Discussion :

[Marco46]

J'avoue, c'est un sujet ou j'ai un peu de mal à suivre.
Aujourd'hui, hors numérique, tout est accessible par la justice. On peux te perquisitionner et retourner ta maison, pareil sur ton corps avec emprunte que ce soit digital ou ADN.
A une époque certains logiciels de cryptage ( c'est peut être tjs d'actualité ? ) étaient interdit d'utilisation par un particulier car trop complexe à contourner.

Depuis début 2000 tu peux utiliser ce que tu veux en matière de chiffrement. Normalement faut juste le déclarer à je sais plus quel organisme (ce que je n'ai jamais vu personne faire).

Mais donc une société privé peut aujourd'hui refuser à la justice de décrypter une donnée demandé par la justice ?
C'est ça le principe ?

Déchiffrer.

Décrypter c'est quand on a pas la clef. Et c'est parce que c'est impossible de décrypter du RSA correctement implémenté dans une durée raisonnable (c'est à dire pas en 10 milliards d'années de calcul cpu) que le commerce électronique est possible

Si la police te demande les clefs pour lire les fichiers chiffrés du terroriste que tu héberges sur ton serveur web tu dois les lui fournir sinon tu peux te faire poursuivre (entrave à la justice).

Mais rien ne t'oblige à les stocker.

Rien ne dit non plus que tu sois en mesure de les fournir (tu fournis un serveur FTP, les utilisateurs mettent bien ce qu'ils veulent dessus).

Si tu n'as pas les clefs .... Je ne sais pas ça doit être à l'appréciation du juge. Il y a un vide juridique à ce niveau et je ne sais pas s'il y a une jurisprudence à ce sujet. Ce qui est certain c'est que conserver les clefs est interdit techniquement.

En résumé, légalement tu dois fournir les clefs, techniquement si tu es capable de le faire c'est que tu n'as pas fait ton travail.

Donc la situation actuellement c'est que tu dois fournir les clefs si la justice te le demande, mais tu n'es pas obligé légalement de les stocker. Macron voudrait créer cette obligation dans la loi.

Ou c'est carrément la méthode pour accéder aux données qui est demandé et pas uniquement la donnée ?

Je ne comprends pas cette phrase.

[Shepard]

J'avoue, c'est un sujet ou j'ai un peu de mal à suivre.
Aujourd'hui, hors numérique, tout est accessible par la justice. On peux te perquisitionner et retourner ta maison, pareil sur ton corps avec emprunte que ce soit digital ou ADN.

Oui, à condition d'avoir un mandat. Ce qui est également le cas concernant les entreprises technologiques.

A une époque certains logiciels de cryptage ( c'est peut être tjs d'actualité ? ) étaient interdit d'utilisation par un particulier car trop complexe à contourner.

Je ne connais pas la situation en France, mais en Belgique la cryptographie n'est pas entravée d'aucune manière, par contre les fournisseurs d'accès et les fournisseurs de services sont tenus de coopérer en cas de mise sur écoute:

"Ces dispositions n'entravent en aucun cas l'utilisation de la cryptographie, mais instaurent uniquement un devoir de collaboration explicite pour les opérateurs de réseaux de télécommunication et les fournisseurs de services de télécommunication dans le cadre de l'exécution d'une mesure d'écoute."

Mais donc une société privé peut aujourd'hui refuser à la justice de décrypter une donnée demandé par la justice ?
C'est ça le principe ?
Ou c'est carrément la méthode pour accéder aux données qui est demandé et pas uniquement la donnée ?

Aujourd'hui elle ne peut pas refuser de déchiffrer une donnée. Je ne sais pas exactement ce que M. Macron souhaite changer à la situation ...

[Marco46]

Pour compléter, quel abruti stockerait de nos jours des mots de passes en clair dans une base de données ?

Bon ben Macron il nous demande de stocker les mots de passe en clair quelque part.

Voilà c'est aussi con que ça.

[TallyHo]

Beaucoup... Tu ne peux pas savoir le nombre d' "admins" qui gèrent les routeurs en telnet et qui ne chiffrent pas les pass... Je ne les compte même plus.

[Grogro]

Pour compléter, quel abruti stockerait de nos jours des mots de passes en clair dans une base de données ?

J'ai bien peur de deviner la réponse à cette question : bien trop d'entreprises, surtout nos bon vieux mammouths franco-français.

[ArnaudEIC]

Depuis début 2000 tu peux utiliser ce que tu veux en matière de chiffrement. Normalement faut juste le déclarer à je sais plus quel organisme (ce que je n'ai jamais vu personne faire).



