Discussion :

[Christian Olivier]

Les applis qui chiffrent les communications garantissent-elles vraiment la confidentialité des échanges ?
Le cas Cohen tend à prouver le contraire

Michael Cohen, l’ancien avocat personnel du président américain Donald Trump, a récemment avoué sous serment avoir acheté, à la demande de Donald Trump, le silence de deux maitresses présumées afin de ne pas compromettre la campagne présidentielle 2016 remportée par le candidat républicain. Il a plaidé coupable pour huit chefs d’accusation, incluant la violation des règles de financement de campagne.

Cohen était apparemment un habitué des applications telles que WhatsApp et Signal qui se vantent d’assurer le chiffrement de bout en bout des communications afin de garantir la confidentialité des données échangées. Malheureusement, il semble que le crédit qu’il accordait à ces plateformes a été la cause de sa déchéance.

Dans le cadre de l’action en justice qui a été lancée contre lui aux États-Unis, le FBI a réussi à obtenir 731 pages de messages et de journaux d’appels qui provenaient des applications fournissant des services d’appel et/ou de messagerie chiffrés des smartphones de Cohen. Les enquêteurs ont aussi réussi à reconstituer au moins 16 pages de documents déchiquetés.

Comment expliquer que des outils censés garantir la confidentialité des communications ont permis à la justice US de collecter les informations protégées d’un utilisateur et de le faire passer aux aveux ?

Le chiffrement mis en avant par ces applications de communication n’est-il justement pas là pour éviter que ce genre d’informations reste hors de portée des enquêteurs ?

Il est difficile de savoir si le FBI a réellement trouvé le moyen de contourner le chiffrement appliqué à la base aux données de Cohen pour obtenir les preuves dont il avait besoin. Il est également possible que Cohen ait livré ses informations à la police sans s’en rendre compte, sachant que ces applications proposent en général à leurs utilisateurs d’archiver leurs conversations et les fichiers échangés sur un service Cloud tiers et en local (directement sur le smartphone).

WhatsApp, par exemple, enregistre toutes les informations échangées par son utilisateur localement, dans un répertoire situé dans l’espace de stockage du smartphone. L’application permet aussi à ses utilisateurs d’enregistrer l’état de l’application à un moment précis, avec tous les messages, contacts et fichiers qui ont pu être échangés jusque-là, sur le Cloud (via Google Drive) en vue de faciliter une éventuelle restauration ultérieure de l’application. Rien ne garantit par contre que cette procédure de stockage locale ou sur le Cloud est bien sécurisée.

Michael Cohen n’est pas le seul ancien cadre de Trump à avoir été écroué après la divulgation des données qu’il avait échangées en utilisant des applications qui chiffrent les communications de bout en bout. Paul Manafort, l’ancien président de la campagne de Trump, a lui aussi été reconnu coupable de huit chefs d’accusation après que ses communications chiffrées sur WhatsApp et Telegram aient été présentées devant les tribunaux. Ces messages semblaient avoir été trouvés sur le compte iCloud de Manafort chez Apple.

Source : Fast Company

Et vous ?

Qu’en pensez-vous ?
Peut-on vraiment faire confiance aux applications qui disent chiffrer les communications et à leurs partenaires ? Pourquoi d’après vous ?

Voir aussi

Apple va améliorer le chiffrement des données sur iPhone, une mesure qui ne plait pas aux forces de l'ordre qui le traitent de complice des criminels

Skype 8.0 débarque avec le chiffrement de bout en bout et la possibilité d'enregistrer ses conversations en natif

Faut-il sacrifier la confidentialité pour assurer la sécurité ? Affaiblir le chiffrement met en danger les citoyens honnêtes estime un commentateur

D'après le FBI, le chiffrement des smartphones est un énorme problème, car il empêche l'agence d'accéder à leurs contenus pendant les enquêtes

[Anselme45]

Comment expliquer que des outils censés garantir la confidentialité des communications ont permis à la justice US de collecter les informations protégées d’un utilisateur et de le faire passer aux aveux ?

L'explication est pourtant simple: Les autorités US disposent des outils pour décrypter les messages... Et vous savez pas la meilleure? Les outils sont fournis directement par les entreprises en qui disent garantir un système crypté!

1. Du point de vue marketing, on annonce que tout est crypté

2. Pour éviter de finir dans une prison américaine pour 150 ans (et oui, aux USA, les peines s'additionnent et sont appliquées... On est pas en Europe où un assassin en série est condamné à vie, mais le peine correspond à 20 ans de privation de liberté qui en fait... se transforme en 10 ans suite à bonne conduite du condamné qui... peut d'ailleurs sortir de la prison en congé à partir de 3 à 5 ans), aucun dirigeant de société ne va réellement refuser son aide à la justice US

Si les criminels sont assez cons pour faire confiance aux promesses commerciales, pas de problème, il y aura un peu moins de crapules en liberté...

[grigric]

L'explication est pourtant simple: Les autorités US disposent des outils pour décrypter les messages... Et vous savez pas la meilleure? Les outils sont fournis directement par les entreprises en qui disent garantir un système crypté!

1. Du point de vue marketing, on annonce que tout est crypté

2. Pour éviter de finir dans une prison américaine pour 150 ans (et oui, aux USA, les peines s'additionnent et sont appliquées... On est pas en Europe où un assassin en série est condamné à vie, mais le peine correspond à 20 ans de privation de liberté qui en fait... se transforme en 10 ans suite à bonne conduite du condamné qui... peut d'ailleurs sortir de la prison en congé à partir de 3 à 5 ans), aucun dirigeant de société ne va réellement refuser son aide à la justice US

Si les criminels sont assez cons pour faire confiance aux promesses commerciales, pas de problème, il y aura un peu moins de crapules en liberté...

:%s/crypter/chiffrer/g

[vanquish]

L'explication est pourtant simple: Les autorités US disposent des outils pour décrypter les messages... Et vous savez pas la meilleure? Les outils sont fournis directement par les entreprises en qui disent garantir un système crypté!

Une source ?

Le FBI ce n'est pas la CIA ou la NSA : leurs preuves ainsi que la façon dont elles ont été récoltés doivent être présenté devant un tribunal - il n'y a donc pas de techniques secrètes (elles ne le resteraient pas longtemps).

Je ne doute pas que le FBI dispose de moyen techniques, mais comme le montre l'article, il y a bien des façons de récupérer des conversations sans casser le chiffrage des communications :

• un utilisateur imprudent qui stocke une sauvegarde dans le cloud ou une carte SD non chiffrée.
• Un téléphone qui se déverrouille avec une empreinte digitale (efficace contre un voleur qui va s'empresser de remettre le téléphone en config usine pour le revendre ; moins efficace face à un policier qui dispose de tes empreintes)
• un téléphone qui se déverrouille quand il est près d'un signal connu (en gros être près de la box internet du suspect).
• etc.

L'article rappelle surtout qu'une chaine n'a jamais que la solidité de son maillon le plus faible.