Discussion :

[Traroth2]

Que libre ou pas la CIA et autres n'en ont rien a faire et qu'ils compromettront n'importe quel systeme. Que l'argument de l'OpenSource n'a qu'une valeur theorique sur la protection de la confidentialité....

La verification du code source n'a qu'une valeur tres minime dans la protection de la vie privée.

C'est exactement le genre de raisonnement qui permet aux services de renseignement de faire ce qu'ils veulent. C'est incroyable, même sur un forum où les participants sont supposés être des professionnels, on voit ce genre de pensée basée sur "de toutes façons, c'est magique, on ne peut rien faire contre la CIA, même pas la peine d'essayer". Change de métier, mec !

Justement. Vous ne voyez que cela. Le code est visible. Mais ce n'est qu'un petite partie du context. Le code est LOIN d'etre la seul chose sensible dans un logiciel. C'est le probleme de beaucoup de developpeur. Pour eux le code c'est tous.

C'est une condition nécessaire mais non suffisante pour permettre une meilleure sécurité du SI. C'est clair, maintenant ?

[Michael Guilloux]

WikiLeaks va partager le code de la CIA avec les entreprises IT
quand la CIA dit continuer à collecter agressivement des renseignements à l'étranger

Au début de cette semaine, WikiLeaks a mis en ligne un tas de documents confidentiels de la CIA. Ces documents décrivent les techniques et programmes de l’agence américaine pour pirater les téléphones, ordinateurs et appareils connectés à Internet. Les documents ont également révélé de nombreuses failles de sécurité dans des logiciels qui auraient été exploitées par la CIA.

Juste après cette fuite des outils secrets de la CIA, des entreprises de technologie, en particulier Google et Apple, ont affirmé que leurs produits avaient déjà corrigé la plupart des failles citées dans les documents publiés par WikiLeaks.

L’organisation fondée par Julian Assange n’avait toutefois pas publié les programmes complets de la CIA, qui dans ce cas, auraient pu facilement être exploités par d’autres acteurs pour mener des attaques. Seuls des extraits de code informatique ont été publiés. WikiLeaks prévoit toutefois de publier tous les détails techniques des outils de piratage et d’espionnage de la CIA, mais une fois que les entreprises de technologie auront déployé des correctifs de sécurité pour leurs produits vulnérables. Au moment de la publication de la première vague de documents, WikiLeaks a en effet fait savoir qu’elle travaillera avec les grandes entreprises de technologie afin de corriger les vulnérabilités qui permettent aux outils de la CIA de fonctionner.

Dans une conférence de presse de l’ambassade de l’Équateur à Londres, où Julian Assange s’est réfugié depuis 2012, le fondateur de WikiLeaks a confirmé qu’il va partager le code de la CIA avec les principales entreprises de technologie comme Google, Apple, Microsoft, pour leur permettre de « désarmer » les outils de piratage de l’agence américaine. Après quoi, il pourra publier le code de ces outils en ligne.

« Nous avons décidé de travailler avec [les fabricants] pour leur donner un accès exclusif aux détails technologiques supplémentaires que nous avons, afin que les correctifs puissent être développés et déployés, pour que les gens puissent être en sécurité », a déclaré Assange. « Une fois que nous aurons effectivement désarmé ce matériel, nous publierons des détails supplémentaires. », dit-il.

Après le message d’Assange, Microsoft et Cisco, dont les produits sont également exploités dans le programme de piratage de la CIA, ont fait savoir qu’ils apprécieront recevoir les détails des vulnérabilités dans leurs produits par les procédures habituelles. « Nous avons vu la déclaration de Julian Assange », a déclaré un représentant de Microsoft. Le géant du logiciel dit toutefois qu’il n’a pas encore été contacté, avant d’indiquer comment il souhaiterait recevoir les informations détenues par WikiLeaks : « Notre méthode préférée pour toute personne connaissant des problèmes de sécurité, y compris la CIA ou WikiLeaks, est de nous soumettre des détails à secure@microsoft.com afin que nous puissions examiner les informations et prendre toutes les mesures nécessaires pour protéger les clients », dit-il.

