Discussion :

[Michael Guilloux]

Chiffrement : des sénateurs US préparent un nouveau projet de loi sur des portes dérobées
uniquement accessibles aux forces de l'ordre

En fin de compte, les législateurs et le gouvernement américains n'auront pas de répit jusqu'à ce qu'ils voient leur projet de loi sur les portes dérobées devenir une réalité. Au début de cette année, c'est le FBI qui argumentait pour une énième fois en faveur des backdoors dans les produits des entreprises technologiques ; des portes dérobées qui seraient ouvertes exclusivement aux forces de l'ordre dans le cadre de leurs enquêtes. Le patron de l'agence américaine, Christopher Wray, expliquait en effet que l'impossibilité pour les forces de l'ordre d'accéder aux données de certains appareils électroniques à cause d'un chiffrement inviolable est un « problème majeur de sécurité publique ».

Le débat sur l'introduction de portes dérobées dans les produits des entreprises technologiques a éclaté après l'attaque de San Bernardino en décembre 2015, quand le FBI s'est trouvé dans l'incapacité d'accéder à l'iPhone de l'un des terroristes. En février 2016, deux sénateurs américains ont proposé un projet de loi qui aurait obligé les entreprises technologiques américaines à affaiblir le chiffrement de leurs produits pour les besoins du FBI et ses pairs. Mais l'initiative, coparrainée par le républicain Richard Burr et la démocrate Dianne Feinstein, a échoué avant d'être soumise au vote du Sénat.

Deux ans après que le projet de loi est tombé à l'eau, la sénatrice Dianne Feinstein est de nouveau à la tête d'un effort visant à permettre à la police d'accéder à toute information envoyée ou stockée sur des dispositifs électroniques. La nouvelle initiative serait également sponsorisée par Chuck Grassley (président du Comité judiciaire du Sénat) et le département américain de la Justice (DoJ).

Au cours des derniers mois, les membres du Comité judiciaire du Sénat se seraient même entretenus avec des représentants de grandes entreprises de technologie américaines afin de recevoir des commentaires sur d'éventuelles futures législations. Étant donné que ce projet de loi pourrait avoir un impact important sur l'état de la cybersécurité aux États-Unis, des discussions seraient également menées entre différents départements et agences américaines.

Ces informations viennent après que des articles publiés fin mars, par le New York Times et le quotidien américain Politico, ont révélé que les discussions sur le chiffrement avec backdoor ne sont pas encore terminées. Le New York Times a par exemple rapporté que les responsables du FBI ont discuté avec des experts du monde universitaire sur les options techniques qui pourraient convaincre les entreprises technologiques américaines à créer des « voies numériques confidentielles » pour l'accès aux données des clients.

Les discussions étant toujours en cours, on ne sait pas encore quand un tel projet de loi sera présenté.

Source : CyberScoop

Et vous ?

Qu'en pensez-vous ?

[rawsrc]

des portes dérobées qui seraient ouvertes exclusivement aux forces de l'ordre dans le cadre de leurs enquêtes.

Encore des prix Nobel pour croire à ce genre d'ineptie...
Franchement, j' en ai marre des ces hommes politiques grabataires qui sont totalement dépassés, qu'ils restent au 20ème siècle et s'occupent de l'arrivé du train à vapeur mais pas des nouvelles technos. Dire que ça dépasse leur compréhension est un doux euphémisme.

[MikeRowSoft]

Dire que ça dépasse leur compréhension est un doux euphémisme.

[Tagashy]

C'est fou mais je sais pas si je dois en rire ou en pleurer ... et après on se rappelle que c'est ces même personnes qui ont la bombe atomique.
ça ne serais pas possible d’implémenter un /kickban pour les politiques ???
Bref le seul truc qu'il vont arriver a faire avec ça c'est plomber leur pays mais allez y ça nous permettra peut être de se détacher de l'emprise des états unis une fois au'il auront fait une belle gourde (une voie dans ma tète me dis que je suis trop optimiste ...)
Si ils mettent des backdoors ça va être la fête pour les russes, chinois, etc. Imaginez un produit ou vous êtes sur de pouvoir trouver une vulnérabilité EXPLOITABLE si on y passe assez de temps. c'est le rêve de pas mal de pentesteur ça ^^

[VivienD]

[...] Dire que ça dépasse leur compréhension est un doux euphémisme.

Et cette phase est déjà un doux euphémisme en soi.

[...] Le New York Times a par exemple rapporté que les responsables du FBI ont discuté avec des experts du monde universitaire sur les options techniques qui pourraient convaincre les entreprises technologiques américaines à créer des « voies numériques confidentielles » pour l'accès aux données des clients.

