Discussion :

[Claude Michel]

Le service de renseignement britannique serait capable de casser le chiffrement de bout en bout
Selon le procureur général australien

Le Premier ministre australien Malcolm Turnbull a annoncé de nouvelles lois qui obligeront les entreprises de messagerie chiffrée à fournir les messages de leurs utilisateurs. Selon le gouvernement australien, ces dernières devront déchiffrer les messages envoyés par des personnes soupçonnées d'être des terroristes, des trafiquants ou des délinquants sexuels, pour aider la police et les agences d'espionnage dans leurs enquêtes.

Malcolm Turnbull, le Premier ministre australien.

Quand ces applications implémentent le chiffrement de bout en bout, cela signifie qu'en principe seuls l'expéditeur et le destinataire peuvent voir un message, et que les fournisseurs de messagerie ne peuvent rien faire, même s'ils sont contraints de donner accès à ces messages. Selon des spécialistes en cryptographie, les entreprises de technologie ne peuvent donner aux autorités l'accès aux messages qu'en rendant la protection cryptographique plus faible, ce qui risquerait de les rendre accessibles également aux pirates. Pour le gouvernement australien, c’est une question de sécurité et chacun doit assumer sa responsabilité, quelle que soit la technologie pour y arriver : « Je ne suis pas un cryptographe, mais ce que nous cherchons à faire, c'est d'obtenir leur aide. Ils doivent faire face à leurs responsabilités. Ils ne peuvent pas se laver les mains et dire que cela n'a rien à voir avec eux », a déclaré Turnbull.

Mécanisme de chiffrement de bout en bout.

Le chiffrement de bout en bout a toujours fait la polémique entre les gouvernements et les sociétés de messagerie, surtout quand il s’agit de la sécurité intérieure. Et le gouvernement australien ne compte pas uniquement sur les lois qu’il mettra en vigueur. Il irait chercher des technologies capables de casser le chiffrement utilisé par les sociétés entreprises de messagerie. En effet, George Brandis, le procureur général australien, dit que l'agence de renseignement britannique (GCHQ) lui a confirmé la possibilité de déchiffrer de tels messages. « Le mercredi dernier, j'ai rencontré le cryptographe en chef au GCHQ, l'agence de renseignement britannique, au Royaume-Uni, et il m'a assuré que c'était possible », a-t-il déclaré.

En réaction à ce sujet, Facebook a rappelé que le fait d’affaiblir les systèmes de chiffrement au gré des forces de l'ordre revient à les affaiblir pour tout le monde. « Nous apprécions le travail important des forces de l'ordre et nous comprenons leur besoin de mener des enquêtes », a déclaré un porte-parole de Facebook en ajoutant qu'en même temps, « l'affaiblissement des systèmes chiffrés pour [les forces de l'ordre] impliquerait de l'affaiblir pour tous. »

Source : Telegraph, SBS News

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Le Comité du Parlement européen recommande de chiffrer les communications de bout en bout et se montre contre les portes dérobées
Vie privée : Telegram active la communication vocale sécurisée par le chiffrement de bout en bout alors que plusieurs pays sont contre cette pratique

[poma88]

Je peux comprendre que les services de renseignement ont des moyens plus important, vous pensez qu'ils en sont capable ? Avec des ordinateurs quantique peut être ?

[laside]

Qu'ils aient la possibilité de déchiffrer c'est une chose, encore faut'il qu'ils puissent le faire dans un temps raisonnable pour être utilisable.
Décryptage ou pas de toute façon les entreprises concernées n'aurons pas trop de choix face à des obligations légales...

Allez ne paniquez pas, puisqu'on vous dit que c'est pour votre bien

[Invité]

Les faiblesses des systèmes de chiffrement ne sont pas dans les mathématiques ou dans les protocoles, mais dans leur implémentation (par exemple, la NSA a "ajouté" des failles dans OpenSSL qui sont passées inaperçues pendant des années), donc dans les bugs et autres faiblesses de codages ici ou là.