Du côté de la CIA, si l’on n'a pas explicitement confirmé l'authenticité des documents publiés par WikiLeaks, on dénonce toutefois chez l’organisation une tentative de miner les opérations de l'agence. Après la déclaration de Julian Assange, un porte-parole de la CIA jette un doute sur l’intégrité du fondateur de WikiLeaks, avant d’affirmer que ces révélations n’impactent aucunement les activités de l’agence. « Malgré les efforts d'Assange et de ses proches, la CIA continue de recueillir agressivement des renseignements à l'étranger pour protéger les États-Unis des terroristes, des États-nations hostiles et d'autres adversaires ».

Sources : Reuters, NPR.org

[Traroth2]

Car le code peut etre modifie et que tu ne peus faire confiance a la societé qui le verifie. Pourquoi faire plus confiance a Linus qu'a Microsoft ou Google ?

Parce qu'il est loin d'être le seul à vérifier. Et là, on parle de l'équipe core du noyau Linux, une équipe de gens dont c'est le seul point commun, situés dans des pays différents, faisant partie d'entreprises différentes, des professionnels rémunérés pour faire ça, des bénévoles, des membres d'associations, etc, mais aussi des gens qui n'ont pas de rapport direct avec l'équipe qui maintient le noyau : des entreprises qui revoient du code professionnellement, d'autres assocs, des gens qui forkent Linux pour un usage précis, etc. Les cas de figure sont innombrables, contrairement à ce que tu penses.

Les verification ne sont pas bonne. Il y a tellement de preuve pour cela que ce n'est meme pas la peine d'argumenter. Quand on voit qu'openSSL etait maintenu par 3 personnes apres journée alors que c'est un outils sensible et tres utilisé..... Et que malgré que tous le monde assure que le code source est verifie personne n'a fait de test correct sur cette librairie... Alors vos histoir de code-quality et code review vous pouvez aller raconter ca autre part

Le système n'est pas infaillible, mais je vais t'apprendre un truc : rien de ce que font les êtres humains ne l'est. Ce qui ne veut pas dire que c'est sans valeur ou que ça ne permet pas d'avoir un meilleur niveau de sécurité que des logiciels propriétaires.

Mais bon.... Le but n'est pas de faire changé d'avis la communauté integriste Linux.... Linux est vraiment un super OS... dommage quil y a cette communauté d'integriste autour....

Je me demande qui est un intégriste, ici. Et je me demande quel est ton but, au fait. Linux est un super OS, pour toi ? Mais pourquoi ? Tu ne vois l'intérêt d'un de ces principaux avantages !

[Tartare2240]

@Capitaine_aizen @Traroth2 : Je suis tout à fait d'accord sur le fait que Chrome n'est pas Chromium, ou encore le fait que c'est une société et qui dit société dit argent. Mais imaginons qu'un hacker/journaliste, par on ne sait quel miracle, arrive à trouver une preuve évidente que Google bosse de mèche avec les services secrets américains. Ne serait-ce pas là un énorme coup de poing dans le ventre de notre multinationale préférée ?

De mon coté, je pense plutôt que, pour préserver une certaine intégrité, ils ne feront pas cela. Car si jamais c'était révélé au monde, le revers serait tellement immonde qu'ils perdraient bien plus que tout ce qu'ils auraient pu gagner avec ces accords.

Ensuite je dis pas qu'un dev' "véreux" isolé ne puisse pas avoir décidé de foutre une backdoor bien planquée au profit de la CIA/MI5/Votre agence d'espionnage préférée. Et d'ailleurs, le fait qu'aucun ne l'ait fait me surprendrait beaucoup. Et c'est là où je ne suis pas forcément d'accord avec toi Trarot2 :

Tout dépend si la porte dérobée se trouve dans la version officielle ou non. Si c'est le cas, la complicité de Google est évidente.

Ne jamais sous-estimer le pouvoir de nuisance d'un individu seul.