[...]

Correction: les responsables du FBI ont cherché la minuscule aiguille dans une immense botte de foin, à savoir, quelqu'un suffisamment malhonnête et irresponsable pour dire, ne serait-ce qu'à demi-mot, ce qu'ils veulent entendre, c'est-à-dire que les portes dérobées constituent une solution un tant soit peu viable. On croirait voir des anti-vax.

[marsupial]

Ne pas en rire, ne pas en pleurer : les laisser se planter ainsi ils comprendront la leçon. C'est pour eux la meilleure manière d'apprendre. On ne peut pas dire qu'ils n'ont pas été prévenus.

2013, Obama après le scandale Snowden a demandé une meilleure sécurisation du monde informatique. Maintenant que c'est fait... ils veulent qu'on fasse des trous. Dans 5 ans, ils nous demandent de les boucher. A ce rythme là, on va aller loin.

Le DoD va devenir tout fou si ça passe après avoir travaillé d'arrache-pieds à boucher 3 000 failles en 18 mois.

[FrostWilson]

Moi, quand je part de chez moi je ferme tout à clé... bon je laisse une fenêtre ouverte au cas où, mais c'est que pour les gendarmes hein...

[CoderInTheDark]

Bande de c..s !!!!

Et les hackers eux ils ne vont pas l'utiliser la porte, car elle est réservée aux policiers.
Pas besoin d'être dans le domaine pour comprendre que ça peut se retourner contre tout le monde.

[Stéphane le calme]

Le procureur général US estime que les consommateurs devraient accepter les risques posés par les portes dérobées,
pour faciliter le travail de la police

Le procureur général des États-Unis, William Barr, a déclaré que les consommateurs devraient accepter les risques que les portes dérobées peuvent poser à leur cybersécurité personnelle pour garantir que les forces de l’ordre puissent accéder aux communications chiffrées.

Dans un discours prononcé à New York, le procureur général américain a repris en grande partie le même discours que ses prédécesseurs et d'autres hauts responsables du ministère de la Justice, appelant les sociétés de technologie à faire davantage pour aider les autorités fédérales à accéder aux appareils lorsqu’un mandat est délivré. .

La messagerie chiffrée s’est vulgarisée ces dernières années au point de se retrouver dans les produits Apple, Facebook, Instagram et WhatsApp. Il s’agissait là d’une réponse de Silicon Valley face à l'abus d'accès des services de renseignement à la suite des révélations d'Edward Snowden en 2013. Mais les forces de l'ordre indiquent que le chiffrement empêche l'accès aux communications dont ils prétendent avoir besoin pour poursuivre les criminels.

Le gouvernement appelle cela « devenir sourd et aveugle » parce que les forces de l’ordre ne sont pas en mesure de voir les communications chiffrées. Ce qui a d’ailleurs mis le chiffrement au centre des discussions dans de nombreux pays. Les critiques (parmi lesquels certains législateurs comme le sénateur Wyden) et les experts en sécurité ont longtemps affirmé qu’il n’existait aucun moyen sûr de créer un accès « détourné » aux communications chiffrées pour les forces de l’ordre sans pour autant permettre aux hackers d’avoir également accès aux communications privées.

Dans ses remarques, Barr a déclaré que « l'importance du risque devrait être évaluée en fonction de son effet pratique sur la cybersécurité pour le consommateur, ainsi que de sa relation avec les risques nets que l'offre du produit pose pour la société ».

Il a suggéré que « le risque résiduel de vulnérabilité résultant de l'incorporation d'un mécanisme d'accès légal est sensiblement plus grand que ceux déjà présents dans le produit non modifié ».

« Certains soutiennent que, pour obtenir au mieux une légère amélioration progressive de la sécurité, il vaut la peine d'imposer à la société un coût énorme sous la forme d'une sécurité dégradée », a-t-il déclaré.

Selon lui, le risque est acceptable, car « nous parlons de produits et services grand public tels que la messagerie, les smartphones, la messagerie électronique et les applications VoIP » et « nous ne parlons pas de la protection des codes de lancement nucléaire du pays ».

Le procureur général a déclaré qu'il était « insupportable » que les appareils offrent un chiffrement lourd tout en ne proposant aucun accès à la police.

Barr est le dernier en date parmi les procureurs généraux à dénoncer l'incapacité des forces de l'ordre à accéder aux communications chiffrées, malgré le rejet des entreprises technologiques.

