Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #41
    Expert éminent sénior
    Tous les experts en sécurité m'ont dit la même chose :

    1. une porte dérobée, c'est une porte
    2. une porte, pour un hacker, c'est toujours une porte ouverte


    Et j'ai tendance à les croire.
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

  2. #42
    Inactif  
    Citation Envoyé par el_slapper Voir le message
    Tous les experts en sécurité m'ont dit la même chose :

    1. une porte dérobée, c'est une porte
    2. une porte, pour un hacker, c'est toujours une porte ouverte


    Et j'ai tendance à les croire.
    Mmmm.... je serais un peu plus nuancé, c'est juste mon esprit de contradiction et de pinaillage.


    Le problème des backdoors est qu'elles sont généralement très peu sécurisées, et se reposent sur une sécurité par l'obscurité (très nul), ou donnent accès à bien trop de données si jamais elles étaient exploitées.

    Par exemple, un compte backdoor sur Windows n'a pas de raison d'être moins sécurisé que votre e.g. mot de passe. Le problème c'est que si on vole votre mot de passe, on n'a accès qu'à votre compte, alors que si on exploite la backdoor, on a accès à tous les ordinateurs Windows.

    Les backdoors deviennent alors très attractives, dont les attaquants, sont bien plus motivés et y mettent bien plus de moyens. Par sûr e.g. que la Chine utilise tous ses super-calculateurs pour trouver mon mot de passe Windows... en revanche, pour trouver une backdoor sur l'ensemble des ordinateurs Windows... c'est tout de suite bien plus intéressant.


    Après il existe des technologies de fonctions avec trappes, de dés-anonymisations, qui sont un peu comme des backdoors. Mais quand on le fait, c'est pas des guignols de politiciens qui se penchent dessus. C'est pas une clé globale stockée n'importe où qui donne accès à toutes les données, ni même censée être très utilisée.

    Par exemple, un cas d'usage est pour les dossiers médicaux. Seul vous et votre médecin devez pouvoir consulter vos données médicales, donc être chiffrées de sorte à ce que celui vous et votre médecin puissiez y accéder. Le problème est... que se passe-t-il si vous vous retrouvez à l'hôpital inconscient dans un cas urgent ? Votre médecin n'est pas là, et vous êtes inconscient. Il y a alors besoin d'une "backdoor", que certains personnels médicaux pourront utiliser... mais en conservant les traces des accès avec tout un cadre protocolaire et juridique.


    Si on reprend la problématique, en soit avoir une backdoor sur nos communications chiffrées, ça peut se faire... il faudrait tout un protocole, avec plusieurs personnes possédant une "partie" de clé personnelle, e.g. un juge, un policier, le FAI, avec un enregistrement des accès, une procédure juridique, et sur un ensemble de données limitées, à la fois temporellement, et cibler une personne précise. C'est compliqué, cela fait intervenir des pans de recherches en crypto, c'est loin d'être trivial.

    Pas comme ce qu'ils veulent faire et donner une clé à la NSA pour que ce soit la fête du slip.

  3. #43
    Expert éminent sénior
    oui, on est d'accord. J'ai donné le principe de base, tu rentres beaucoup plus dans les détails.

    D'ailleurs, ton histoire de dossiers médicaux, je connais bien. On appelle ça le "bris de glace". Et c'est soumis à autorisation et audité de partout, en effet. Pour moi, ce n'est pas une backdoor, c'est un accès autorisé aux données. Avec des procédures bien particulières. Une backdoor, c'est donner les clefs de la base à quelqu'un. Un bris de glace, c'est tamponner administrativement le droit, via l'interface utilisateur, le droit à quelques professionnels de santé d'accéder à un dossier médical unique.

    En hospitalier, il est interdit de faire des delete. On met à jour les données. Si elles sont obsolètes, voire fausses, le système rajoute une date de fin de validité. Mais jamais de suppression. C'est interdit. Ca (plus d'autres mécanismes) permet d’auditer tout ce qui c'est passé. Effectivement, si tu donnes les clefs de la base à quelqu'un, le Delete devient possible. Outre le fait que ça corromprait méchamment la base (conçue pour que jamais rien ne soit supprimé), ça donnerait le droit de faire des choses qui sont clairement illégales(et pas par hasard).

    Donc je fais la différence entre une backdoor et un bris de glace. La seconde est propre et maîtrisée. Evidemment, ces crétins ivres de leur pouvoir veulent la première - qui est catastrophique à tous les points de vue, sauf quand on veut faire du dégât.
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

  4. #44
    Inactif  
    Citation Envoyé par el_slapper Voir le message
    Donc je fais la différence entre une backdoor et un bris de glace.
    Je ne connaissais pas cette terminologie.

