Malgré l'opposition d'Apple et de la Silicon Valley, CISA voté par le Sénat US

Mickaël Bazoge |

Le Sénat américain a voté cette nuit, à une large majorité, le Cybersecurity Information Sharing Act (CISA), par 74 voix pour et 21 voix contre. La Silicon Valley s’était pourtant opposée avec véhémence contre ce projet de loi, Apple en tête.

Avocat de la confidentialité et de la protection des données privées, le constructeur avait déclaré publiquement son hostilité à une législation qui ouvre un peu plus les serveurs des entreprises aux services de sécurité américains (lire : Sécurité : Apple s’oppose de nouveau aux autorités américaines). Google, Yahoo et de nombreuses autres sociétés s’étaient joint au concert de protestation.

CISA lève certains garde-fous concernant le partage d’informations : les données des utilisateurs pourront être exploitées par le Department of Homeland Security (DHS, le ministère de l’Intérieur américain), sans risque de représailles de la part de la société civile, de la presse ou de la justice. Ce système légalise en quelque sorte le transfert de données confidentielles entre les entreprises et le DHS, qui pourra ensuite partager les informations critiques avec les agences de sécurité de type NSA, si nécessaire.

« La confiance de nos clients signifie tout pour nous, et nous ne pensons pas que la sécurité devrait se faire au détriment de leur vie privée », avait expliqué Apple la semaine dernière. CISA doit encore être votée par la Chambre des représentants avant de se retrouver sur le bureau de Barack Obama pour qu’il y appose sa signature.

avatar Moonwalker | 

Et un clou de plus dans le cercueil de la démocratie aux USA.

avatar frankm | 

Ils ont bien le droits au flingues en tout genre, ils ont aussi le droit de ne pas avoir de vie privée.

avatar C1rc3@0rc | 

Ca ne concerne pas que les américains puisque ce paquet s'applique "aux possessions" des personnes morales, donc cela n'est en fait qu'une généralisation du Partiot act, permettant d'accéder aux données detenues directement ou indirectement, hors territoire US ou sur le territoire US…
Donc en gros un cloud ou un PC dont un élément au moins est d'origine américaine, et hop la formule s'applique...

avatar oomu | 

cela s'accompagne de la suite des clous plantés dans le cercueil de la démocratie en France. (écoutes internationales (qui par rebours concerne aussi les français), "boites noires" obligatoires dans les entreprises sur demande du gouvernement, utilisation de décret plutôt que de lois restreignantes, etc)

Et bien sur lobbying continuel au près de l'UE pour que le parlement Européen s'interdise de vérifier le bien fondé de la France sur ces sujets.

avatar Ginger bread | 

@Moonwalker :
+1

avatar rikki finefleur | 

Il fallait s'y attendre.
Evitons donc de mettre nos docs dans le fameux cloud et les appareils américains associés.

avatar fautedegout | 

@rikki finefleur :

Tes donnees sont deja lues depuis 3 semaines par les boites noires installées chez les fai francais ... Tu es au courant ou complètement à la ramasse ?

avatar rikki finefleur | 

fautedegout
Non je crypte les trucs persos et les données au boulot.
Car il n'y a plus beaucoup d'autres solutions. et je laisse le cloud là où il est.
Comme disait un gars dernièrement, la solution désormais la plus sécurisée pour communiquer c'est désormais la poste. et il n'a pas tort. Va -t-on y revenir ?

avatar EBLIS | 

Je crois que je vais commencer à m'intéresser aux solutions de cryptage, si du moins j'arrive à y comprendre quelque chose. J'ai déjà réussi à obtenir des adresses protonmail sans réellement savoir si c'est efficace et je n'utilise de toute façon pas de cloud ou de réseaux sociaux.

avatar C1rc3@0rc | 

A l'heure actuelle la seule solution permettant d'espérer ralentir l'espionnage des données c'est le chiffrement local. Si un document est chiffré sur l'appareil il voyagera chiffré et arrivera chiffré chez le destinataire, dans tous les autres cas il est garanti qu'il sera accessible a des inconnus.

Les seuls serveurs qui présentent encore une petite crédibilité sont ceux situés dans des pays neutres non affiliés a l'OTAN (la Russie, la Chine et la Coree du nord présentent les memes risques, sauf qu'ils ne s'embêtent pas a faire semblant d'être des démocraties...).

