Le procureur général US estime que les consommateurs devraient accepter les risques posés par les backdoors
Chiffrement : des sénateurs US préparent un nouveau projet de loi sur des portes dérobées
uniquement accessibles aux forces de l'ordre
En fin de compte, les législateurs et le gouvernement américains n'auront pas de répit jusqu'à ce qu'ils voient leur projet de loi sur les portes dérobées devenir une réalité. Au début de cette année, c'est le FBI qui argumentait pour une énième fois en faveur des backdoors dans les produits des entreprises technologiques ; des portes dérobées qui seraient ouvertes exclusivement aux forces de l'ordre dans le cadre de leurs enquêtes. Le patron de l'agence américaine, Christopher Wray, expliquait en effet que l'impossibilité pour les forces de l'ordre d'accéder aux données de certains appareils électroniques à cause d'un chiffrement inviolable est un « problème majeur de sécurité publique ».
Le débat sur l'introduction de portes dérobées dans les produits des entreprises technologiques a éclaté après l'attaque de San Bernardino en décembre 2015, quand le FBI s'est trouvé dans l'incapacité d'accéder à l'iPhone de l'un des terroristes. En février 2016, deux sénateurs américains ont proposé un projet de loi qui aurait obligé les entreprises technologiques américaines à affaiblir le chiffrement de leurs produits pour les besoins du FBI et ses pairs. Mais l'initiative, coparrainée par le républicain Richard Burr et la démocrate Dianne Feinstein, a échoué avant d'être soumise au vote du Sénat.
Deux ans après que le projet de loi est tombé à l'eau, la sénatrice Dianne Feinstein est de nouveau à la tête d'un effort visant à permettre à la police d'accéder à toute information envoyée ou stockée sur des dispositifs électroniques. La nouvelle initiative serait également sponsorisée par Chuck Grassley (président du Comité judiciaire du Sénat) et le département américain de la Justice (DoJ).
Au cours des derniers mois, les membres du Comité judiciaire du Sénat se seraient même entretenus avec des représentants de grandes entreprises de technologie américaines afin de recevoir des commentaires sur d'éventuelles futures législations. Étant donné que ce projet de loi pourrait avoir un impact important sur l'état de la cybersécurité aux États-Unis, des discussions seraient également menées entre différents départements et agences américaines.
Ces informations viennent après que des articles publiés fin mars, par le New York Times et le quotidien américain Politico, ont révélé que les discussions sur le chiffrement avec backdoor ne sont pas encore terminées. Le New York Times a par exemple rapporté que les responsables du FBI ont discuté avec des experts du monde universitaire sur les options techniques qui pourraient convaincre les entreprises technologiques américaines à créer des « voies numériques confidentielles » pour l'accès aux données des clients.
Les discussions étant toujours en cours, on ne sait pas encore quand un tel projet de loi sera présenté.
Source : CyberScoop
Et vous ?
:fleche: Qu'en pensez-vous ?
2 pièce(s) jointe(s)
Le procureur général US estime que les consommateurs devraient accepter les risques posés par les backdoors
Le procureur général US estime que les consommateurs devraient accepter les risques posés par les portes dérobées,
pour faciliter le travail de la police
Le procureur général des États-Unis, William Barr, a déclaré que les consommateurs devraient accepter les risques que les portes dérobées peuvent poser à leur cybersécurité personnelle pour garantir que les forces de l’ordre puissent accéder aux communications chiffrées.
Dans un discours prononcé à New York, le procureur général américain a repris en grande partie le même discours que ses prédécesseurs et d'autres hauts responsables du ministère de la Justice, appelant les sociétés de technologie à faire davantage pour aider les autorités fédérales à accéder aux appareils lorsqu’un mandat est délivré. .
La messagerie chiffrée s’est vulgarisée ces dernières années au point de se retrouver dans les produits Apple, Facebook, Instagram et WhatsApp. Il s’agissait là d’une réponse de Silicon Valley face à l'abus d'accès des services de renseignement à la suite des révélations d'Edward Snowden en 2013. Mais les forces de l'ordre indiquent que le chiffrement empêche l'accès aux communications dont ils prétendent avoir besoin pour poursuivre les criminels.
Le gouvernement appelle cela « devenir sourd et aveugle » parce que les forces de l’ordre ne sont pas en mesure de voir les communications chiffrées. Ce qui a d’ailleurs mis le chiffrement au centre des discussions dans de nombreux pays. Les critiques (parmi lesquels certains législateurs comme le sénateur Wyden) et les experts en sécurité ont longtemps affirmé qu’il n’existait aucun moyen sûr de créer un accès « détourné » aux communications chiffrées pour les forces de l’ordre sans pour autant permettre aux hackers d’avoir également accès aux communications privées.
Dans ses remarques, Barr a déclaré que « l'importance du risque devrait être évaluée en fonction de son effet pratique sur la cybersécurité pour le consommateur, ainsi que de sa relation avec les risques nets que l'offre du produit pose pour la société ».
Il a suggéré que « le risque résiduel de vulnérabilité résultant de l'incorporation d'un mécanisme d'accès légal est sensiblement plus grand que ceux déjà présents dans le produit non modifié ».
« Certains soutiennent que, pour obtenir au mieux une légère amélioration progressive de la sécurité, il vaut la peine d'imposer à la société un coût énorme sous la forme d'une sécurité dégradée », a-t-il déclaré.
Selon lui, le risque est acceptable, car « nous parlons de produits et services grand public tels que la messagerie, les smartphones, la messagerie électronique et les applications VoIP » et « nous ne parlons pas de la protection des codes de lancement nucléaire du pays ».