    Pour une vraie Backdoor sinon, on a les comptes admins sur les ordinateurs professionnels auxquels les sysadmins ont généralement accès. C'est utile, mais c'est vrai que pour le coup faut leur faire confiance.

    Peut-être devraient-ils eux aussi avoir une procédure "bris de glace", pour déverrouiller l'accès à ce compte admin.

  5. #45
    Expert éminent sénior
    Citation Envoyé par Neckara Voir le message
    Je ne connaissais pas cette terminologie.

    Pour une vraie Backdoor sinon, on a les comptes admins sur les ordinateurs professionnels auxquels les sysadmins ont généralement accès. C'est utile, mais c'est vrai que pour le coup faut leur faire confiance.

    Peut-être devraient-ils eux aussi avoir une procédure "bris de glace", pour déverrouiller l'accès à ce compte admin.
    C'est une terminologie médicale, je ne sais pas si ça existe ailleurs. Et c'est complètement contrôlé par l'application. Un admin (au sens fonctionnel, souvent un cadre de santé, pas forcément un admin technique) donne à l'utilisateur des droits bris de glace sur un patient, et le docteur/infirmier/pharmacien a soudain accès aux données concernant le patient en question. Un équivalent pourrait être intéressant en effet, mais il nécessite d'abord d'identifier les besoins réels, et de mettre en place une interface et des procédures qui permettent d'agir sur le domaine ou l'urgence l'exige. Ce n'est pas ça qu'ils veulent. Ce qu'ils veulent, c'est les pleins pouvoirs sur les données.
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

  6. #46
    Membre éclairé
    Citation Envoyé par el_slapper Voir le message
    C'est une terminologie médicale, je ne sais pas si ça existe ailleurs. Et c'est complètement contrôlé par l'application. Un admin (au sens fonctionnel, souvent un cadre de santé, pas forcément un admin technique) donne à l'utilisateur des droits bris de glace sur un patient, et le docteur/infirmier/pharmacien a soudain accès aux données concernant le patient en question. Un équivalent pourrait être intéressant en effet, mais il nécessite d'abord d'identifier les besoins réels, et de mettre en place une interface et des procédures qui permettent d'agir sur le domaine ou l'urgence l'exige. Ce n'est pas ça qu'ils veulent. Ce qu'ils veulent, c'est les pleins pouvoirs sur les données.
    Moi non plus j ' ignorais cette terminologie , merci de l ' avoir enseigné

  7. #47
    Chroniqueur Actualités

    USA : le projet de loi EARN IT désormais en lecture dans la Chambre des représentants
    USA : le projet de loi EARN IT désormais en lecture dans la Chambre des représentants.
    Des défenseurs des droits numériques craignent une menace sur le chiffrement et la liberté d'expression malgré les amendements

    EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies) Act est un projet de loi américain qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne. Dès le départ, des organisations de la protection de vie privée et des libertés civiles sur Internet, comme l’EFF et l’ACLU, ainsi que des sociétés de l’Internet, comme Signal, s’opposent au projet de loi, arguant qu’il donnera un pouvoir démesuré aux autorités gouvernementales afin de miner sérieusement le chiffrement fort, mettant ainsi les informations des utilisateurs en danger. D'autres entités les ont rejoint un peu plus tard à l'instar de Mozilla.

    En juillet 2020, le comité judiciaire du Sénat a adopté une version modifiée du projet de loi EARN IT. Cette version du projet de loi controversé avait donc l'aval de ce comité pour être débattue au sein du Sénat tout entier. Bien que les amendements incluent des changements substantiels, des groupes comme l'ACLU et Free Press Action se sont toujours montrés préoccupés par les ramifications que le projet de loi pourrait avoir pour la liberté d'expression et les groupes marginalisés.

    En apparence, le projet de loi EARN IT, vise à protéger contre la maltraitance des enfants. Mais dans sa forme initiale, le projet de loi menaçait également le chiffrement de bout en bout. La version modifiée du projet de loi EARN IT garantit que les entreprises ne seront pas davantage tenues responsables de la création d'outils de cybersécurité tels que le chiffrement, mais le débat sur le chiffrement n'est pas terminé. Au lieu de cela, les législateurs l’ont déjà déplacé dans le domaine d’un accès légal aux données chiffrées, qui obligerait les entreprises à créer des portes dérobées sur leurs produits pour permettre au gouvernement d’y avoir accès. En théorie, cela pourrait empêcher les criminels et les trafiquants de drogue de communiquer secrètement, mais cela pourrait également menacer les droits fondamentaux à la vie privée.