Déchiffrer.

Décrypter c'est quand on a pas la clef. Et c'est parce que c'est impossible de décrypter du RSA correctement implémenté dans une durée raisonnable (c'est à dire pas en 10 milliards d'années de calcul cpu) que le commerce électronique est possible

Si la police te demande les clefs pour lire les fichiers chiffrés du terroriste que tu héberges sur ton serveur web tu dois les lui fournir sinon tu peux te faire poursuivre (entrave à la justice).

Mais rien ne t'oblige à les stocker.

Rien ne dit non plus que tu sois en mesure de les fournir (tu fournis un serveur FTP, les utilisateurs mettent bien ce qu'ils veulent dessus).

Si tu n'as pas les clefs .... Je ne sais pas ça doit être à l'appréciation du juge. Il y a un vide juridique à ce niveau et je ne sais pas s'il y a une jurisprudence à ce sujet. Ce qui est certain c'est que conserver les clefs est interdit techniquement.

En résumé, légalement tu dois fournir les clefs, techniquement si tu es capable de le faire c'est que tu n'as pas fait ton travail.

Donc la situation actuellement c'est que tu dois fournir les clefs si la justice te le demande, mais tu n'es pas obligé légalement de les stocker. Macron voudrait créer cette obligation dans la loi.

Je ne comprends pas cette phrase.

Laisse pour ma dernière phrase, tu réponds globalement à tout dans ton message.
En fait tout ça me fait forcement penser à l'affaire de Apple contre le FBI.
Et de ce que j'avais compris ( et je m'étais peut être planté ) c'est que Apple refusait de fournir de quoi accéder au contenue chiffré du téléphone, ce que je comprend tout à fait, mais refusait également de fournir le contenue, et pas la manière de l'obtenir, et la j'avoue je suis un peu moins d'accord car cela n'altère en rien la sécurité des données des clients d'Apple ( hormis le fait que oui la justice à le pouvoir dans certain cas de les demander, comme elle a le pouvoir te fouiller chez toi ).

[Michael Guilloux]

Chiffrement : l’équipe En Marche ! fait marche arrière sur les déclarations d'Emmanuel Macron
avec ses compléments d’information

Dans une conférence de presse livrée le lundi 10 avril, Emmanuel Macron s’est fait partisan des portes dérobées et autres mesures visant à affaiblir le chiffrement. Il s’est en effet insurgé contre le fait que « les grands groupes de l'Internet aient refusé de communiquer leurs clés de chiffrement ou de donner accès au contenu » sous prétexte « qu'ils ont garanti contractuellement aux clients que leurs communications étaient protégées ». Mais s’agit-il vraiment d’un refus ou d’une impossibilité technique ? Autrement dit, Emmanuel Macron aurait-il une méconnaissance du fonctionnement du chiffrement ou voudrait-il tout simplement l’affaiblir ?

Quoi qu’il en soit, le candidat à l’élection présidentielle a promis que si les Français le mènent à l’Élysée, « la France lancera dès l'été une initiative majeure en direction des grands groupes de l'Internet, pour qu'ils acceptent une procédure de réquisition légale de leurs services cryptés en matière de lutte contre le terrorisme ».

Il semble toutefois qu’Emmanuel Macron se soit avancé devant les médias sans consulter son équipe En Marche ! qui compte en son sein, Mounir Mahjoubi, ancien président du Conseil national du numérique. Rappelons-le, celui qui est directeur de la campagne numérique d’Emmanuel Macron s’était déjà opposé à l’affaiblissement du chiffrement l’an dernier, dans une tribune publiée par Le Monde.

Toujours sur le point « lutte contre le terrorisme et numérique », Emmanuel Macron a dit vouloir mettre fin aux propagandes djihadistes en ligne. Pour cela, il a proposé d’avoir une discussion franche avec les grands groupes de l’Internet pour qu’ils s’engagent à retirer les contenus de propagande djihadiste, sans délai. Cela signifie toutefois qu’il ne tient pas compte du dispositif légal déjà en place.

Au lendemain de la conférence de presse du candidat, l’équipe En Marche ! d’Emmanuel Macron a rebondi sur les déclarations de son candidat à travers une tribune sur son site officiel de campagne. Mounir Mahjoubi et Didier Casas, conseiller d’Emmanuel Macron pour les questions régaliennes, ont essayé de recadrer les propos de leur candidat à travers ce qu’ils ont appelé « compléments d’information ».