[Shepard]

[B][SIZE=4]Je ne suis pas un cryptographe, mais ce que nous cherchons à faire, c'est d'obtenir leur aide. Ils doivent faire face à leurs responsabilités. Ils ne peuvent pas se laver les mains et dire que cela n'a rien à voir avec eux.

Si l'envie me prenait de communiquer avec mes collègues en utilisant la technique du masque jetable, qu'y pourraient les gouvernements ? Je pourrai même communiquer par courrier papier avec des amis avec qui j'ai échangé une clé, ce serait juste un peu plus lent et fastidieux, mais au final tout à fait faisable, même pour quelqu'un qui ne comprend rien aux maths. Et le gouvernement n'aurait absolument aucun moyen de déchiffrer, à moins de posséder la clé.

Je me demande comment les "cryptographes" vont faire pour rattraper ce coup-là !

[disedorgue]

Il est sur que le "méchant" qui ne tient pas à ce que l'on sache ce qu'il dit à son pote, va faire confiance au protocole cryptographique mis en place par une tiers personne (ici, le FAI)...
Non, mais de qui se moque-t-on ...

[raphchar]

""Je ne suis pas un cryptographe""
C'est bien la phrase qui veut tout dire. Il n'y connait rien, voilà. Si l'obligation d'affaiblir le chiffrement (autant dire l'interdiction du chiffrement) devient légale, il sera le premier à s'étonner que ses messages privés deviennent publics.

""Avec des ordinateurs quantique peut être ?"" En théorie on peut répondre oui, mais en pratique on n'a pas encore créé d'ordinateur quantique gérant assez de qbits pour cela.

""Je pourrai même communiquer par courrier papier avec des amis avec qui j'ai échangé une clé, ce serait juste un peu plus lent et fastidieux, mais au final tout à fait faisable, même pour quelqu'un qui ne comprend rien aux maths"" Oui, mais personne ne veut faire cela. Et donc, si c'est fait rarement, tu seras étiqueté comme quelqu'un de terroriste. Et comme, la tendance actuelle est de supprimer la présomption d'innocence, tu risques d'avoir des soucis.

[dominique_21]

Je pense que dans cette histoire on prend les personnes ayant besoin de communiquer de façon chiffrée pour des idiots, ou alors est-ce peut être tout le monde qui est pris pour des idiots.
Les terroristes ou autres ont certainement la compétence minime nécessaire pour implémenter une solution de chiffrage de bout en bout. Certes il est plus pratique d'utiliser une application "commune" mais dans le pire des cas ils pourront toujours réaliser leur propre logiciel, alors quel intérêt à demander aux fournisseurs d'applications d'affaiblir (ou donner les faiblesses existantes) leur solutions pour les gouvernements si ce n'est pour une surveillance plus globale allant donc à l'encontre des droits individuels (enfin pour ce qu'il en reste).

[Chauve souris]

On nous sort ce bobard digne du monstre du Loch Ness périodiquement (et puis ça permet d'étoffer les gazettes, fussent-elles électroniques pendant les vacances). Moi je croirais à ce cassage de code quand ils mettront en service un site où on pourra déposer un message codé et qu'ils nous le traduiront en clair. Tout le reste n'est que de la propagande

[Ergode]

Si l'envie me prenait de communiquer avec mes collègues en utilisant la technique du masque jetable, qu'y pourraient les gouvernements ? [...] Et le gouvernement n'aurait absolument aucun moyen de déchiffrer, à moins de posséder la clé.

Je me demande comment les "cryptographes" vont faire pour rattraper ce coup-là !

La technique du masque jetable n'est pas la panacée non plus. Point fort: "djhiu" peut être déchiffré en chien, chats, flash,... ou tout mot de 5 lettres en appliquant le masque ad hoc. Toutefois il y a plusieurs défauts/failles.
1°) transmission de la clé
2°) longueur de la clé égale au message (sinon risque de trouver la longueur de la clé en observant les répétitions)
3°) utilisation unique du masque ( problème d'organisation et d'autodiscipline)
4°) Possibilité de fournir une fausse clé de décodage (sans connaitre la vraie) permettant de changer le message décodée
...