    L'autre préoccupation majeure soulevée par les opposants à la loi EARN IT Act concerne l'article 230 de la Communications Decency Act, qui stipule que les entreprises ne sont pas responsables de la majorité du contenu que les utilisateurs publient. À l'origine, le projet de loi EARN IT proposait d'exiger que les entreprises « méritent » les protections de l'article 230 en suivant les pratiques recommandées décrites par une commission du ministère de la Justice. Sans ces protections, des entreprises comme Twitter ou Facebook pourraient être obligées de retirer tout ce qui pourrait entraîner une contestation judiciaire, ce qui pourrait menacer la liberté d'expression.


    Les amendements adoptés privent la commission du ministère de la Justice de toute autorité légale et n'obligeront pas les entreprises à bénéficier de la protection de l'article 230 en suivant les pratiques recommandées. Mais le projet de loi viendrait également apporter des amendements à l'article 230 afin d’autoriser les poursuites des États, et les assemblées législatives des États pourraient restreindre ou interdire les technologies de chiffrement. De plus, cela pourrait conduire à des lois incohérentes qui varient d'un État à l'autre.

    « Les auteurs de ce projet de loi veulent évidemment remédier aux véritables préjudices causés par les documents abusifs, mais le projet de loi modifié conduit à une énorme ouverture pour la responsabilité au niveau de l'État », a déclaré Gaurav Laroia, conseiller principal en politique de Free Press Action, dans un communiqué. « Même tel que modifié aujourd'hui, il invite les États à commencer à adopter toutes sortes de lois sous prétexte de protéger contre les abus, mais à reproduire les problèmes qui accompagnaient le texte original du projet de loi EARN IT ».

    L'ACLU, qui affirme que le projet de loi ne fait pas grand-chose pour « aborder de manière significative la question de la maltraitance des enfants », s'oppose également aux nouveaux amendements :

    « L'ACLU a toujours soutenu les efforts visant à garantir que ceux qui subissent des abus sexuels, en particulier les enfants, n'aient pas peur de se manifester et que, lorsqu'ils le font, ils soient traités de manière juste et équitable. Bien que les objectifs déclarés de la loi EARN IT de protéger les enfants contre l'exploitation sexuelle des enfants en ligne soient louables, elle ne parvient pas à résoudre de manière significative le problème qu'elle prétend résoudre. Par exemple, le projet de loi ne fait rien du tout pour s'attaquer aux causes profondes de l'exploitation sexuelle des enfants afin d'empêcher que les enfants soient des victimes en premier lieu. Il ne fournit également aucune assistance aux victimes pour qu'elles reçoivent un soutien, des soins et des conseils pour atténuer les préjudices causés par des événements traumatisants ou toute protection contre les éventuelles conséquences négatives en matière d'immigration, criminelles ou autres de dénoncer les crimes contre elles. Le projet de loi ne fera rien pour résoudre ces problèmes fondamentaux, tout en créant une multitude d'autres.

    « Plutôt que de protéger les enfants contre les préjudices, la loi EARN IT porterait atteinte à la vie privée et aux droits de parole en ligne de chaque personne dans ce pays. En modifiant une loi fédérale clé qui prend en charge le discours en ligne, elle nuira également de manière disproportionnée à la communauté LGBTQ et à la communauté des travailleuses du sexe de manière similaire à SESTA / FOSTA, une loi qui a modifié la même disposition en 2018. SESTA / FOSTA visait à protéger les personnes engagées dans le travail du sexe de la traite contre leur gré. Cependant, les professionnel (le) s du sexe utilisent des plateformes en ligne pour filtrer les clients potentiellement violents, partager des informations concernant la santé et la sécurité, et autrement communiquer en privé et en toute sécurité. SESTA / FOSTA a éliminé de nombreux espaces utilisés par les professionnel (le) s du sexe pour maintenir la sécurité et protéger leur santé et a renvoyé les professionnel (le) s du sexe dans les rues dans des situations dangereuses. Plutôt que de protéger les personnes contre le trafic illégal, SESTA / FOSTA a mis en danger la santé, la sécurité et le bien-être encore plus loin qu'il ne l'avait été. Le représentant Khanna a présenté un projet de loi que l'ACLU soutient en faveur d'une étude fédérale pour quantifier ce préjudice. De plus, SESTA / FOSTA a également provoqué une censure disproportionnée du discours des personnes LGBTQ en ligne ».


    EARN IT Act désormais en lecture dans la Chambre des représentants

    Cela n'a pas empêché le projet de loi d'évoluer dans son adoption. Le 30 septembre 2020, EARN IT act a été passé à la Chambre des représentants qui compose, avec le Sénat, le Congrès des États-Unis et forme à ce titre l'un des deux organes du pouvoir législatif américain. Elle représente les citoyens au sein de l'Union et constitue la chambre basse du Parlement fédéral.