Le procureur général a déclaré qu'il était « insupportable » que les appareils offrent un chiffrement lourd tout en ne proposant aucun accès à la police.
Barr est le dernier en date parmi les procureurs généraux à dénoncer l'incapacité des forces de l'ordre à accéder aux communications chiffrées, malgré le rejet des entreprises technologiques.
Barr n'exclut pas de pousser la législation pour forcer les entreprises de technologie à développer des portes dérobées.
Dans une réplique, le sénateur Ron Wyden (D-OR) a déclaré que les propos du procureur général étaient « scandaleux, irréfléchis et dangereux ».
« Si nous donnons à ce procureur général et à ce président le pouvoir sans précédent de casser le chiffrement, nous allons nous enfoncer dans les détails les plus intimes de la vie de chaque Américain », a déclaré le sénateur qui n’a pas hésité à assurer que ce pouvoir sera utilisé dans l’abus..
Les portes dérobées, une solution étudiée par de plus en plus de pays
Les États-Unis sont loin d’être les seuls à demander aux entreprises de technologie de donner un accès aux communications aux forces de l’ordre. Plus tôt cette année, les autorités britanniques se sont intéressées à un nouveau mécanisme appelé « protocole fantôme ».
Cette étude est venue d’une proposition du GCHQ qui a été émise pour la première fois en novembre dernier dans le cadre d’une série d’articles. Dans l’article, deux hauts responsables des services de renseignements britanniques soutiennent qu’un membre des forces de l’ordre devrait être ajoutée en tant que participant « fantôme » à chaque conversation de groupe, par audio ou par écrit, dans un service de messagerie chiffrée.
Cela signifierait que les agences de renseignement seraient en possession de messages chiffrés, sans que les utilisateurs sachent qu’ils sont présents au sein d’une discussion de groupe. Les auteurs de la proposition soutiennent que cette solution n'est pas plus invasive que les pratiques actuelles en matière d'écoute électronique de conversations téléphoniques non chiffrées.
Un groupe de 47 entreprises, dont Apple, Google, Microsoft et WhatsApp, ont vivement critiqué la proposition dans une lettre ouverte. Bien que cette approche suppose de supprimer la nécessité d'ajouter des portes dérobées aux protocoles de chiffrement, les signataires de la lettre affirment que cette solution continuerait de « porter gravement atteinte à la sécurité et à la confiance des utilisateurs ». Selon eux, les services de messagerie devraient changer la façon dont ils utilisent leur chiffrement et ils devront induire les utilisateurs en erreur en masquant des messages ou des notifications indiquant qui est présent dans un chat.
En réponse à la proposition publiée par Ian Levy, directeur technique du Centre national de cybersécurité (NCSC), et Crispin Robinson, directeur technique de cryptanalyse au sein du GCHQ, le 29 novembre 2018, intitulée « Principes pour un débat sur l’accès exceptionnel plus informé », la coalition a avancé ceci :
« Les six principes énoncés par les responsables du GCHQ constituent un pas important dans la bonne direction et soulignent l’importance de la protection du droit à la vie privée, de la cybersécurité, de la confiance du public et de la transparence. Nous apprécions surtout la reconnaissance des principes selon laquelle les gouvernements ne devraient pas s’attendre à un “accès sans entrave” aux données des utilisateurs, que la "relation de confiance" entre les fournisseurs de services et les utilisateurs doit être protégée, et que "la transparence est essentielle" ».
« Malgré cela, l’article du GCHQ décrit une proposition visant à “ajouter silencieusement un membre des forces de l’ordre à un appel de groupe ou à un groupe de discussion”. Cette proposition d’ajouter un utilisateur “fantôme” violerait des principes importants des droits de l’homme, ainsi que plusieurs des principes énoncés dans le document du GCHQ.
« Bien que les responsables du GCHQ prétendent que “vous n’aurez même pas à toucher au chiffrement” pour mettre en œuvre leur plan, la proposition de l’utilisateur "fantôme” poserait une grave menace à la cybersécurité, menaçant ainsi les droits de l'homme fondamentaux, y compris le droit à la vie privée et la liberté d’expression. Elle créerait des risques de sécurité numérique en sapant les systèmes d’authentification, en introduisant des vulnérabilités potentielles non intentionnelles et en créant de nouveaux risques d’abus ou de mauvaise utilisation des systèmes.
« Il est important de noter que cela saperait également les principes du GCHQ en matière de sécurité. la confiance de l'utilisateur et la transparence énoncées dans la proposition d’Ian Levy et Crispin Robinson ».
Source : discours sur YouTube
Et vous ?
:fleche: Pour ou contre des portes dérobées sur les appareils pour faciliter le travail de la police ? Pourquoi ?
Voir aussi :
:fleche: Vodafone nie avoir découvert des backdoors cachés dans les équipements de Huawei, il ne s'agirait que du protocole Telnet
:fleche: Un ex-employé pirate le plugin WordPress WPML pour spammer les utilisateurs, se servant d'une backdoor qu'il avait laissée sur le site pour son usage
:fleche: En Australie, des programmeurs pourraient être licenciés par leurs employeurs pour implémentation de backdoors à l'usage des forces de l'ordre
:fleche: Procès aux USA : l'ACLU souhaite un rendu public des arguments du DoJ qui voulait forcer Facebook à installer un backdoor dans son appli Messenger
:fleche: Chiffrement : le FBI base son discours pour la pose de backdoors sur des chiffres gonflés, générés par une « erreur de programmation »