[arond]

Parce qu'il est loin d'être le seul à vérifier. Et là, on parle de l'équipe core du noyau Linux, une équipe de gens dont c'est le seul point commun, situés dans des pays différents, faisant partie d'entreprises différentes, des professionnels rémunérés pour faire ça, des bénévoles, des membres d'associations, etc, mais aussi des gens qui n'ont pas de rapport direct avec l'équipe qui maintient le noyau : des entreprises qui revoient du code professionnellement, d'autres assocs, des gens qui forkent Linux pour un usage précis, etc. Les cas de figure sont innombrables, contrairement à ce que tu penses.

Le système n'est pas infaillible, mais je vais t'apprendre un truc : rien de ce que font les êtres humains ne l'est. Ce qui ne veut pas dire que c'est sans valeur ou que ça ne permet pas d'avoir un meilleur niveau de sécurité que des logiciels propriétaires.

Je me demande qui est un intégriste, ici. Et je me demande quel est ton but, au fait. Linux est un super OS, pour toi ? Mais pourquoi ? Tu ne vois l'intérêt d'un de ces principaux avantages !

Il ne faisait apparemment pas référence à un intégriste ici mais aux intégriste de Linux qui ne sont pas aptes à voir les défauts dans leur OS préféré

Qui a pleins de gros avantages mais aussi de gros défauts. .

Linux est gratuit c'est déjà un excellent point.

[marsupial]

Nous savons tous que le secteur des technologies par sa nature innovante reste perfectible. Que la CIA et autre en profitent devient logique quoi qu'on en dise. La problématique à mes yeux se retrouve dans le fait non pas que wikileaks soit informé et nous en informe mais bien que ces armes tombent dans des mains bien plus irresponsables et malintentionnées que les services américains.

L'entreprise pour laquelle je travaille est entrée en relation avec Wikileaks pour obtenir un complément d'informations techniques sur la nature des failles exploitées afin d'y palier en cas d'impact. L'attitude des Google et Apple manque de responsabilité vis à vis de leurs clients professionnels. Evidemment l'entreprise de publicité sur internet se sentira moins concernée par ces révélations que celle ayant pour coeur de métier l'électronique de défense par exemple. Et sans évoquer le cas du citoyen x ou y, je pense que dorénavant tous devraient prendre leurs précautions car il s'agit d'informations incomplètes et visiblement diffusées sans grande responsabilité.

Une fois dit, reste les huiles. Vont-elles prendre conscience de la menace que représente la diffusion de tels outils à des groupes pas nécessairement recommandables pouvant également en faire commerce ? Exemple Trump et son Android non sécurisé qu'il utilise encore.

Bref, reprendre le contrôle de la situation maintenant que la boîte de Pandore a laissé échapper le Diable ne va pas être une mince affaire.

[Dhafer1]

Y'a que OpenBSD qui est vraiment sécurisé côté OS, j'attend avec impatience l'exploit qu'a trouvé la NSA/CIA sur OpenBSD, ça fera la 3ème vulnérabilité en une bonne 20aine d'années.

[Aeson]

Change de métier, mec !

Apprend le tiens mec ! Le code n'est qu'une petite partie dans les aspects de securité. L'infrastructure et le reseaux... c'est la que ca se passe....

Faire confience au code et au code review est une ENROME erreur.

Je me demande qui est un intégriste, ici. Et je me demande quel est ton but, au fait. Linux est un super OS, pour toi ? Mais pourquoi ? Tu ne vois l'intérêt d'un de ces principaux avantages !

L'avantage de Linux n'est pas qu'il est OpenSource. Son avantage est son architecture.

Et ca me fait bien marer que vous me traiter d'integriste Maintenant j'utilise plus Linux qu'autre chose. Linuw ou Windows... je prend le meilleurs des 2....

[Capitaine_aizen]

Encore une fois tu ne vois que le code... et ce n'est qu'une petite partie de probleme. A moin que tu ne verifie tois meme le code avant de tous compiler en interne ton argument n'est pas valable. Et si vous l'aviez fait vous aurez vu la faille OpenSSL qui, je le rapelle, aurait pu etre decouverte avec des simple outils d'analyze de code et de bon tests unitaire.