    « En tant qu'élus, il n'y a pas de plus grande responsabilité que de veiller à ce que nous gardions nos enfants en sécurité », a déclaré la députée démocrate Sylvia Garcia. « C'est pourquoi je suis fier de présenter la loi bipartite EARN IT Act, qui veillera à ce que nous prenions les précautions nécessaires pour protéger nos enfants en prévenant et en répondant aux contenus d'abus sexuels d'enfants en ligne. Nous devons utiliser toute la force de la loi pour demander des comptes à ceux qui profiteraient de nos enfants ou enfreindraient les lois sur les abus sexuels sur les enfants ».

    « Je suis fier de me joindre à ma collègue, la représentante Sylvia Garcia, pour présenter la loi EARN IT Act, une loi essentielle qui rendra responsables les mauvais acteurs qui facilitent le matériel d’abus sexuel sur des enfants », a déclaré la députée républicaine Ann Wagner. « Comme je l'ai dit à plusieurs reprises, je pense que si l'exploitation est un crime hors ligne, cela devrait aussi être un crime en ligne, et je suis ravi de continuer à travailler avec les survivants, les avocats, les forces de l'ordre et l'industrie pour protéger les enfants contre exploitation ».

    Le projet de loi EARN IT permettra d'atteindre ces objectifs grâce aux dispositions législatives suivantes qui:
    • Créer une commission d'experts composée de représentants d'agences gouvernementales, des agents des forces de l'ordre, de procureurs, d'universitaires, de survivants et/ou d'entreprises technologiques à but non lucratif. La Commission compilera les meilleures pratiques consultatives relatives à la prévention, à la réduction et à la lutte contre l'exploitation sexuelle des enfants en ligne. Les meilleures pratiques seront volontaires, non obligatoires ou contraignantes, et serviront à guider les entreprises qui souhaitent mettre en œuvre des mesures pour protéger les enfants de l'exploitation sexuelle en ligne.
    • Modifier la Communications Decency Act (loi sur la décence en matière de communication) pour permettre aux fournisseurs de services interactifs d'être soumis à la responsabilité civile fédérale et étatique et à la responsabilité pénale de l'État en vertu des lois sur la pornographie enfantine.
    • Remplacer « pornographie juvénile » par « matériel d'abus pédosexuels » dans tout le code pénal américain.
    • Améliorer la CyberTipline du NCMEC pour exiger le signalement du trafic sexuel d'enfants et de la séduction en ligne, rationaliser le signalement et permettre le partage d'informations pour répondre aux abus sexuels sur des enfants.
    • Permettre à un tribunal d'examiner les preuves d'actions ou de circonstances liées à des éléments impliquant l'exploitation sexuelle de mineurs si les preuves sont par ailleurs recevables.
    • Prévoir que les actions ou les services impliquant des services de messagerie chiffrés ne doivent pas servir de base indépendante pour la responsabilité des fournisseurs de services interactifs en cas de plaintes liées à du matériel d'abus sexuel d'enfants.



    Mais l'Electronic Frontier Foundation, un défenseur des droits numériques, tient à tirer la sonnette d'alarme :

    « Le EARN IT Act permettrait aux 50 législatures des États, ainsi qu'aux territoires américains et à Washington D.C., d'adopter des lois qui réglementeraient Internet. En enfreignant l'article 230 de la loi sur la décence des communications, le projet de loi EARN IT permettrait aux petits propriétaires de sites Web d'être poursuivis en vertu des lois de l'État, à condition que les poursuites soient liées d'une manière ou d'une autre à des crimes contre des enfants.

    « Nous savons comment les sites Web réagiront à cela. Une fois qu’ils font face à des poursuites en raison du discours d’autres personnes, ils surveillent leurs utilisateurs et censurent ou ferment les forums de discussion.

    « Le projet de loi crée également une commission consultative sur les ‘meilleures pratiques’ d'Internet qui sera dominée par le procureur général William Barr et les organismes d'application de la loi. Le point de vue de Barr sur les ‘meilleures pratiques’ d’Internet est bien connu : il veut briser le chiffrement et laisser la police lire tous les messages envoyés en ligne.

    « Le tollé public a déjà forcé des amendements à la loi EARN IT qui prétendent défendre le chiffrement, mais ils sont pleins de failles. Ce maquillage de façade ne corrige pas les nombreux défauts du projet de loi. »

    Sources : EFF, Chambre des représentants
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

###raw>template_hook.ano_emploi###