Concernant le retrait des contenus dangereux, Mounir Mahjoubi et Didier Casas n’osent pas avouer que leur candidat a tenté d'enfoncer une porte ouverte. Ils rappellent en effet qu'un dispositif légal est déjà en place, mais la proposition d'Emmanuel vise à assurer que les mesures prévues par la loi soient effectivement appliquées. « La loi prévoit d’ores et déjà des mécanismes par lesquels on peut demander aux fournisseurs de prestations Internet ou aux opérateurs de communications électroniques de retirer de la toile des contenus qui seraient choquants, provocants ou de nature à heurter les sensibilités. Sont visés en particulier les contenus produits ou diffusés par certaines mouvances djihadistes ou tenant d’un islam radicalisé », ont-ils écrit, avant d’ajouter : « Nous savons que des efforts importants ont été consentis par les différents acteurs. La proposition [d’Emmanuel Macron] consiste à garantir l’effectivité de ces mesures en veillant qu’après un signalement, le retrait soit effectué sans délai. Il s’agit de tout mettre en œuvre pour limiter au maximum l’œuvre destructrice de la propagande. »

Pour ce qui est de la question du chiffrement, ils affirment « qu’il n’est évidemment pas dans les intentions d’Emmanuel Macron de porter atteinte aux principes de fonctionnement des méthodes de communication moderne basées sur le chiffrement ». Ici cependant, ils veulent traiter le problème selon qu’il s’agit d’un chiffrement de bout en bout ou non.

De manière générale, « la position de principe d’Emmanuel Macron repose tout à la fois sur l’attachement absolu au secret des correspondances et le souhait que les services de sécurité puissent accéder au contenu des informations échangées par des terroristes ou des personnes surveillées ». Autrement dit, ils n’ont rien contre le chiffrement des informations échangées sur les réseaux ou les messageries instantanées. Mais s’il s’agit de communications de personnes surveillées ou de terroristes, les services de sécurité doivent pouvoir y accéder sans problème. « Dans un pays démocratique et un État de droit, le respect des libertés ne doit pas empêcher la garantie de la sécurité des citoyens », ont-ils affirmé. Ils précisent d’ailleurs qu’un tel accès est déjà autorisé par la loi lorsqu’il s’agit des opérateurs de télécommunications traditionnels. La proposition d’Emmanuel Macron est donc de parvenir à un dispositif comparable pour les prestataires de services numériques.

Mounir Mahjoubi et Didier Casas soulignent encore que « dans le cas des informations chiffrées par le prestataire lui-même, la proposition ne consiste pas à obtenir la communication des clés de chiffrement utilisées par les prestataires de service numérique, mais d’accéder aux contenus préalablement déchiffrés par eux-mêmes. » Ce mécanisme ne marche toutefois pas lorsqu’il s’agit de chiffrement de bout en bout, le prestataire de service ne disposant pas des clés de déchiffrement des messages. Dans ce cas-ci, ils estiment que ces messageries disposent quand même d’autres informations qui peuvent être essentielles aux enquêtes. Voilà pourquoi les entreprises de messagerie doivent avoir l’obligation de coopérer avec les services de sécurité.

Source : En Marche !

[Marco46]

En fait tout ça me fait forcement penser à l'affaire de Apple contre le FBI.
Et de ce que j'avais compris ( et je m'étais peut être planté ) c'est que Apple refusait de fournir de quoi accéder au contenue chiffré du téléphone, ce que je comprend tout à fait,

C'est complètement le même sujet. C'est même un use case concret.

Le truc c'est que si Apple fait correctement son travail, elle est dans l'incapacité de fournir la clef. Dire qu'elle refuse de fournir la clef fait supposer qu'elle la stocke mais ne veut pas la fournir (dans ce cas pour quelle raison la stocker ???).

Pour ma part je pense qu'Apple n'est pas en mesure de fournir la clef, et qu'elle dit qu'elle ne veut pas la fournir pour faire oublier qu'elle a été un partenaire très actif de PRISM

mais refusait également de fournir le contenue, et pas la manière de l'obtenir, et la j'avoue je suis un peu moins d'accord car cela n'altère en rien la sécurité des données des clients d'Apple ( hormis le fait que oui la justice à le pouvoir dans certain cas de les demander, comme elle a le pouvoir te fouiller chez toi ).

Ben fournir le contenu c'est comme fournir un coffre fort inviolable. Ça n'a aucun intérêt. Sauf si on veut pouvoir décrypter dans quelques années. Peut être que dans 20 ans le chiffrement actuellement utilisé sera cassé. C'est pour ça que la NSA enregistre absolument tout ce qui lui passe par la main, même les contenus chiffrés parce qu'ils pensent qu'ils pourront peut être les exploiter dans quelques années.