Alors toutes vos paroles sont belle mais dans la pratique c'est impossible et ce fait est prouvé régulierement dans l'actualité.



On parle de la faille d'openSSL exploitable pendant 7 ans ?



Wikileaks vient de montrer a ton DSI qu'il avait tort...

Si tu veux on peut parler de la faille openSSSL à la condition tu me prouves que l'OpenSSL de Microsoft est aussi sans faille ! Plus sérieusement je suis d'accord avec toi, une faille aussi important ça ne fait pas de bonne pub pour le projet, mais il y en reste que cette implémentation est majoritairement utilisée.

Ensuite, trouver une faille et écrire un exploit sont assez différent (j'attends quand c'est fait à la main). Perso, je ne sais pas détecté une faille sur de l'ASM en revanche un buffer owerflow je suis un brin plus doué mais c'est fonction de lavoir la qualité du code. Mais écrire un exploit, bah je connais un peu la théorie mais en pratique j'en serais bien incapable.
Ce que je veux montrer, c'est que la recherche/exploitation de faille n'est pas à la portée de tout le monde et tout personne qui contribue à l'Open-Source n'est pas un hacker.

Wikileaks montre surtout que mon DSI avait raison d'être parano et d'envoyer chier les commerciales qui parlaient de Windows comme d'un truc sur !

Apprend le tiens mec ! Le code n'est qu'une petite partie dans les aspects de securité. L'infrastructure et le reseaux... c'est la que ca se passe....

Faire confience au code et au code review est une ENROME erreur.

Avec des routeurs Cisco bourré de failles de sécurité pendant des années ?! Tiens il y a pas qu'OpenSSL qui soit beugé on dirait. Sans rancune

[Aeson]

Si tu veux on peut parler de la faille openSSSL à la condition tu me prouves que l'OpenSSL de Microsoft est aussi sans faille ! Plus sérieusement je suis d'accord avec toi, une faille aussi important ça ne fait pas de bonne pub pour le projet, mais il y en reste que cette implémentation est majoritairement utilisée.

Je ne dis pas que Windows est plus secure. Je dis que les code review sont LOIN d'etre suffisant pour dire qu'un systeme est secure. Alors quand on ettend la comunauté Linux dire que Linux est secure car ils y a plein de code-review.... Ils doivent etre plié en 4 a la NSA....

Avec des routeurs Cisco bourré de failles de sécurité pendant des années ?! Tiens il y a pas qu'OpenSSL qui soit beugé on dirait. Sans rancune

Serieusement... continue a coder et laisse les aspects de securité a ceux qui s'y connaissent

[Capitaine_aizen]

Ne serait-ce pas là un énorme coup de poing dans le ventre de notre multinationale préférée ?.

Oui et non. Pour nous, Oui Google va prendre un coup de poings dans le ventre. (D'ailleurs c'est la raison pour laquelle j'utilise Duckduckgo et Qwant, Google uniquement en dernier recours mais un oignon). Pour Mme.Michu, Non car Mme.Michu n'est pas assez "geek" pour comprendre les implications et se dira "Bah, il y a que les méchants qui ont quelque chose à cacher.".
Seulement voilà, la proportion de Mme.Michu est largement supérieur à la proportion de "geek" et donc ça ne changera rien pour Google. (On est dans le bruit de la mesure).

Tu as raison, il suffit d'une personne pour, parfois, changer le cours de l'Histoire. (effet papillon ?) . Mais à moins qu'un conseillé "geek et non vendu" à l'Union Européenne parvient à faire prendre conscience des dangers et autres à nos gouvernements, et qu'en réponse, ils tapent très fort du point sur la table, je vois pas comment ça peut changer.
Et d'ailleurs, même si une manifestation était organisé contre ça, je suis presque sûr que certains ministres (suivez mon regards) ne l'autoriserez même pas tant ça pourrait (peut-être) déranger.

