Chiffrement : la porte ouverte à un compromis avec Apple et Google aux USA
« La politique de protection des personnes ne devrait pas être dictée par deux entreprises qui fabriquent des smartphones. » Le procureur de Manhattan a de nouveau sonné la charge contre Apple et Google au sujet du chiffrement.
Apple et Google pointés du doigt
Lors d'une conférence sur la cybersécurité à New York, Cyrus Vance Jr. a dévoilé un livre blanc dans lequel il fait le point sur les entraves causées par iOS 8 et Android Lollipop, deux systèmes qui sont inaccessibles à quiconque, et donc aux autorités, sans mot de passe (le chiffrement est optionnel sur Lollipop).
Entre septembre et octobre 2015, le bureau du procureur de Manhattan n'a pas pu mener 111 mandats de perquisition de données car les terminaux tournaient sous iOS 8. Les affaires étaient diverses : homicide, pédophilie, vol... Cyrus Vance Jr. écrit que l'on peut « raisonnablement croire » que les informations contenues dans ces appareils étaient « pertinentes » pour le travail d'investigation, mais ne précise pas si les enquêtes ont finalement abouti sans ces éléments.
Il cite par contre plusieurs cas où des données de smartphones se sont révélées précieuses : « des photos et des vidéos d'agressions sexuelles sur des enfants ; des messages entre des trafiquants sexuels et leurs clients ; et même une vidéo d'une victime assassinée par balle... ce sont quelques-uns des éléments de preuve trouvés sur les smartphones. »
Concernant les attentats de Paris, à l'heure qu'il est, l'enquête n'a pas établi que les terroristes avaient chiffré leurs communications pour échafauder leur plan. Des responsables européens ont néanmoins déclaré au New York Times qu'ils s'attendaient à ce que ce soit le cas.
Lors de la conférence rapportée par Bloomberg, le procureur de Manhattan a jeté l'opprobre sur Apple et Google, qui, contrairement à d'autres entreprises high-tech, n'apportent pas leur soutien aux victimes, selon lui.
Et de souligner plusieurs initiatives qui ont suivi les attentats de Paris : Facebook a lancé sa fonction Safety Check (qui permet de signaler à ses amis qu'on est en sécurité) ; Airbnb a donné la possibilité de louer gratuitement son logement et annulé ses frais de service ; Uber a bloqué l'augmentation de ses tarifs (qui surviennent en cas de fortes demandes). Cyrus Vance Jr. oublie néanmoins que Google a proposé les appels internationaux vers la France gratuits via Hangouts.
À la recherche d'un compromis
Alors que Tim Cook a répondu par un non catégorique à la création d'une porte dérobée pour les autorités, le procureur, qui avait déjà déclaré en avril dernier que l'iPhone était l'appareil « de choix pour les terroristes », a fait une nouvelle proposition.
« Nous ne voulons pas une porte dérobée pour le gouvernement. Nous ne voulons pas une clé pour le gouvernement et nous ne voulons pas recueillir des données sur tout le monde », a-t-il déclaré en signe d'apaisement.
Le compromis qu'il propose est que sur mandat, les fabricants, et seulement eux, puissent piocher des données dans leurs appareils et les transmettre à la justice. Les données concernées seraient uniquement celles stockées sur le terminal. Sont exclues les données qui transitent d'un appareil à l'autre, comme les conversations téléphoniques.
Le livre blanc ne s'attarde pas sur les considérations techniques d'une telle mesure, mais cela signifierait qu'Apple et Google aient les clés de chiffrement de chaque terminal. Le procureur de Manhattan veut d'ores et déjà faire passer une loi pour que tous les smartphones ou tablettes fabriqués ou vendus aux États-Unis puissent être « ouverts » avec un mandat.
Richard Burr, président de la commission du Sénat sur les questions de surveillance, avait déclaré un jour plus tôt que le Congrès n'allait pas adopter une loi réduisant l'usage du chiffrement, mais que les législateurs exploraient d'autres pistes.
« J'espère que le même souci pour l'intérêt public va conduire les fabricants de smartphones à négocier une solution », a ajouté le procureur. Sollicités par Bloomberg, Apple et Google n'ont pas fait de commentaire.
image de une : Steven Tom CC BY-ND
@Lestat1886 :
C'est possible de déchiffrer un téléphone sans la clef, me soucis c'est le prix que cela coûte et le temps en facteur matériel et humain.
Donc c'est tout simplement impensable de s'amuser à craquer le chiffrement de tout les téléphones.
C'est un peu facile d'utiliser les événements actuels comme prétexte.
Ce n'est pas même pas sur que ces térroristes utilisent les technos actuelles. Je suppose même que non vue leur paranoia.
Quand on voit ici, dans ce forum ou autres forums Mac le nombre de personnes qui pensent que la sécurité d'iOS n'est que de la comm, je pense bien que ces terroristes sont aussi de même avis.
Et puis il ne faut pas minimiser la puissance de Daesh, ils ont des milliards de dollar dans leurs comptes. Ils sont bien capables de bien rémunérer des hackers sous couverts d'anonymats pour casser des codes d'accès.
Même si le chiffrement est illégal ou qu'il ya une back door cela n'empêchera pas les malandrins de crypter un ficher avec un logiciel de chiffrement solide et d'envoyer ça sur internet, via de la steganographie du besoin, c'est un faux problème et tout ça va encore réduire nos libertés !!!
Les pauvres déjà ils utilisent leurs CB et en plus ils dévoilent leurs contacts sur facebook. Ne pas donner trop d'intelligence à ces gens.
« Crypter » n'existe pas en français. http://www.bortzmeyer.org/cryptage-n-existe-pas.html
Même Poutine a seulement demandé que les serveurs d'apple et de google soient en Russie, il a pas demandé de "portes dérobées"...
Les terroristes n'ont apparemment pas tous utilisé un iPhone car la police francaise a pu lire des informations dessus (notamment les textos et historiques)
Je pense que si apple possede la clef et pourquoi pas si là presence physique du telephone via une manipulation mecanique, ça serait intelligent. Du coup avec apple, et la police declenchznt Le mecanisme, ils auraient les infos.
Ainsi, un hacker devra à la fois percer le chiffrement d'Apple ET avoir accès physique au téléphone pour pouvoir accéder aux données.
Si le mécanisme pouvait être hard codé électronique ment sur la puce dans le futur sans contact avec IOS alors là ça serait une solution quasi parfaite puisque inviolable à distance techniquement.
Les enquêteurs ne peuvent-ils pas tout simplement exiger des personnes suspectés de donner leur mot de passe ?
@marc_os :
Je pensais la même chose. La non-coopération deviendrait une preuve en soi.
@marc_os
Il me semble avoir lu il y a quelques temps que la justice ne peut t'obliger à donner le mot de passe.
En gros le principe est que "tu" n'es pas obligé de justifier que "tu" est coupable par "toi" même.
A eux de prouver que tu es coupable.
J'ai trouvé ça...
http://rue89.nouvelobs.com/2015/02/05/si-police-demande-est-oblige-donner-mot-passe-257509
l'article parle de la police, mais comme il s'agit d'une loi ???
@marc_os :
on fait face à des criminels qui ne respectent rien.
allez donnez nous la preuve pour vous inculpé
merci à vous
@marc_os :
T'es con ? Quand ils sont morts comment tu leur demande "tout simplement" leur mot de passe ? Et tu penses qu'un terroriste, s'il est vivant, va te donner le mot de passe de son téléphone dans lequel il cache ses projets d'attentat ?
Et les gouvernements pourront indiquer comme suspects qui ils veulent ; l'amant supposé de la femme du juge etc. Ridicule...
Il me semblait que les terroristes utilisaient des cryptages de très haut niveau.
Qu'il existe une porte dérobée ou un accès physique, c'est kif-kif, tous les hackers pourront s'y engouffrer après avoir volé le téléphone.
@fousfous: il n'est pas du tout interdit d'aimer des personnes de moins de 18 ans. J'ai des enfants et je les aime beaucoup. Maintenant, si tu insinues par ton commentaire d'avoir des relations sexuelles pédophiles (avec des mineurs donc), c'est complètement différent. Et pourquoi pas avec des animaux ou des morts aussi pendant que tu y es ? Il faut une limite, et la limite je suis content que ce ne soit pas des gens comme toi qui la fixent.
@etlomb77 : j'ai pensé la même chose !
"Le compromis qu'il propose est que sur mandat, les fabricants, et seulement eux, puissent piocher des données dans leurs appareils et les transmettre à la justice. Les données concernées seraient uniquement celles stockées sur le terminal. Sont exclues les données qui transitent d'un appareil à l'autre, comme les conversations téléphoniques.
Le livre blanc ne s'attarde pas sur les considérations techniques d'une telle mesure, mais cela signifierait qu'Apple et Google aient les clés de chiffrement de chaque terminal."
Si le système de cryptographie est symétrique, c'est vrai, la clé de chiffrement est la même que celle pour déchiffrer. Mais si le système est asymétrique, la clé de chiffrement (aussi appelé clé public) n'est pas la même que la clé de déchiffrement (aussi appelé clé secrète), les autorités auront donc besoin de la clé de déchiffrement et pas de la clé de chiffrement (qui si le système est bien fait ne permet pas de retrouver la clé de déchiffrement).
Dans un système de chiffrement asymétrique on peut introduire autant de clés de chiffrement publiques que l'on désire sans compromettre la confidentialité. On peut imaginer qu'Apple ajoute leur clé publique à tous les mécanismes de chiffrement des iDevices et ne se serve de leur clé privée que sur mandat.
Les points faibles, mais c'est valable pour tout le monde utilisant ce chiffrement (qui est déjà utilisé partout mais pas de façon systématique), sont la vitesse (et donc puissance et consommation), et la clé privé qui une fois compromise doit être révoquée le plus rapidement possible (si on se rend compte qu'elle a été compromise ce qui est justement le problème) ce qui est surtout contraignant pour les consommateurs (même principe que les certificats dans les navigateurs).
Techniquement c'est faisable, mais cela revient une fois de plus à faire confiance à une tierce partie (et accessoirement être quasiment constamment connecté à leurs serveurs et faire toutes les mises à jour tout le temps). Et à accepter de charger nos téléphones 2 fois plus souvent.
Ca c'est pour le côté technique.
Pour le côté vie privée,
je dirai que ceux qui sont partisans du secret privé et ne veulent courir aucun risque du genre terroriste, devraient vivre reclus.
Sinon on veut sa vie privée secrete à tout prix et on accepte le risque de vivre dans une société si secrète qu'on ne peut pas savoir que l'on est entouré de terroristes.
Ou alors on accepte moins de secret et plus de protection de la communauté, mais on peut imaginer des lois sur le respect de la vie privée qui n'est plus secrète.
Nouveaux débats en perspective...
Personne n'a réussi à lancer une bombe atomique sans l'accord d'un gouvernement : un accès physique (et pourquoi pas à plusieurs) pour ce genre de requêtes pourrait être une solution.
une porte dérobée physique quoi... (?)
Les backdoor (volontaires genre "pour hotline" ou accidentelles ou voulues secrètes pour on ne sait quels usages.) ça se connait vite, ça fait l'enjeu d'un marché noir de la revente d'informations sur les appareils et techniques pour les activer (mot de passe unique, toc-toc, etc). Elles font l'enjeu d'infraction dans les entreprises informatiques pour les connaître.
Bref, si l'Etat en obtenait une, elle serait répandue comme toutes les autres. Cela ne ferait qu'institutionnaliser un sabotage qu'on devrait au contraire combattre (car la sécurité est une exigence nécessaire pour le commerce, le télétravail, la domotique et à terme robots et voitures autonomes).
un ordinateur n'obéira pas qu'aux gentils.
L'industrie privée n'a jamais réussi à protéger constamment les certificats maitre (voir Verisign), les clés DRM (voir le Bluray et HDCP). Pourquoi, alors que les enjeux seront titanesques, l'Etat y arriverait ?
-
Non. Y a d'autres pistes où le monde politique peut faire bouger et solliciter l'industrie:
- l'anonymat (on ne sait pas ce qui est dit, mais on sait TOUT le reste autour de la communication, les meta-infos, avec une plus grande fiabilité si l'industrie impose des techniques de signature partout).
C'est un point que l'industrie ne protégera pas mordicus (le cloud, le googleries, les forum web à la macG, etc ont déjà affaibli l'anonymat) et qu'on sait que les populations accepteront comme un sacrifice tolérable.
- le data-mining.
Tout le monde le dit: le renseignement accumule une masse gigantesque de donnée et a des informations sur un nombre toujours + grand de gens, mais comment faire remonter aux policiers LA personne, avec LES informations qui COMPTENT ?
Le data-mining, la sélection, la remontée et la communication de l'info importante aux gens qui peuvent agir est une problématique où la technique peut aider. Où y a des travaux et des entreprises déjà présentes. Investir.
Cyrus Vance Jr est le procureur clownesque de l'affaire DSK.
Ce type est plus préoccupé de sa notoriété et de sa carrière politique que de toute autre chose.
Je n'ai pas osé le dire mais c'est bien ce que je pensais, le nom me disait bien quelque chose !
Tout-à-fait d'accord.
Juste une chose un peu en dehors du sujet proprement dit, mais qui est assez pénible à la longue : on dit les E.-U. (Etats Unis) et pas les USA, en français. Merci ! ;-)
Pour ceux qui ne le savent pas, l'échange d'information et la vente d'armes s'opèrent aussi sur des plates-formes de jeux de guerre en ligne. Comment détecter alors qu'un joueur est réellement un vrai joueur lorsqu'il propose de vendre ou d'acheter des armes et non un terroriste...
De plus, je vous rappelle aussi que le programme ECHELON est toujours actif. L'ensemble des flux d'informations qui transitent sont donc écoutés et décryptés. Cela a été le cas de certaines personnes politiques qui ont fait la presse ces derniers mois.
Tout ce bruit n'est fait que pour occuper la population et alimenter les sujets comme c'est le cas ici.
J'ai lu que les terroristes utilisaient Telegram, donc ce qui est dit en début d'article est faux puisque c'est une appli qui sert justement à crypter les messages.
Et je ne sais pas ce que vous voulez tous tellement cacher et qui vaut bien de risquer sa vie face à des terroristes mais en ce qui me concerne, je suis tout à fait pour que les autorités puissent, avec l'aval d'une autorité indépendante, voir le contenu complet de ce qui est fait sur internet.
Et je vous signale que tous les islamistes radicaux et autres ne sont pas encore TOUS des terroristes. Il y en a qui sont encore en France, peperes, en train de se radicaliser et qui s'apprêtent à partir en Syrie. Ces gens-là ne vont pas s'acheter des téléphones satellitaires, utiliser des cryptages ultra puissants, des codes comme sur la bbc ou je ne sais quoi. Donc ils pourront être trackes, avant même de bouger ils se feront arrêter, et croyez moi que ça risque de réduire considérablement le nombre de candidats.
En ce qui me concerne, qu'internet soit très surveillé (quelle qu'en soit la forme) le rendrait j'espère un peu moins le recours systématique à tout et n'importe quoi...
Maintenant tout est en ligne, tout est dit en ligne, les médias font sans arrêt des allusions aux "réseaux sociaux" comme si c'était un acteur de poids... Comme si ceux qui y sont étaient représentatifs de la société. Combien de fois on prend les réseaux comme référence... N'importe quoi.
Plus de pistage (je cherche le terme plus français, désolé) rendrait l'internet moins incontournable peut-être ? Ca ne me gênerait pas...
@J'en_crois Pas_mes yeux :
il s agit de la societe d aujourd'hui
passez son temps Facebook ou Twitter pour s inventer une vie virtuelle.
Internet n a pas apporté que des avancés.
Si on regarde notre environnement, on est totalement pollué.
nature, média, agressivité.
Mise à part le 0,001% de la population qui vit sur des îles ou des nantis, nous avons une vie bien anonyme.
nous subissons les évènements et nous ne maîtrisons rien.
les derniers événements apportent la preuve.
des vrais moutons !
vive Twitter et Facebook, Google et les journalistes.
on fait un plat pour les données personnelles qui n intéressent personne.
la plupart des personnes qui sont réticents, publient leurs vies sur Facebook et le cloud.
ah ?
donc une porte dérobée, mais pour l'entreprise plutôt que pour l’état…
C'est vraiment très américain comme vision des choses. :D
(en même temps, c'est vrai que c'est un débat américain).
Enfin, cette proposition est inique, une porte dérobée, est une porte dérobée, une fois qu'elle existe, elle est empruntable.
Pages