Pour les emails (ça marche aussi pour chiffrer les documents sur le disque) une bonne solution actuellement c'est d'utiliser GPG.
Il n'est pas garanti a 100% que les agents de la Stasi américaine euh NSA n'aient pas infiltré l'organisation, sis au moins on a le bénéfice du doute, ce qui n'est pas le cas des sociétés US avec du code propriétaire.
Seul inconvénient: faut passer par Thunderbird comme client mail (ça marche aussi avec Mail d'Apple, tant qu'Apple n'est pas contraint de le bloquer) et sur iOS et Android faut passer par des app payantes qui intègrent le protocole GPG.

avatar EBLIS | 

Merci pour les infos. Thunderbird ne me dérange pas, je l'utilise au lieu d'Outlook mais je ne savais pas qu'il pouvait crypter les mails. Ceci dit, si je crypte les mails à l'envoi, il faut bien que je communique un code à la personne qui les reçoit? C'est un code pour chaque mail? Ou une clé pour tous? Dans ce cas tout ceux à qui je la donne sont des failles potentielles? Cela doit être pareil pour Android non?

avatar C1rc3@0rc | 

Il s'agit de chiffrage avec des clés asymétriques. Chaque partie dispose d'une clé privé secrète et d'une clé publique a diffuser sans limitation.

Explication:
Toto genere une clé publique et une clé privée.
Titi genere une clé publique et une clé privée.
Toto et Titi s'échangent au yeux de tous leurs clés publiques.
Toto va ensuite pouvoir chiffrer tous ses message pour Titi, que seul Titi peut déchiffrer car il a sa clé privé, qui n'est jamais sorti de son ordinateur.

Si l'affreux NSA dispose des clés publiques de Titi et de Toto, il ne pourra pas déchiffrer les messages, car il ne dispose pas des clés privées...

C'est un des système les plus efficace qui soit.

Pour Thunderbird il y a une extension qui automatise le truc: Enigma.

avatar EBLIS | 

Merci beacoup c'est un peu plus clair :-) donc il y a une clé qui crypte, la clé publique, et une clé qui décrypte, la clé privée. La première ne servant qu'au cryptage, elle ne servira pas à grand chose d'autre si elle est perdue dans la nature. Ai-je tout bon?

Quel meilleur nom pour le cryptage que la fameuse Enigma? :-)

J'ai des livres sur la cryptographie, il va falloir que je les lise je oense :-)

avatar Cagliostro | 

Moi j'aimerais qu'ont m'explique un peu le cryptage. J'ai le sentiment que mon code n'est pas protégé car il est stocké chez le fournisseur du service de cryptage.
Je m'explique : j'ai le sentiment d'enfermer les photos de ma vieille tante dans un coffre fort et de confier la clé du coffre au concierge... Que se passe t'il si la police vient voir le concierge avec un mandat ?

avatar oomu | 

non.

Si le cryptage est fait chez le dit opérateur et qu'il possède les clés (les passe-phrases maitres), alors oui, c'est bidon.
L'opérateur est en mesure d'obéir à une autorité quelconque (ou lui même ou un criminel au sein de l'entreprise : quiconque arrivera à prendre possession des passephrases maitres et des fichiers)

C'est pour cela qu'il faut idéalement crypter CHEZ VOUS (localement) avec une passephrase que VOUS SEUL connaissez (elle n'est pas transférée chez l'hébergeur de fichiers et vous êtes donc obligé de suivre une procédure pour la transmettre à chacun de vos appareils)

Les données cryptées sont synchronisées, mais le cryptage est fait localement (votre machine devant vous/dans la main), et les clés pour crypter/décrypter ne sont pas connues par l'hébergeur et la passephrase maitre n'est connue que de vous.

C'est du cryptage bout à bout (1er bout: votre machine jusqu'au 2eme bout: la machine destinatrice)

iCloud est censé (c'est ce qu'a expliqué Apple et c'est ce que des chercheurs ont confirmé voir) être du cryptage bout à bout.

C'est le cas par exemple pour le Trousseau iCloud. QUAND et uniquement QUAND vous activez une passephrase sur votre iPhone (ou Touch ID qui vous oblige de créer une passephrase), l'iphone s'en sert pour crypter et protéger les clés qui vont être utilisées entre vos machines pour décrypter les données.

Apple est opérateur de synchronisation et voit passer les morceaux de trousseau iCloud en cours de synchronisation. Ces morceaux sont cryptés par vos appareils. Apple ne peut pas voir les clés (elles ont été elle cryptées via votre passephrase et communiquées entre vos machines par toute la procédure d'activation iCloud) et n'a pas connaissance de votre passephrase.

Bien sur, il ne faut pas activer de service Apple proposant de mémoriser votre passephrase chez elle. Cela détruit toute la protection et vous revenez à faire confiance à Apple. (sachant qu'Apple a des obligations légales d'obéir).

avatar oomu | 

soit vous vous reposez sur des services fournissant d'agréables logiciels pour gérer tout ça pour vous. Par exemple le service MEGA repose sur un plugin de navigateur pour faire du cryptage chez vous avec votre propre clée privée stockée dans votre machine (et celles que vous permettez de décrypter) sans prendre la tête. (c'est peur dire que MEGA dérange donc).