Serieusement... continue a coder et laisse les aspects de securité a ceux qui s'y connaissent

Entièrement d'accord avec toi. Sauf que si les aspects sécurité sont du genre hash de mot de passe à la MS datant du crétacée, j'ai le devoir d'émettre une réserve. Après comme dans le milieu scientifique, si j'ai tord démontre le moi et démontre moi que tu as raison. En l'occurence ici, il y a match nul entre les deux.

Si tu me permets de chercher la petite coccinelle derrière la feuille de chou. Si Airbus, Dassaut Systems ou autres, utilisent des routeurs Cisco (rien contre eux, c'est pour l'exemple), j'estime que l'inertie de Cisco et à sécuriser ses produits est un manque de sérieux de l'entreprise mettant en danger ces entreprises vis-à-vis de l'espionnage industriel.
En revanche pour un logiciel open-source comme OpenSSL, bah c'est leur risque et péril. Soit ils l'utilisent tel quel, soit il paye pour vérifier le code et accessoirement corrigé les failles. Combien d'entreprises participent à l'Open-Source est on apporté des corrections à des bugs ? D'ailleurs la NSA a développé le SELinux (https://en.wikipedia.org/wiki/Security-Enhanced_Linux). Doit-on y voir une backdoor ? Peut-être, mais au moins ici, je peux me dire que c'est ma faute aussi. Car je peux me former pour chercher une faille et la soumettre à l'équipe qui s'en charge. Alors qu'avec un code fermé, bah je suis sur que le service juridique va être content de me voir

[Aeson]

Après comme dans le milieu scientifique, si j'ai tord démontre le moi et démontre moi que tu as raison

Sans reflechir : Deja OpenSSL, BASH, ...Il y a tellement de faille dans le libre qu auraient pu etre corigée si les bonne pratique avaient ete mise en oeuvre...

D'un autre coté il y a également une tonne de logiciel libre qui sont tres bon. Mais encore une fois Libre ne veut pas dire secure et proprietaire ne veut pas dire avec des backdoor. Un Windows serveur isoler dans un VLAN sans accees a internet ne posera pas de probleme. Un vieux Linux sans firewall dans une DMZ configuré n'importe comment sera une vrai passoire. Et c'est pas des code review qui changeront quoi que se soit.

[Lcf.vs]

@Aeson: tu crois pas qu'il serait temps d'arrêter ce débat stérile, d'autant plus que puisque tu compares du closed sources à de l'open sources, tu n'as aucun point de comparaison réaliste, puisque tu ne peux quantifier à quel point c'est tellement mieux ou pire, dans une solution closed source?

Les failles dont tu parles sont justement la preuve que ce code review est utile, puisque c'est grâce à cela qu'on a pu les remarquer et les corriger.

[Aeson]

Les failles dont tu parles sont justement la preuve que ce code review est utile, puisque c'est grâce à cela qu'on a pu les remarquer et les corriger.

Ces failles montre justement qu'il n'y a pas de code review. La faille a ete dectectee 7 ans apres... Si les code-review etait de qualité ca n'aurait pas pris si longtemp. Donc il ne faut pas baser sa securité sur les code review. Si ils sont fait c'est bien, ca augmentra la qualité du code mais il ne faut pas lui faire confience pour la securité. Qu'il soit OpenSource ou pas.

Mais on va en rester la... Conrinuer a adminrer votre beaux code si ca vous plait autant...

[Tartare2240]

Au bout d'un moment...

[pierre-y]

Apres vue que google et apple sont pas les dernier a faire de l'espionnage de se type, ils peuvent difficilement crier au scandale.

[Tartare2240]

C'est plutôt Mozilla qui crie au scandale. Et nous, par la même occasion

[Traroth2]

Je ne dis pas que Windows est plus secure. Je dis que les code review sont LOIN d'etre suffisant pour dire qu'un systeme est secure. Alors quand on ettend la comunauté Linux dire que Linux est secure car ils y a plein de code-review.... Ils doivent etre plié en 4 a la NSA....

Mais personne n'a jamais dit que c'était suffisant. Nécessaire mais pas suffisant, je l'ai dit explicitement au-dessus.