[Marco46]

Mais s’il s’agit de communications de personnes surveillées ou de terroristes, les services de sécurité doivent pouvoir y accéder sans problème.

Ce qui revient à stocker les clefs. Donc en fait ils disent qu'ils font marche arrière dans le titre mais quand tu lis ils persistent

dans le cas des informations chiffrées par le prestataire lui-même, la proposition ne consiste pas à obtenir la communication des clés de chiffrement utilisées par les prestataires de service numérique, mais d’accéder aux contenus préalablement déchiffrés par eux-mêmes

Celle là est sympa. On veut pas les clefs on veut tout simplement le message en clair !

Ya une belle bande de mongols dans cette équipe numérique

[ArnaudEIC]

....

C'est plus clair dans ma tête, merci

[TallyHo]

« Dans un pays démocratique et un État de droit, le respect des libertés ne doit pas empêcher la garantie de la sécurité des citoyens », ont-ils affirmé.

J'adore cet éternel antagonisme liberté-sécurité... Ca fonctionne à tous les coups pour faire adhérer les masses... C'en est même trop facile, c'est du petit joueur

[Luckyluke34]

En gros, Macron vient de se rendre compte

• que ses propositions révolutionnaires sur le retrait de contenus étaient déjà possibles à l'heure actuelle
• qu'il avait débité une ânerie de premier choix sur le chiffrement

et son équipe de campagne de sortir les rames pour essayer de faire passer ça pour un "complément d'information"...

Quelqu'un a dit amateurisme ?

[Psycadi]

Cela prouve juste un manque de connaissance sur le sujet.

On le remarque car on est dans l'informatique mais qu'en est-il des autres domaines qu'il aborde (enfin lui et les autres candidats) ? (santé, "eco-mony", justice, éducation...)

[Loceka]

Cela prouve juste un manque de connaissance sur le sujet.

Je crois que ça va plus loin que ça.

Ca prouve plutôt qu'il est prêt à dire n'importe quoi pour gagner des voix (comme tous).
Il s'avance sur des sujets qu'il ne maîtrise absolument pas, non pas dans le but de les voir se concrétiser mais parce qu'il sait que beaucoup d'électeurs approuveront.

Plus que de la méconnaissance c'est une preuve de démagogie (mais ils font tous ça ou presque).

Le problème de ça c'est que personne n'est dupe, c'est d'ailleurs ce qui a conduit à l'élection de Trump.
La plupart des électeurs ne croyait pas qu'il appliquerait les 3/4 de son programme. Comme à chaque fois ils ont dû penser que son programme c'était juste pour se faire élire et qu'il se torcherait avec une fois élu.
Le problème c'est que contrairement à tous les autres cas recensés dans ces 30 dernières années, il a réellement mis son programme en application.

[el_slapper]

snip
Le problème c'est que contrairement à tous les autres cas recensés dans ces 30 dernières années, il a réellement mis son programme en application.

D'ou ma remarque sur Hamon. Ce n'est pas un candidat de qualité(euphémisme), et il n'a aucune chance...Mais c'est le seul des 5 "grands" a n'avoir rien dit d'inacceptable à mes yeux pour le moment. Il est (presque)bon sur l'international(bon, d'accors, il faut le dire vite), inexistant sur le reste...mais jamais inacceptable. Pour l'instant.

[TallyHo]

C'est justement ce qui le perd en partie, il est trop "gentil", pas assez agressif ou dans la surenchère. Regarde Fillon, il a contre-attaqué et il arrive à peu près à se maintenir, en tout cas il ne coule pas comme Hamon.

[psychadelic]

@psychadelic, tu peux détailler un peu tes propos ?

Bon, visiblement, personne ne comprends mon propos.

Alors pour commencer, je ne cherche pas à transformer les règles ou les techniques utilisées en cryptologie, je ne cherche pas non plus à transformer cette science ou quoi que ce soit dans le genre.

Je m’intéresse juste aux faits.
1er fait : nous voulons tous que nos données soient protégées. Je suis comme vous, ça ne me plairait pas trop que la NSA ou autre organisme d’un état bien moins respectueux de démocratie aille fouiller dans mes données.
2eme fait : Je trouve tout à fait légitime que la puissance publique puisse enquêter à la suite d’un acte criminel.