[Shepard]

La technique du masque jetable n'est pas la panacée non plus. Point fort: "djhiu" peut être déchiffré en chien, chats, flash,... ou tout mot de 5 lettres en appliquant le masque ad hoc. Toutefois il y a plusieurs défauts/failles.
1°) transmission de la clé
2°) longueur de la clé égale au message (sinon risque de trouver la longueur de la clé en observant les répétitions)
3°) utilisation unique du masque ( problème d'organisation et d'autodiscipline)
4°) Possibilité de fournir une fausse clé de décodage (sans connaitre la vraie) permettant de changer le message décodée
...

Si je me mets dans la position d'un terroriste responsable des arrivants dans un camp d'entrainement, j'aurai préparé des clés USB avec dessus 4GiB de masque et le programme qui chiffrera/déchiffrera les messages (qui consistent donc en le message chiffré et le premier caractère à utiliser dans le masque, au cas où un message chiffré n'arriverait pas à destination). Je pense que ça résoud tous les problèmes que tu énonces :-)

J'ai l'impression qu'implémenter un tel logiciel est faisable par un gamin de 16 ans qui s'est un jour demandé ce qu'était python. Au final le plus dur c'est de générer le contenu des clés aléatoires ^^

[Chauve souris]

C'est un peu hors sujet, mais un peu seulement, je me suis toujours demandé pourquoi on continue avec ces véhicules de transports de fonds, coûteux, finalement pas très sûrs (les attaques existent et ça fait des morts), alors qu'on pourrait utiliser des valises en fin maillage qui déclenche une grenade au phosphore si elles sont forcées.

Les remplisseurs de valises utiliseraient deux clés publiques pour la fermer (et authentifier les destinataires) et, arrivé à la banque le directeur et son adjoint utiliseraient leurs clés privées pour l'ouvrir (toutes ces clés en forme de carte bancaires).

Du coup plus de problème de sécurité une bête camionnette suffirait à livrer les valises inviolables.

Je peux vous dire qu'au Paraguay transporteur de fond ce n'est pas une sinécure et en plus ils sont mal payés.

[Kikuts]

Ca serait cool si les anonymous, les white hats etc etc etc. Bref, tout ce petit monde déchiffraient et rendait public les messages privés de ces derniers afin qu'ils comprennent ce que ça impliquent.
Quand leurs vie perso sera étallé, que leurs femmes apprendront qu'ils ont une maitresse, est-ce qu'ils camperont toujours sur leurs position ?

Tant qu'ils ne se bruleront pas la main, ils continueront de penser qu'on peut mettre sa main dans un four...

[Volgaan]

« Je ne suis pas un cryptographe, mais ce que nous cherchons à faire, c'est d'obtenir leur aide. Ils doivent faire face à leurs responsabilités. Ils ne peuvent pas se laver les mains et dire que cela n'a rien à voir avec eux »

Comme le disait très justement Mounir Idrassi (développeur de VeraCrypt, fork du vénérable TrueCrypt) : « Les portes dérobées qui n'acceptent qu'une personne n'existent pas ». Tout est dit

[Marco46]

Le chiffrement de bout en bout a toujours fait la polémique entre les gouvernements et les sociétés de messagerie, surtout quand il s’agit de la sécurité intérieure. Et le gouvernement australien ne compte pas uniquement sur les lois qu’il mettra en vigueur. Il irait chercher des technologies capables de casser le chiffrement utilisé par les sociétés entreprises de messagerie. En effet, George Brandis, le procureur général australien, dit que l'agence de renseignement britannique (GCHQ) lui a confirmé la possibilité de déchiffrer décrypter de tels messages. « Le mercredi dernier, j'ai rencontré le cryptographe en chef au GCHQ, l'agence de renseignement britannique, au Royaume-Uni, et il m'a assuré que c'était possible », a-t-il déclaré.

[Ergode]

Au final le plus dur c'est de générer le contenu des clés aléatoires

Izi. Tu prends une antenne et tu écoutes "la neige". Il me semble que la FdJ utilisait cette méthode pour générer les tirages du Rapido.