[emutramp]

Aeson

La majorite de tes propos sont denues de sens.

1) Backdoor cache dans du code opensource

https://www.theregister.co.uk/2015/0...romium_hubbub/
https://torrentfreak.com/new-utorren...-miner-150413/
(2 exemples parmis d’autres)

Est-il possible de cacher un backdoor dans un code 100*% open*? Oui mais c’est suicidaire, il sera forcement un jour ou l’autre déniché. Aucun intérêt a moins d’avoir le désire de ruiner sa réputation. utorrent est le parfait exemple (même si ce n’était pas un backdoor), une fois le miner découvert, le client n’est disponible dans le gestionnaire de paquet de Gentoo (ça doit être aussi le cas pour les autres distro). Résultat des courses, le software torrent le plus utilise se retrouve au fond des oubliettes.

2) Aucune preuve que Microsoft and co collabora avec la CIA

https://www.theguardian.com/world/20...tion-user-data

Avec la NSA en tout cas, c’est une certitude. Donc, Microsoft collabore avec la NSA mais pas la CIA ?

3) Code source ouvert plus sécurisé que le code ferme

Pour la securite IT, on applique la loi murphy

Code ferme*: Aucune possibilité d’étudier le nombre de faille. Le potentiel est donc que l’integralite des soft, lib… sont faillibles.

Code ouvert*: Possibilité pour quiconque d’étudier, corriger, alerter.

4 ) Personne ne compile ou examine l’intégralité des sources.

Vrai et Faux. L’intégralité du système jusqu’au compilateur peut-être compile, ainsi que les software, mise a jour… Ça s’appelle Gentoo. L’humain n’est pas parfait et ne peut examiner constamment chaque ligne de code, mais une vulnérabilité a au moins la chance de pouvoir être détecté et corrigé par un utilisateur d’où qu’il vienne a l’instar d’un code source fermé. L'opensource y gagne depuis quelques annees, au niveau investissement financier: permettant a nombre de dev de faire des audits sur les codes opensource et d'y déceler des problèmes de sécurité.

5) OS complètement sécurisé ça n’existe pas

Presque, quelqu’un l’a cite sur ce topic → openbsd | 2 failles en 20 ans
Pour comprendre pourquoi cet OS est sécurisé, tu peux consulter la FAQ

6) Faille kernel Linux

Je te redirige vers grsecurity

7) Le debat sans fin opensource vs closed source

La seule raison valable d’un code source fermé, serait pour une utilisation privé, d’une boite ou d’un secteur qui désire cacher le fonctionnement de leurs soft pour les raisons qui les encombres (militaire, secret...). Tant qu’un code source fermé reste dans le domaine du privé, aucun problème

Des lors qu’un code est disponible pour le public, il devrait être ouvert, nous n’avons et ne devons pas avoir confiance sur l’intégrité des dev derriere celui-ci mais exiger une transparence totale. Je vois arriver les arguments des jeux vidéos a ce que je réponds : Achetez-vous une console ou a la limite ou un PC spécialement utilisé pour les jeux.

Pour finir, Microsoft qui a tout au long de sa carrière essayer de mettre des battons dans les roues de Linux, pour le faire interdire / couler, qui désormais plonge vers sa perte, a bien retourné sa veste: Il essaye désormais de s’incruster dans l’opensource dans l’idée de le contrôler / survivre et/ou de ne pas finir la ou il devrait être : dans une poubelle. Un reproche que je fais a la fondation Linux qui a ouvert récemment les bras a Microsoft... Mais Linux reste le trademark de Linus and co et ils ont tellement apporté a la communauté que je ferais impasse sur ce point, tout en évitant au possible la moindre ligne made in Microchiotte sur mon système

Aucune preuve que Linus collabore avec la CIA*? Vrai, pour microsoft par contre, on le sait.