Ou vous le faites à l'artisanal : vous prenez vos dossiers de fichiers, vous le cryptez avec zip/rar/7z en utilisant un hashage moderne et bien costaud, une passephrase suffisamment longue et farfelue (pas le nom de votre chien donc) et zou vous copiez le fichier compressé+crypté sur dropbox (ou autre). Au moins là vous êtes sur de votre procédure.

Problème : dropbox ne pourra plus synchroniser élégamment chaque document vu que vous stockez de son point de vue un gros fichier.

Mais l'idée de base est là.

ou vous patientez que l'industrie propose d'avantage de produits cryptés bout à bout avec une identité que vous générez explicitement avec un zoli écran d'accueil et stockée dans un dossier bien identifié chez vous.

avatar Cagliostro | 

Merci oOmu d'avoir pris le temps et l'énergie pour expliquer à un vieux grigous comme moi la gestion des systèmes de cryptage.
J'avoue que je ne faisait pas confiance au Trousseau d'iCloud.

avatar eden-eden | 

Oui merci oomu. Mais je reste tout de même pantois face à cette envie pour des particuliers de mettre dans le cloud autant de données personnelles, privées. Si c'est pour du stockage, ça me semble idiot, parce que les disques durs sont de très bons moyens pour cela (si l'on pense à faire les choses en double copie bien sûr, en cas de mort subite du DD). Pour du partage, alors on est toujours face au même problème : crypter mais permettre à l'autre de décrypter à l'arrivée, et là il faudrait utiliser les méthodes que tu décris. Mais la plupart du temps, on envoie des photos par mail ou on les met sur Picasa ou autre de sorte que tous les destinataires les voient. Donc on ne crypte pas. PGP pour les mails, j'ai essayé de convaincre mon entourage il y a 20 ans de s'en servir. En vain. Tout le monde s'en fout de toutes ces procédures qui sont vécues comme lourdes et absurdes : clés publiques, clés privées... Pfff, que du tracas. Alors tout circule comme des cartes postales sans enveloppes. Et puis que vaudrait une vie sans Facebook de nos jours ? Non c'est bien de connaître le cryptage en théorie, mais concrètement, personne ne s'y colle vraiment. Il faudrait d'une part que les systèmes proposés par les fournisseurs d'OS, d'accès, etc. soit proposés en cryptage bout à bout, toujours, voire que ce soit une obligation légale. D'une part. Et d'autre part que chaque État se range derrière un principe de protection de la vie privée. Donc n'oblige pas les les entreprises informatiques à faire des boites noires consultables à tout moment. Ou alors seulement de manière contrôlée : obligatoirement sous la demande d'un juge. Mais nous n'en sommes absolument pas là. Tout cela me semble donc totalement vain. Chacun doit donc faire attention. C'est tout. Rien de sensible dans le cloud ou dans les réseaux. Mais bon, autant chanter sous la pluie, ou pisser dans une contrebasse (la première proposition étant plus élégante).

avatar hairsplitter | 

Une Stasi bis.

avatar tbr | 

@hairsplitter :
Je n'aurais pas mieux dit.
La Stasi, en pire. Même en ex "paradis du communisme", on n'aurait pu en rêver.

Apple, tient bon !

avatar fautedegout | 

Les 2 personnes qui viennent de deposer un message sont au courant que la loi francaise votee en juin etait encore plus permicide et est d'ailleurs en application depuis 3 semaines ?

Je me demande si les gens de ce pays sont au courant de leur propre destinée avant de commenter celle des autres.

avatar nifex8 | 

@fautedegout :
Effectivement tout le monde semble avoir oublié qu'une lois encore plus liberticide est appliquée en France

avatar fautedegout | 

@nifex :

On peut donc s'attendre au pire si on fait avaler de telles choses à un peuple à la memoire si courte...

avatar C1rc3@0rc | 

Le paquet de lois de surveillance de masse de la population n'est qu'une transcription du Patriot act et de ses evolutions. Kazeneuve collabore certes activement avec l'espionnage américain, mais il n'a pas vraiment le choix.
Depuis que le precedent locataire de l'Elysées a vendu la Nation Française a l'OTAN, il ne s'agit plus de choix de transcription, mais de soumission obligatoire aux directive du renseignement américain.

avatar rikki finefleur | 

@fautedegout
Oui mais comme en france, aucun industriel ne vend de tel, d'ordi, ni n'a de cloud , cela ne sert pas çà grand chose cette loi francaise.
Là le probleme est différent, on va avoir carrément une porte dérobée sur nos appareils ou OS de machines . Cela n'est plus du tout pareil

avatar pat3 | 

@rikki finefleur :
Ni n'a de cloud? OVH, et en gros la plupart des hébergeurs t'en propose un.

avatar rikki finefleur | 

@pat
exact j'avais oublié ovh. Par contre ce qui craint c'est si on a une porte dérobée sur nos ordis ou phones, comme quoi il vaut mieux désormais conserver nos vieilles machines.

avatar C1rc3@0rc | 

moais a condition d'en avoir datant d'avant 2001… et encore.

avatar fautedegout | 

Pour info les dites boites noires lisent les trames (cryptées ou pas....t'inquiete pas pour ça), pas les contenus stockées .... ces derniers sont aussi scrutés, pas d'inquiétude non plus...