Barr n'exclut pas de pousser la législation pour forcer les entreprises de technologie à développer des portes dérobées.

Dans une réplique, le sénateur Ron Wyden (D-OR) a déclaré que les propos du procureur général étaient « scandaleux, irréfléchis et dangereux ».

« Si nous donnons à ce procureur général et à ce président le pouvoir sans précédent de casser le chiffrement, nous allons nous enfoncer dans les détails les plus intimes de la vie de chaque Américain », a déclaré le sénateur qui n’a pas hésité à assurer que ce pouvoir sera utilisé dans l’abus..

Les portes dérobées, une solution étudiée par de plus en plus de pays

Les États-Unis sont loin d’être les seuls à demander aux entreprises de technologie de donner un accès aux communications aux forces de l’ordre. Plus tôt cette année, les autorités britanniques se sont intéressées à un nouveau mécanisme appelé « protocole fantôme ».

Cette étude est venue d’une proposition du GCHQ qui a été émise pour la première fois en novembre dernier dans le cadre d’une série d’articles. Dans l’article, deux hauts responsables des services de renseignements britanniques soutiennent qu’un membre des forces de l’ordre devrait être ajoutée en tant que participant « fantôme » à chaque conversation de groupe, par audio ou par écrit, dans un service de messagerie chiffrée.

Cela signifierait que les agences de renseignement seraient en possession de messages chiffrés, sans que les utilisateurs sachent qu’ils sont présents au sein d’une discussion de groupe. Les auteurs de la proposition soutiennent que cette solution n'est pas plus invasive que les pratiques actuelles en matière d'écoute électronique de conversations téléphoniques non chiffrées.

Un groupe de 47 entreprises, dont Apple, Google, Microsoft et WhatsApp, ont vivement critiqué la proposition dans une lettre ouverte. Bien que cette approche suppose de supprimer la nécessité d'ajouter des portes dérobées aux protocoles de chiffrement, les signataires de la lettre affirment que cette solution continuerait de « porter gravement atteinte à la sécurité et à la confiance des utilisateurs ». Selon eux, les services de messagerie devraient changer la façon dont ils utilisent leur chiffrement et ils devront induire les utilisateurs en erreur en masquant des messages ou des notifications indiquant qui est présent dans un chat.

En réponse à la proposition publiée par Ian Levy, directeur technique du Centre national de cybersécurité (NCSC), et Crispin Robinson, directeur technique de cryptanalyse au sein du GCHQ, le 29 novembre 2018, intitulée « Principes pour un débat sur l’accès exceptionnel plus informé », la coalition a avancé ceci :

« Les six principes énoncés par les responsables du GCHQ constituent un pas important dans la bonne direction et soulignent l’importance de la protection du droit à la vie privée, de la cybersécurité, de la confiance du public et de la transparence. Nous apprécions surtout la reconnaissance des principes selon laquelle les gouvernements ne devraient pas s’attendre à un “accès sans entrave” aux données des utilisateurs, que la "relation de confiance" entre les fournisseurs de services et les utilisateurs doit être protégée, et que "la transparence est essentielle" ».

« Malgré cela, l’article du GCHQ décrit une proposition visant à “ajouter silencieusement un membre des forces de l’ordre à un appel de groupe ou à un groupe de discussion”. Cette proposition d’ajouter un utilisateur “fantôme” violerait des principes importants des droits de l’homme, ainsi que plusieurs des principes énoncés dans le document du GCHQ.

« Bien que les responsables du GCHQ prétendent que “vous n’aurez même pas à toucher au chiffrement” pour mettre en œuvre leur plan, la proposition de l’utilisateur "fantôme” poserait une grave menace à la cybersécurité, menaçant ainsi les droits de l'homme fondamentaux, y compris le droit à la vie privée et la liberté d’expression. Elle créerait des risques de sécurité numérique en sapant les systèmes d’authentification, en introduisant des vulnérabilités potentielles non intentionnelles et en créant de nouveaux risques d’abus ou de mauvaise utilisation des systèmes.

« Il est important de noter que cela saperait également les principes du GCHQ en matière de sécurité. la confiance de l'utilisateur et la transparence énoncées dans la proposition d’Ian Levy et Crispin Robinson ».

Source : discours sur YouTube

Et vous ?

Pour ou contre des portes dérobées sur les appareils pour faciliter le travail de la police ? Pourquoi ?