Microsoft : Security by obscurity

[Coriolan]

La fuite de Wikileaks montre que le chiffrement de données fonctionne
Rendant la tâche plus difficile aux agences d'espionnage

La semaine dernière, la plateforme Wikileaks a entrepris de publier des milliers de documents confidentiels appartenant à la CIA. Cette fuite baptisée Vault 7 a exposé les différents moyens et outils de piratage exploités par l’agence de renseignements américaine. Ces véritables cyberarmes ont permis à la CIA de créer sa propre “NSA” avec encore moins de responsabilités et d’exigences à répondre publiquement. En effet, l’agence d’espionnage dispose d’un arsenal gigantesque comprenant des logiciels malveillants, des virus, des chevaux de Troie, des exploits “zero day” armés, des systèmes de contrôle à distance des logiciels malveillants et la documentation associée. Bref, aucun appareil électronique n'est à l'abri de l’agence d'espionnage américaine.

Mais l’industrie de l’IT a tiré une autre conclusion des révélations de Wikileaks, c’est que le chiffrement de données marche et que l’industrie doit en recourir davantage. Des documents apparemment exposant le programme de surveillance de la CIA suggèrent que les agents du service d’espionnage s’efforcent de contourner le chiffrement qu’ils ne peuvent pas casser. Dans beaucoup de cas, la présence physique d’un agent est requise pour mener des attaques ciblées.

« Nous vivons dans un monde dans lequel le gouvernement américain veut avoir vos données, ils ne peuvent pas espérer casser le chiffrement, » a dit Nicholas Weaver, qui enseigne le networking et la sécurité à l’Université de Californie, Berkley. « Ils doivent se tourner vers des attaques ciblées, et c’est coûteux, dangereux, et le genre de choses que vous faites seulement avec les cibles qui vous intéressent. Voir la CIA agir de la sorte doit réassurer les activistes pour les libertés individuelles que la situation est meilleure maintenant qu’elle a été avant quatre ans. »

Plus de chiffrement

Justement il y a quatre ans, l’ancien employé de la NSA Edward Snowden avait révélé des informations classées tops secrètes de la NSA concernant la captation des métadonnées des appels téléphoniques aux États-Unis, ainsi que les systèmes d’écoute sur internet des programmes de surveillance PRISM, XKeyscore, Boundless Informant et Bullrun du gouvernement américain et les programmes de surveillance Tempora, Muscular et Optic Nerve du gouvernement britannique. Pour contrecarrer ses programmes de surveillance généralisée, l’industrie a entrepris d’étendre l’usage du chiffrement des données pour les emails et les applications de messagerie, un processus qui permet de rendre leur contenu illisible et indéchiffrable sans les clés nécessaires.

Les révélations de Snowden ont brisé les hypothèses antérieures suggérant qu’il a été presque impossible d’intercepter les données sur Internet pour des besoins de surveillance, a dit Lorenzo Hall, technologue en chef du groupe Center for Democracy & Technology. Cela a été dû au fait que chaque message sur Internet était divisé en plusieurs paquets, et chaque paquet suivait son propre chemin à travers le réseau jusqu’à arriver à sa destination.

La révélation que les agences d’espionnages ont réussi à contourner ce problème a poussé les acteurs à doubler d’efforts pour mieux protéger les données sur Internet. Des services comme WhatsApp et Apple iMessage ont eu recours au chiffrement du bout en bout, que même WhatsApp et Apple ne peuvent pas casser.

Le chiffrement de bout en bout de WhatsApp garantit que seuls vous et la personne avec qui vous communiquez pouvez lire ce qui est envoyé ; il n'y a donc pas d'intermédiaires, pas même WhatsApp. Vos messages sont protégés avec un cadenas, et seuls le destinataire et vous avez la clé spéciale qui permet de débloquer et lire votre message. Afin d'assurer une protection supplémentaire, chaque message que vous envoyez a son propre cadenas unique et sa clé unique. Tout cela est automatique : vous n'avez pas besoin de quelconques paramètres ni de créer des discussions secrètes pour protéger vos messages, » indique WhatsApp sur son site officiel.