Bref, là ou on veut en venir, c'est que la loi française sur la surveillance généralisée de la population de ce pays est bien plus en avance qu'aux USA.

avatar HollyvierSsjGod | 

Décidément, depuis la mort de Jobs, plus rien ne réussit à La Secte.

avatar marc_os | 

@HollyvierSsjGod :
Oh ! Un troll. !

avatar ckermo80Dqy | 

@HollyvierSsjGod :
Relis la news sur les résultats et on en reparle.

avatar thebarty | 

@HollyvierSsjGod:

Naaannnnn, c'est pas vrai, un troll aussi pourri dès 9h du mat ?

avatar iphonophile | 

@HollyvierSsjGod :
Je te rejoins entièrement !

avatar DonPedro | 

C'est un jour de deuil, ou de prise de conscience : Les USA ne sont pas le pays de la liberté, mais de l'hypocrisie.

avatar marc_os | 

@ DonPedro:
Les USA, pays de l'hypocrisie ?
Pas sûr que ce soient les seuls...
J'ai comme un drôle de souvenir où des gens en France manifestaient il n'y a pas si longtemps contre les Droits de l'Homme tout en se prétendant "pour tous"...

avatar C1rc3@0rc | 

Que des minorités obscurantistes fassent entendre leurs voix c'est un droit démocratique. Qu'une minorité impose ses volontés a la majorité c'est pas la démocratie. En France lorsque les lois sont des initiatives locales elles ont encore une dimension démocratique. C'est pas le cas des USA ni de l'OTAN.
Dans de plus en plus d'Etats US il est impossible d'enseigner les bases de la théorie de l'évolution… Et les thèses eugénistes reviennent en force par la grande porte ouverte par la finance!

avatar scanmb (non vérifié) | 

@fautedegout
+1

avatar scanmb (non vérifié) | 

@hollyvierssjgod
Tiens, l'inquisition pointe son nez !!!

avatar Shralldam | 

Stocker ses données chez soi devient de plus en plus incontournable… Jusqu'à ce que ça devienne suspicieux, puis illégal.

avatar iAnn | 

Et ça risque de soulever plus de soupçons les gens gens qui crypteront leurs données et ne mettront rien sur le could et n'auront pas de compte FaceBook ou Twitter ou que sais-je...

Mais qu'ont-ils donc à cacher ??? C'est des altermondialistes, forcément !!!

avatar C1rc3@0rc | 

C'est en partie déjà le cas…
Il est interdit d'utiliser certains systèmes vraiment fiables de chiffrage et il devient interdit de payer en espèces...

avatar gwen | 

Et certain montrent du doigt les dictatures comme la Chine ou la Corée du Nord. On s'en approche de plus en plus. Du moins on nous prive de plus en plus de nos libertés.

Nos grand parents on lancé la sécurité social, les congés payés et tout un espace de libertés pour leurs enfants. Liberté qu'il ont encore plus réclamée en 68. Puis ces mêmes enfants prive de liberté leurs propres enfants pour satisfaire leur simple bien être de vieux. Concernant.

Je me demande ce que l'histoire retiendra de la politique actuel ?

avatar en ballade | 

@gwen :
Joliment exprimé

avatar iDidier | 

1984 Georges Orwell

avatar paddy57 | 

Torquemada ne mourra jamais.

avatar KevinR | 

Perso jai rien à cacher

avatar tbr | 

@KevinR :
"Perso jai rien à cacher"

Adepte du nudisme ?

Ça tombe bien car j'ai justement quelques achats (dispendieux) à faire donc j'aurais besoin :

– de ton nom et de ton prénom (ceux inscrit sur ta CB)
– du n° complet à 16 chiffres de ladite CB
– de sa date limite de validité
– ainsi, pour finir, du nombre à 3 chiffres situé au verso de ta CB

... Puisque tu n'as rien à cacher.

avatar scanmb (non vérifié) | 

@c1rc3@orc
Enfin ... On impose quand même la croyance de l'évolution dans notre système scolaire, quoi qu'on en dise le choix n'est pas donné ...
Mais bon.

avatar Stanley Lubrik | 

@Hairsplit

"Une Stasi bis."

Tu dois avoir raison, d'ailleurs Une Stasi, c'est l'anagramme d'Etats-Unis !

Pages

CONNEXION UTILISATEUR