Voir aussi :

Vodafone nie avoir découvert des backdoors cachés dans les équipements de Huawei, il ne s'agirait que du protocole Telnet
Un ex-employé pirate le plugin WordPress WPML pour spammer les utilisateurs, se servant d'une backdoor qu'il avait laissée sur le site pour son usage
En Australie, des programmeurs pourraient être licenciés par leurs employeurs pour implémentation de backdoors à l'usage des forces de l'ordre
Procès aux USA : l'ACLU souhaite un rendu public des arguments du DoJ qui voulait forcer Facebook à installer un backdoor dans son appli Messenger
Chiffrement : le FBI base son discours pour la pose de backdoors sur des chiffres gonflés, générés par une « erreur de programmation »

[transgohan]

On devrait aussi ne jamais fermer sa porte à clé quand on part en vacances pour faciliter le travail des cambrioleurs.
Car cela serait plus facile pour la police de constater les dégâts avant notre retour.

[viper1094]

Ca me fait penser à ma tante qui laisser son code de téléphone avec son téléphone 'au cas où on doit appeller les secours avec et que la personne connait pas le code'

[Itachiaurion]

Le procureur général ferait bien de s'occuper de ce qu'il connait avant de vouloir enquiquiner les autres. A moins que cela lui plaise que l'on dévoile les messages enflammé qu'il partage avec ces maitresses du fait que l'on aura griller les backdoors et que tout a chacun pourra les exploiter avec un peu de connaissances.

[darklinux]

À idée simpliste ... Les backdoors , cela est toujours possible , ne serait ce que pour facilité la maintenance et le monitoring , mais il faut de surcroît quelle soit chiffré pour la sécurité de celle-ci , pas la peine de joué les vierges effarouché non plus .

[viper1094]

À idée simpliste ... Les backdoors , cela est toujours possible , ne serait ce que pour facilité la maintenance et le monitoring , mais il faut de surcroît quelle soit chiffré pour la sécurité de celle-ci , pas la peine de joué les vierges effarouché non plus .

Même en ignorant les hackers ci et là( alors qu'on sait tous qu'il y a toujours une faille. Il suffit de la trouver. Alors une faille dans une faille déguisé en sécurité pour les citoyens ), casser un chiffrement, quand, je rappelle, la chine(je sais pas pour la russie mais surement aussi) possède une flotte de superordinateur impressionnante, bof quoi. Et on ne peut PAS mettre un chiffrement incassable par une dizaine de superordinateur dans un simple pc de particulier, et alors que dire d'un téléphone...

[tanaka59]

Je serais curieux sa connaitre la législation US à ce sujet .

Pour rappel en France depuis 2018 en cas de négligence du client la banque ou l'assurance peut refuser de rembourser en cas de fraude ou de piratage de données bancaire : https://safebrands.fr/cahier-juridiq...-dhameconnage/

Appliquez ce raisonnement au matériel informatique , l'assurance pourrait tout aussi bien se dédouaner et dire "vous avez acheté en connaissance de cause un service ou produit avec un faille connu , a vous de supporter la fraude" .

Donc non seulement le client serait lésé avec le vol de ces données perso ... mais impossible de porter plainte et le client se retrouverait a vie "sans identité numérique" . Sur le long terme se serait à la personne de bonne fois éponger les dettes de ces usurpateurs . Je vous laisse imaginer si les faussaires se mettent à faire du trafic de faux papier ... c'est vous qui finirait derrière les barreaux !

Je serai curieux de savoir si les banques et les assurances us seraient prête à jouer avec le feu ... En Europe cela ne verra jamais le jour ... le système bancassurance n'a pas les reins assez solides pour supporter de tel risque.

[darklinux]

Même en ignorant les hackers ci et là( alors qu'on sait tous qu'il y a toujours une faille. Il suffit de la trouver. Alors une faille dans une faille déguisé en sécurité pour les citoyens ), casser un chiffrement, quand, je rappelle, la chine(je sais pas pour la russie mais surement aussi) possède une flotte de superordinateur impressionnante, bof quoi. Et on ne peut PAS mettre un chiffrement incassable par une dizaine de superordinateur dans un simple pc de particulier, et alors que dire d'un téléphone...

La cryptanalyse est quand même un domaine particulier et cela dépend de tellement facteurs , autre que la puissance brute , l ' AES ce n ' est aussi simple à cassé que du 3DES ...

[viper1094]

La cryptanalyse est quand même un domaine particulier et cela dépend de tellement facteurs , autre que la puissance brute , l ' AES ce n ' est aussi simple à cassé que du 3DES ...

Ca je suis d'accord, mais si il y a bien une chose qui est sur c'est qu'il faudra moins de 6 mois pour qu'un groupe de hacker/un gouvernement trouve une faille.