Un défi pour les autorités

Durant le passé, les agences d’espionnage comme la CIA pouvaient pirater les serveurs de WhatsApp et les autres services similaires pour capturer les échanges des utilisateurs. Mais avec le chiffrement du bout en bout, cette possibilité a été rendue plus difficile. C’est pourquoi la CIA doit désormais retourner aux méthodes classiques comme les écoutes téléphoniques et l’interception des données avant leur chiffrement. « C’est comme lors des bons vieux jours lorsqu’ils devaient s’infiltrer dans une maison et planter un microphone, » a dit Steven Bellovin, professeur à l’Université de Columbia qui a longtemps étudié les questions de cybersécurité.

Le chiffrement s’est tellement imposé que même le FBI a voulu l’année dernière qu’Apple déverrouille l’iPhone utilisé par l’un des attaquants de San Bernardino. Apple a refusé de répondre à cette requête et le FBI a finalement réussi à déverrouiller le téléphone à l’aide d’un outil de piratage vraisemblablement similaire aux outils faisant partie de l’arsenal de la CIA.

Le directeur du FBI James Comey a reconnu le défi que présente le chiffrement. Il a indiqué qu’il devrait y avoir une balance entre la confidentialité et la capacité du FBI à accéder légalement aux données. Il a également dit que le FBI doit chercher à recruter des informaticiens talentueux avant qu’ils ne finissent dans les rangs d’Apple ou Google.

Les responsables des gouvernements ont longtemps voulu forcer les entreprises à installer des backdoors dans leurs appareils pour que les autorités puissent décoder les messages avec un mandat. Mais les experts de sécurité ont alerté que cette démarche pourrait gravement mettre en péril la sécurité et la confidentialité de tout le monde. Un avis que le PDG d’Apple a partagé lorsqu’il a indiqué qu’une telle mesure servirait également à l’intérêt des mauvaises personnes.

Le chiffrement : encore une solution de patchwork

Pour le moment, les services qui ont appliqué le chiffrement du bout en bout comme iMessage et WhatsApp se comptent au bout des doigts. Bien que le chiffrement est largement plus utilisé aujourd’hui, plusieurs entreprises continuent à encoder leurs données dans des façons qui leurs permettent de les lire et les scanner. Les autorités peuvent alors forcer ces entreprises à divulguer le contenu des messages avec des mandats ou des ordres juridiques. Avec le chiffrement du bout en bout, les entreprises ne seront pas capables de répondre à cet ordre car elles n’auront pas les clés nécessaires.

Mais étendre l’usage du chiffrement de bout en bout présente aussi des défis d’ordre technique. Ce chiffrement rend difficile les recherches sur des emails datant de plusieurs années pour les mentions d’un terme spécifique. Google a annoncé en 2014 qu’il travaillait sur le chiffrement du bout en bout pour l’email, mais aucune solution ne s’est matérialisée. Google chiffre pour le moment les messages en transit, mais cette solution n’est possible que lorsque le service utilisé par le destinataire adopte la même solution.

Les documents de la CIA publiés par Wikileaks suggèrent que l’agence est capable d’exploiter des vulnérabilités dans les téléphones et les logiciels pour capturer les messages quand il n’y a pas de chiffrement. Même si Apple, Google et Microsoft disent qu’ils ont réparé beaucoup de ces vulnérabilités, personne ne connait encore combien sont encore ouvertes.

« Il y a différents niveaux d’attaque, » a dit Daniel Castro, vice-président de la information Technology and Innovation Foundation. « Nous avons peut-être sécurisé un niveau (avec le chiffrement, mais il y a encore des faiblesses sur lesquelles on devrait se concentrer. »

Cohen préconise également que les gens doivent utiliser le chiffrement, malgré les techniques et l’arsenal de cyberarmes des agences d’espionnage « c’est mieux que rien. »

Source : The New York Times

Et vous ?

Pensez-vous que l'implémentation du chiffrement de bout en bout de WhatsApp et iMessage est sûre ?
Pensez-vous que le chiffrement de données aujourd'hui est menacé par le développement d'ordinateurs quantiques ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks va partager le code de la CIA avec les entreprises IT, quand la CIA dit continuer à collecter agressivement des renseignements à l'étranger