénieur logiciel, a estimé que « le gouvernement ne vous demande pas de transférer inconditionnellement vos informations privées. S’il a un soupçon, il vous demandera simplement de lui présenter un contenu non chiffré. Est-ce que le gouvernement peut décider des règles autour du chiffrement ? Oui, conformément à la loi Informatique, il le peut. Je ne vois pas comment des agences de sécurité peuvent fonctionner sans qu’il y ait un certain contrôle sur les communications ».

    Il faut préciser que « ce projet de loi n’est pas applicable aux ministères / organismes sensibles du gouvernement désignés pour effectuer des rôles sensibles et stratégiques ».

    Source : projet de loi (au format PDF), billet de Na Vijayashankar, billet de Sandesh Anand, tweet de Pranesh Prakash, tweet de Mahendra Palsule, tweet de Krupakar Manukonda

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    Mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2010
    Messages : 2 529
    Points : 4 749
    Points
    4 749
    Par défaut
    Quelque part, c’est un peu rassurant: il n’y a pas qu’en France que la classe politique est incompétente au regard des problématiques du numérique…

    Pourtant, je m’était laissé dire qu’en Inde ils avaient l’esprit « Matheux » ; dans le cryptage, ya quand même pas mal de Math, non ?!!
    Au moins cela aurrait pu leur donner une meilleure analyse et compréhension...

  3. #3
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 187
    Points
    1 187
    Billets dans le blog
    9
    Par défaut
    A quoi sa sert de chiffrer les données si tous le monde peut y avoir accès ?

    Vraiment je ne comprendrait jamais pourquoi les politiciens s'en tête a compromette la sécurité des entreprises.

  4. #4
    MikeRowSoft
    Invité(e)
    Par défaut
    Citation Envoyé par sazearte Voir le message
    A quoi sa sert de chiffrer les données si tous le monde peut y avoir accès ?

    Vraiment je ne comprendrait jamais pourquoi les politiciens s'en tête a compromette la sécurité des entreprises.
    Sûrement un rapport avec la base des clés public de HTTPS et de celles des autres outils de cryptographie. Bien que cela reste très incohérent.
    C'est comme dire que votre F.A.I. est gestionnaire des clés de cryptages de votre réseaux privés et systèmes persos, autant ne pas en avoir de cryptage.

Discussions similaires

  1. Réponses: 15
    Dernier message: 31/05/2022, 15h50
  2. Réponses: 2
    Dernier message: 10/08/2010, 15h27
  3. Votre avis sur une proposition de job
    Par plex dans le forum Emploi
    Réponses: 7
    Dernier message: 18/01/2007, 11h11
  4. Réponses: 6
    Dernier message: 21/07/2006, 09h27
  5. Votre avis sur une proposition de CDI!
    Par wapit dans le forum Emploi
    Réponses: 13
    Dernier message: 22/07/2005, 14h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo