Discussion :

[Stéphane le calme]

Angleterre : une proposition de loi prévoit d'interdire aux entreprises d'offrir le chiffrement de bout en bout
à leurs utilisateurs

« Dans notre pays, voulons-nous autoriser des communications que nous ne serons pas en mesure de lire ? », demandait le Premier ministre David Cameron qui a manifesté son désir de voir banni le chiffrement suite aux révélations faites sur les campagnes d’espionnage de la NSA et de son homologue britannique la GCHQ. La semaine dernière, certaines craintes ont été apaisées lorsqu’il a annoncé que le gouvernement ne cherchait pas à exiger des développeurs de logiciels qu’ils mettent des portes dérobées dans leurs produits. Ceci étant, le gouvernement a précisé que les entreprises devaient être en mesure de déchiffrer les données « cibles » en cas de besoin et d’y donner un accès.

Baroness Shields, la ministre de la Sureté et de la Sécurité internet, a exprimé ses craintes vis-à-vis d’un « mouvement alarmant vers le chiffrement d’applications de bout en bout » : « le gouvernement reconnaît le rôle essentiel que joue le chiffrement fort pour permettre la protection des données personnelles sensibles et la sécurisation des communications et transactions en ligne. Le gouvernement ne préconise pas ou n’exige pas la fourniture d'une clé ou du support d’une porte dérobée pour affaiblir arbitrairement la sécurité des applications et services internet dans ce sens. Ces outils menacent l'intégrité d’internet lui-même. La loi actuelle exige que les entreprises soient en mesure de fournir un accès ciblé, sujet à un mandat, aux communications de ceux qui cherchent à commettre des crimes ou de causer de graves dommages au Royaume-Uni ou à ses citoyens » a-t-elle indiqué dans la Chambre des Lords.

Faisant référence à ISIS, les politiciens ont souligné que WhatsApp avait été utilisé pour coordonner des attaques terroristes, érigeant cet exemple en illustration de raisons pouvant justifier que l'accès aux données chiffrées puisse être requis. « Il est absolument essentiel que ces entreprises, qui comprennent et appuient ces piles technologiques, soient en mesure de déchiffrer une information et de la transmettre aux forces de l’ordre in extremis », a insisté Baroness Shields.

Cependant, malgré les déclarations de la ministre de la Sureté et de la Sécurité internet Baroness Shields, le quotidien Telegraph rapporte que, sous la proposition de loi Investigatory Powers Bill, le gouvernement britannique va interdire aux sociétés d'offrir un chiffrement qui met les communications de leurs clients loin de leur contrôle.

« Les ministres n’ont pas l’intention de bannir les services de chiffrement parce qu’ils ont un rôle important à jouer dans la protection des activités en ligne légitimes comme les activités bancaires ou les données personnelles. Mais ils se trouvent préoccupés avec certains aspects comme le chiffrement de bout en bout où seuls les expéditeurs et les destinataires des messages peuvent en déchiffrer le contenu. Les terroristes et les criminels sont de plus en plus nombreux à utiliser de telles technologies pour communiquer au-delà de la portée du MI 5 ou de la police ».

Une proposition de loi qui vise donc des entreprises comme Apple qui rappelle dans sa politique de confidentialité que « le chiffrement protège plusieurs milliards de transactions par jour. Que vous fassiez vos courses ou régliez une addition, vous bénéficiez du chiffrement, qui transforme vos données en un texte indéchiffrable qui ne peut être lu qu’avec la bonne clé. Depuis plus d’une décennie, nous protégeons vos données à l’aide des protocoles SSL et TLS dans Safari, de FileVault sur Mac et d’un chiffrement intégré dans iOS. Nous refusons également d’ajouter une porte dérobée à nos produits, quels qu’ils soient, car cela compromettrait les protections que nous lui avons intégrées. Et nous n’avons pas la possibilité de déverrouiller votre appareil pour qui que ce soit, car vous seul en avez la clé : votre mot de passe unique. Nous nous engageons à utiliser de puissants mécanismes de chiffrement pour que vous ayez la certitude que les données qui figurent sur votre appareil et les informations que vous échangez avec les autres sont protégées ».

De plus, Apple se targue de ne pas être « en mesure de décoder les données iMessage et FaceTime lorsque celles-ci sont en transit entre les appareils. Contrairement à d’autres services de messagerie, Apple n’analyse pas vos communications. Et même si nous le voulions, nous ne pourrions pas mettre en place une écoute qui nous serait ordonnée ».

Pourtant, un porte-parole du Bureau de l’Intérieur, un département exécutif du gouvernement britannique chargé des compétences de politiques intérieures comme la sécurité publique en Angleterre et au Pays de Galles, a déclaré : « le gouvernement affirme sans équivoque que nous devons trouver un moyen de travailler avec l'industrie tandis que la technologie se développe afin de veiller à ce que, sous une supervision claire et dans un cadre juridique solide, les services de police et de renseignements puissent accéder au contenu des communications des terroristes et des criminels afin de résoudre les enquêtes policières et de prévenir les actes criminels ».

Et d’ajouter que « cela signifie s’assurer que les entreprises elles-mêmes puissent accéder au contenu des communications sur leurs réseaux dès lors qu’un mandat leur est présenté, comme beaucoup d'entre elles le font déjà à des fins commerciales, par exemple pour la publicité ciblée. La réputation de ces entreprises repose sur leur capacité à protéger les données de leurs utilisateurs ».

En dehors de cela, cette proposition de loi devrait exiger des fournisseurs de service internet de garder l’historique de navigation de leurs clients sur une période pouvant aller jusqu’à un an.

Source : résumé de la discussion dans la Chambre des Lords, Telegraph, engagement de la confidentialité d'Apple

[benjani13]

Internet firms to be banned from offering unbreakable encryption under new laws

But there is concern over some aspects of so-called end-to-end encryption where only the sender and recipient of messages can decipher them.

Give that man a dictionary! C'est le principe même de la crypto!

Donc soit on doit utiliser des algo déjà dépassé, soit on doit stocker les clés de déchiffrement quelques parts. Encore une fois, pour sois disant améliorer notre sécurité, on nous force à la réduire.

On continue dans les dérives sécuritaires, avec encore plus de lois aux mieux ineptes (interdire la crypto qui marche? wtf), au pire très inquiétantes pour nos libertés dans les années qui viennent. Le grand public ne prend pas conscience malheureusement de ce qui se joue en ce moment, et les répercutions possibles à l'avenir.

Le seul léger répit vient de temps en temps du parlement européen:
http://www.europarl.europa.eu/news/f...core-en-danger

[TiranusKBX]

garder l'historique des connexion pendant 1 an ?
Il sont fous non ?
rien q'avec moi il rempliraient 1Hio minimum par an alors avec au moins la moitié de l'u.k. ...

[DelphiManiac]

Ce sont de doux rêveurs, à moins d'interdire purement et simplement le chiffrage des données (ce qui existait en France il n'y pas si longtemps), personne ne pourra empêcher quelqu'un de chiffrer un document et de l'envoyer par mail en pièces jointes.

Et même s'il l'interdisait, ce serait une interdiction territoriale, ce qui a peu d'impact contre un groupe criminel.


Soit, ils nous prennent pour des imbéciles et ce n'est que de la communication, soit ils prennent les "criminels" pour des imbéciles et s'est encore pire.

[ticNFA]

Soit, ils nous prennent pour des imbéciles et ce n'est que de la communication, soit ils prennent les "criminels" pour des imbéciles et s'est encore pire.

Ou les deux.
Du coup, c'est le gouvernement britannique qui passe certainement pour des imbéciles.
Derrière le terrorisme ou la pédopornographie, le but est évidemment ailleurs, comme Cazeneuve qui jouait volontiers à l'idiot utile pour faire passer sa loi Renseignement : la surveillance massive sans contrôle.
Entre ça, l'autre mesure annoncée dans la dépêche, la loi Renseignement ici, la Cisa aux Etats-Unis, les barbouzes reviennent par la fenêtre, bien qu'ils n'aient jamais quitté la pièce.

Il faudra masquer le chiffrement derrière des vidéos de chats et de petits poneys.

[NSKis]

"interdire aux entreprises d'offrir le chiffrement de bout en bout"???

Je ne sais pas ce que cela veut dire pour un politicien, mais mon petit cerveau me dit "plus de chiffrement de bout en bout" = "plus de chiffrement du tout"!!!!!!!

[mrqs2crbs]

"interdire aux entreprises d'offrir le chiffrement de bout en bout"???

Je ne sais pas ce que cela veut dire pour un politicien, mais mon petit cerveau me dit "plus de chiffrement de bout en bout" = "plus de chiffrement du tout"!!!!!!!

je ne sais pas,

on peut imaginer que les tous les correspondants d'une communication partage une même adresse mail (1 login, 1 mot de passe),
tous les messages (cryptés) sont stockés comme brouillon,
tous les messages sont donc accessibles à tous les participants sans être transmis.
Et c'est là que j'ai un doute:
Est-ce que la communication entre un poste client et le serveur de mail fait partit d'une communication bout à bout,
ou est-ce qu'une com bout à bout doit obligatoirement aller d'un client à un client?

Je ne suis vraiment une bille en réseau, si quelqu'un peu m'éclairer?

[Aiekick]

le problème dans tous ça c'est surtout qu'on est incapable d'avoir confiance aux gouvernements...l'histoire nous a montré que leur intérêts c'est pas nous.

[Olivier Famien]

Angleterre : un projet de loi expose à la prison les dirigeants IT
qui avertissent les utilisateurs sur les activités d'espionnage du gouvernement

Dans le but de renforcer sa politique de sécurité, les entreprises telles que Google, Facebook, Twitter ont amendé leurs règles de sécurité afin d’alerter les utilisateurs victimes d’attaques ou de compromission de leurs comptes lorsque celles-ci sont menées par des individus ou groupes d’individus parrainés par des États.

En plus, Twitter ajoute dans sa politique de confidentialité que même les demandes de données effectuées par les entités étatiques seront notifiées aux utilisateurs, à moins qu’il soit légalement contraint de ne pas le faire.

Apparemment ces mesures qui ont été bien accueillies par les utilisateurs ne sont pas du gout des autorités anglaises. En effet, les instances dirigeantes britanniques souhaitent sanctionner ces actions et ont introduit une nouvelle disposition dans le projet de loi Investigatory Powers Bill présenté pour la première fois devant la Chambre des communes anglaise en novembre dernier.

Selon les nouvelles notes introduites, un prestataire de service de communication n’a pas le droit de notifier à une entité faisant l’objet d’une enquête qu’une demande d’accès à ses données a été effectuée à moins qu’une autorisation expresse ait été accordée de le faire. En cas de contravention à cette loi, cette entité risque une peine de prison allant jusqu’à deux ans maximum.

Selon Antony Walker, directeur général adjoint de techUK, « en empêchant les entreprises de notifier les consommateurs sur les demandes d’accès aux données, le projet de loi Investigatory Powers Bill risque d’être en décalage avec les directives du droit international ».

Pour ce dernier, cette loi est contreproductive et « rendra la coopération entre les juridictions plus difficile et pourrait freiner le partage d’informations entre les agences internationales ».

Nous rappelons que depuis la présentation de ce projet de loi en novembre dernier par le ministre de l’Intérieur anglais, Theresa May, plusieurs voix se sont élevées pour dénoncer ses dispositions.

Dans la première mouture proposée sous RIPA (Regulation of Investigatory Powers Act 2000), il était demandé aux entreprises IT d’introduire des backdoor dans leurs systèmes afin de permettre aux agences britanniques d’y accéder facilement.

Bien que cette disposition ait été expurgée de la nouvelle proposition présentée par May, il n’en demeure pas moins que plusieurs autres articles continuent de susciter de vives critiques dans la communauté IT.

Et pour cause, le projet de « loi actuelle exige que les entreprises soient en mesure de fournir un accès ciblé, sujet à un mandat, aux communications de ceux qui cherchent à commettre des crimes ou à causer de graves dommages au Royaume-Uni ou à ses citoyens » a indiqué Baroness Shields, la ministre de la Sureté et de la Sécurité internet, devant la Chambre des Lords.

Pour plusieurs entreprises, cette mesure serait difficile à appliquer sans mettre à mal le chiffrement bout en bout adopté par certaines entreprises comme Apple qui soutient qu’elle n’est pas en mesure de déchiffrer les données sur ses systèmes iOS récents.

À côté de cet article, nous avons d’autres propositions qui permettent par exemple à la police de déployer des logiciels de filtre afin d’analyser automatiquement et collecter les données personnelles détenues par les entreprises de communication.

Selon les explications premières fournies par ses initiateurs, ce projet de loi vise à lutter contre le terrorisme.

Source : The Telegraph

Et vous ?

Que pensez-vous de cette nouvelle disposition ?

Est-ce utile de brandir la menace de prison afin de faire coopérer les entreprises IT ?

Voir aussi

Forum Actualités

[gretro]

Je trouve que les États vont déjà nettement trop loin afin de supposément contrer le terrorisme, sans pour autant que la situation ne s'améliore. En rajouter n'aide certainement pas la situation selon moi.

Il y a un équilibre à avoir entre sécurité et liberté qui a été dépassé depuis belle lurette. J'appuie les entreprises qui font de l'encryption de bout en bout. Si c'était mon entreprise, c'est la solution que je choisirais.

[Iradrille]

J'appuie les entreprises qui font de l'encryption de bout en bout. Si c'était mon entreprise, c'est la solution que je choisirais.

Je trouve aussi que c'est une bonne chose.

Maintenant cette loi en Angleterre me semble normale.

Ne pas permettre l'espionnage de masse c'est bien; mais empêcher la surveillance au cas par cas en prévenant les personnes concernées ça va trop loin je trouve.

La surveillance, même au cas par cas (et bien encadrée pour empêcher les dérives - une utopie je sais -) ça m'enchante pas trop mais ça reste nécessaire.

[progdebutant]

Et même s'il l'interdisait, ce serait une interdiction territoriale, ce qui a peu d'impact contre un groupe criminel.

Ils s'en f...... des criminels, c'est seulement pouvoir espionner les gens qui les intéressent.
C'est en prévision d'un futur coup de leur part (des autorités), ils préparent le terrain doucement, de mesures en mesures, grâce aux attentats auxquels ils ont participé à l'élaboration ou à leurs autorisations.
(Bouuuh... "le complotiste !") (Vous savez pourquoi je mets le mot entre guillemets, c'est parce que les complotistes ne sont pas ceux qui dénoncent les complots, encore une tromperie sur les mots de leur part)

[TiranusKBX]

oh ! une loi qui sert à rien, vus que les personnes ne sont prévenus que en cas d'espionnage illicite, intrusion ou vol de données.
c'est dingue à quel points plusieurs personnes de suite peuvent lire les informations de travers et comprendre autre chose

[Matthieu Vergne]

oh ! une loi qui sert à rien, vus que les personnes ne sont prévenus que en cas d'espionnage illicite, intrusion ou vol de données.
c'est dingue à quel points plusieurs personnes de suite peuvent lire les informations de travers et comprendre autre chose

Pas tout à fait, vu que justement le deuxième paragraphe de l'article mentionne que Twitter compte le faire aussi pour les demandes officielles, si tant est que la loi ne l'interdit pas.

Moi, ce que j'en vois, c'est donc que les entreprises IT tentent de prévenir les utilisateurs en cas de suspicion d'espionnage, voire aussi en cas d'espionnage confirmé par une demande officielle si la loi ne l'interdit pas. De là, les anglais établissent une loi qui interdit de faire savoir qu'une demande d'espionnage (on parle donc d'espionnage confirmé) a été formulée sans en avoir l'autorisation expresse, ce qui revient à poser justement des limites légales au cas Twitter. Le cas espionnage suspecté n'est donc pas concerné, puisqu'aucune demande n'est faite dans ce cas et donc la loi ne s'applique pas.

Je ne vois donc aucun problème ici : si le gouvernement joue le jeu en demandant officiellement à l'entreprise des données privées (si tant est qu'il faille passer par un juge pour cela) alors on est dans le cadre d'une enquête licite et l'entreprise se doit donc de protéger le secret de l'enquête. Il y a même une certaine marge car il reste possible d'obtenir une autorisation d'après la loi. Dans le cas d'un espionnage potentiellement illégal, ne menant à aucune demande officielle, l'entreprise peut mettre ses utilisateurs en premier plan, la loi n'interdisant pas de spéculer sur la possibilité d'un espionnage (ce serait un comble).

[RyzenOC]

Quand la police veut fouiller ta maison, ils vienne avec mandat après 6H du matin. Tu est donc au courant que la police fouille ta maison.
Pourquoi en serait t'il autrement dans le cyber-monde, ou la police fouille ton espace client.

Si encore l'espionnage était fait au cas par cas en passant par un juge et toute la longue administration. Je vous conseille de regarder la série the wire (sur écoute), a une époque pas trop ancienne, pour mettre sur écoute une personne fallait des preuves tangible

[Iradrille]

Quand la police veut fouiller ta maison, ils vienne avec mandat après 6H du matin. Tu est donc au courant que la police fouille ta maison.

Pourquoi en serait t'il autrement dans le cyber-monde, ou la police fouille ton espace client.

Tu es au courant, mais tu ne peux rien faire à part les regarder fouiller : tu ne peux pas bruler ta maison pendant ce temps pour les empêcher de trouver quelques chose.

[RyzenOC]

Tu es au courant, mais tu ne peux rien faire à part les regarder fouiller

Ce qui est normal.
Pour venir, En France ils ont un mandat, un mandat sa se fait pas comme ca, il faut un minimum de preuve tangible contre toi à présenter au juge. C'est pas du au bon vouloir d'un ministre.

Je trouve que c'est un bon équilibre entre liberté et sécurité.

Sur Internet, il n'y a aucun contrôle, ils peuvent fouiller ce qu'ils veulent, n'importe quand et en toute impunité.

[Iradrille]

Sur Internet, il n'y a aucun contrôle, ils peuvent fouiller ce qu'ils veulent, n'importe quand et en toute impunité.

Çà, c'est un problème, mais ce n'est pas le sujet de cette loi.

Maintenant quand la décision est prise par un juge (ou une autorité compétente pour autoriser la surveillance, au cas par cas donc, on parle pas de surveillance de masse ici), il est tout à fait normal de ne pas prévenir de la surveillance.
C'est comme les écoutes téléphoniques. Ça existe depuis que le téléphone existe. Que les opérateurs téléphoniques soient au courant ou non, ils ne préviennent pas (ce qui est normal je trouve).

[Hizin]

Nota : pour réaliser une perquisition à domicile, il ne faut pas de mandat en France. Aux États-Unis, oui. En France, non.

En France, il faut SOIT l'accord d'un juge SOIT l'accord de l'occupant (sachant que un "oui, vous pouvez entrer" est un accord (débattable), la décision se portant sur la possibilité de laisser rentrer). Dans les deux cas, c'est un accord à priori, pas à posteriori. Cette condition saute uniquement en cas de flagrance, où là, la perquisition est possible de fait.
C
En état d'urgence (donc actuellement), ces prédispositions sautent et permettent plus ou moins n'importe quoi via les perquisitions administratives (qui ne passent donc pas par le pouvoir Judiciaire, mais par l'Exécutif).

[Stéphane le calme]

Angleterre : Earl Howe, ministre d'État à la Défense, admet que le projet de loi Investigatory Powers
va permettre de demander la suppression du chiffrement de bout en bout

L’année dernière, le Royaume-Uni a évoqué l'étude du projet de loi Investigatory Powers (pouvoirs d’investigation), qui, entre autres, octroiera au secrétaire d’État la capacité de contraindre les fournisseurs d’accès internet à désactiver, voire supprimer, le chiffrement de bout en bout.

À ce propos, pendant ces discussions, Baroness Shields, la ministre de la Sureté et de la Sécurité Internet, a exprimé ses craintes vis-à-vis d’un « mouvement alarmant vers le chiffrement d’applications de bout en bout » : « le gouvernement reconnaît le rôle essentiel que joue le chiffrement fort pour permettre la protection des données personnelles sensibles et la sécurisation des communications et transactions en ligne. Le gouvernement ne préconise pas ou n’exige pas la fourniture d'une clé ou du support d’une porte dérobée pour affaiblir arbitrairement la sécurité des applications et services Internet dans ce sens. Ces outils menacent l'intégrité d’Internet lui-même. La loi actuelle exige que les entreprises soient en mesure de fournir un accès ciblé, sujet à un mandat, aux communications de ceux qui cherchent à commettre des crimes ou de causer de graves dommages au Royaume-Uni ou à ses citoyens » a-t-elle indiqué dans la Chambre des Lords.

Durant les débats à la chambre des Lords cette semaine, Earl Howe, ministre d'État à la Défense et chef adjoint à la Chambre des Lords, a donné la première admission explicite que la nouvelle législation permettrait au gouvernement britannique de forcer les FAI à « développer et maintenir une capacité technique pour supprimer le chiffrement qui a été appliqué à des communications ou des données ».

Le député libéral démocrate Lord Strasburger s’est plaint du fait que « l'implication de ce que [le gouvernement] dit est que personne ne pourra développer de chiffrement de bout en bout. L’une des caractéristiques du chiffrement de bout en bout est que le fournisseur ne peut pas le casser ; le chiffrement est privé entre les utilisateurs situés aux deux extrémités. Il semble dire que les fournisseurs ne peuvent se servir que d’un chiffrement qui peut être cassé et ne saurait donc être de bout en bout, de sorte que la prochaine version de l'iPhone d'Apple serait en théorie devenue illégale. Je pense qu'il y a beaucoup de travail à faire à ce sujet ».

Ce à quoi Earl Howe a répondu en disant que « je n’ai certainement pas voulu sous-entendre que le gouvernement voulait interdire le chiffrement de bout en bout ; en fait, nous ne cherchons pas à interdire un type de chiffrement quelconque. Cependant, il y aura des circonstances où il serait raisonnable pour des besoins pratiques qu’une entreprise développe des moyens de déchiffrer le contenu des communications ».

En tant que membre du parti travailliste, Baroness Hayter s’est lancée dans une explication : « il y aura des moments où la sécurité de l'État va sans aucun doute nécessiter l’accès à une information chiffrée pour une enquête spécifique. Là n’est pas le problème. Le problème est de savoir si le gouvernement va demander à une entreprise de concevoir un tel accès, obligeant l’entreprise à créer un modèle qui, une fois imité par d’autres nations avec peut-être moins de sécurité que le nôtre, pourrait conduire à un abaissement des normes ».

Mais Earl Howe a insisté sur le fait que le gouvernement « ne pense pas que les entreprises devraient offrir des espaces sûrs à des terroristes et autres criminels dans lesquels ils peuvent communiquer. Elles doivent maintenir la faculté d’accéder aux communications une fois qu’un mandat en accord avec la loi britannique leur est présenté ».

Source : résumé de la discussion dans la Chambre des Lords