L’apparition de l’utilisation du cryptage dans les smartphone complique la tache des enquêteurs, pour ne pas dire une impasse pour leurs enquêtes.

On à alors 2 positions qui s’affrontent : celle de ceux qui préfèrent garder une cryptologie forte, et celle dite des « pouvoirs publics » qui souhaitent pousser leurs investigations au travers des smartphones.

Perso, je trouve les 2 points de vus tout à fait acceptables, et je ne peux que regretter le caractère inconciliable de cette technologie.

Comme je l’ai écrit, j’aimerai qu’on trouve une solution permettant aux enquêteurs de faire pleinement leur travail tout en permettant aussi de préserver et de respecter la vie privé de chacun d’entre nous.

Et encore une fois, quitte à me répéter :

j'attends un peu mieux du "miracle" technologique, et en tant qu'informaticien je ne peux pas m’empêcher de penser qu'il s'agit la d'un gros défaut de conception qu'il faudra régler d'une manière ou d'une autre.

PS*: quand j’écris « défaut de conception » je ne parle pas de cryptologie.

[RyzenOC]

Comme je l’ai écrit, j’aimerai qu’on trouve une solution permettant aux enquêteurs de faire pleinement leur travail tout en permettant aussi de préserver et de respecter la vie privé de chacun d’entre nous.

comme je l'ai déja dit, il ne peut y avoir de demi mesure, ou bien tu sécurise ton serveur ou bien tu ne le sécurise pas, il n'y à pas de juste milieu dans ce domaine.

Tu veut quoi, que l'état autorise le chiffrement pour les pro, et l'interdise au grand publique ?
Et quand bien même, comme je l'ai dit, les modules de chiffrement et aujourd'hui sont intégré nativement dans quasi tous les langages, n'importe qui peut chiffrer ces données en 2-3 lignes de code.
Si une tels loi devait passer on aurait la France ou toute les données serait stocké en clair et chez les terroristes ou les autres pays ou tous serais chiffré.
Donc de 1 sa n'aideras pas les enquêteur, mais en plus la sécurité de la nation et de toute les entreprises seraient en danger.

donc non il n'y a qu'une seul voie possible, le chiffrement de tous, il faut l'imposer et le gouvernement devrait même lancer des campagnes pour promouvoir cela.
C'est aussi important que de manger 5 fruits et légumes par jours.

Quand aux pro, faut aussi bien les former sur ce sujet, aujourd'hui je connais encore des boulets qui utilisent md5 pour chiffrer les mots de passe... une honte pour un bac+5 ! une honte pour l'entreprise qui l'a embauché et une honte pour l'éducation national d'avoir lamentablement échoué.

Et enfin le gouvernement est bien incapable de faire appliquer une tel loi, déjà qu'ils n'arrive pas à lutter contre le piratage et à fermer un simple site web comme t411, c'est juste des zozos bon à rien.

[_Thomas]

[...]

Je pense au contraire que beaucoup ont compris le fond de ta question, car c'est une réflexion qu'on a probablement tous déjà eu en pensant à ce sujet là.

Oui en première analyse ce serait bien d'avoir un chiffrement fort avec des garanties que l'unique solution de contournement ne soit utilisée que par des gens bien intentionnés et lorsque la situation le justifie (ex : dans le cadre d'une enquête). Seulement en dernière analyse, une telle solution détruirait la confiance que tu pourrais avoir dans ton mécanisme de chiffrement, car rien ne permet de savoir dans quelle intention une telle la solution de contournement serait utilisée (même si on met de côté l'usage criminel, il faudrait répondre à la question : https://fr.wikipedia.org/wiki/Quis_c...os_custodes%3F).

De mon point de vue il serait préférable que les enquêteurs concentrent leurs efforts à redévelopper le renseignement de terrain plutôt que de croire que la technologie est la réponse à tous les maux.

[Iradrille]

Perso, je trouve les 2 points de vus tout à fait acceptables, et je ne peux que regretter le caractère inconciliable de cette technologie.

Comme je l’ai écrit, j’aimerai qu’on trouve une solution permettant aux enquêteurs de faire pleinement leur travail tout en permettant aussi de préserver et de respecter la vie privé de chacun d’entre nous.

J'imagine que beaucoup de personnes (moi y compris) veulent la même chose que toi.
Le problème est que c'est, par design, impossible.

Garder les clefs pour déchiffrer les communications de millions de personnes au même endroit est trop dangereux, de plus si les clefs sont gardées alors la confidentialité n'est plus garantie : celui qui garde les clefs peut venir fouiner.