Apple défend le chiffrement dans le bureau du Premier ministre australien

Florian Innocente |

Des spécialistes en sécurité d'Apple ont discuté hier avec le ministre de la justice australien George Brandis et des représentants du gouvernement dans le bureau du Premier ministre Malcolm Turnbull. C'était le deuxième rendez-vous de cette nature en un mois, rapporte le Sydney Morning Herald

Ces entretiens ont trait à la volonté du gouvernement australien d'obtenir des opérateurs et éditeurs de logiciels de chat un moyen d'accéder au contenu des conversations même lorsqu'elles sont chiffrées. Une révision de la loi est en préparation avec la possibilité qu'elle impose des obligations très strictes.

George Brandis

Apple a fait valoir comme préalables qu'elle ne veut pas être empêchée d'utiliser un chiffrement des données sur ses appareils, ni avoir à fournir une clef capable de contourner ces protections.

Son premier argument est celui utilisé par toutes les sociétés qui font face aux mêmes demandes de la part de législateurs à travers le monde : une porte dérobée pour aider les forces de l'ordre conduirait à abaisser le niveau de protection de tous les utilisateurs. Apple a ajouté qu'elle fournissait déjà une assistance technique dans certaines enquêtes.

D'après un contact au fait de ces échanges, Apple veut éviter que la loi ne soit trop alourdie en contraintes pour elle et ses pairs. Tandis que les représentants du gouvernement ont assuré qu'ils ne voulaient pas disposer d'une back door dans le téléphone des gens, ni que les technologies de chiffrage soient fragilisées.

Les détails manquent mais on peut supposer que l'option envisagée par le législateur soit de s'assurer que les entreprises puissent elle-même déchiffrer ces contenus et les fournir sur demande. Ce contre quoi Apple s'est précisément battue lors de l'affaire de l'iPhone de San Bernardino et qui n'efface pas le risque que ce sésame se retrouve un jour dans la nature.

avatar Bigdidou | 

« et qui n'efface pas le risque que ce sésame se retrouve un jour dans la nature. »

Evidemment pas.
Le monsieur, on savait qu’il vit aux pays des kangourous rt des gentils koalas, mais au pays de oui-oui où de manège enchanté, c’est une découverte...

« Les détails manquent mais on peut supposer que l'option envisagée par le législateur soit de s'assurer que les entreprises puissent elle-même déchiffrer ces contenus et les fournir sur demande »

Ben oui, les clés restant sous la garde attentive de Pollux (il a bien vaincu le chat bleu, alors les terroristes...).

Ce qui est rigolo, c’est ce bashing des entreprises privées (le fbi vs apple, mais il y a tant d’autre) soit disant incapables de faire le boulot correctement par rapport à l’Etat (santé, éducation, sécurité...), mais quand il faut garder un gros, très gros secret comme celui des backd-doors (quasiment du niveau de la bombe nucléaire, si on pense à tous les dommages possibles), ben là, y a plus d’état, et vive le privé : qu’il se démerde avec ça.

On marche sur la tête.

avatar frankm | 

Apple (septembre) : désolé il n'y aura pas de nouveaux iPhone en Australie

avatar C1rc3@0rc | 

@frankm

Mais si, la loi, si elle emerge, sera promulguée apres l'arrivée des iPhone 7s, et comme une loi, dans une democratie, ne peut pas etre retroactive, les machines existantes avant la loi ne peuvent pas y etre soumises (apres, la mise a jour de l'OS peut se soumettre a la loi).
Par contre pour l'iPhone 8 et appareils suivants, ça risque de poser probleme. De meme les services eux seront soumis sans nul doute, quand au cloud il est deja soumis a ce type de loi.

Je vais pas revenir sur l'imbecilité abyssale d'une telle loi, tous les experts en securité hurlent depuis assez longtemps contre, les ONG aussi, les celebrités du logiciels s'egosillent egalement depuis des annees mettant en garde la population, a defaut de pouvoir faire revenir a la raison les (ir)responsables politiques.

Le fait est que si on peut dechiffrer une donnees avec 2 cles differentes, alors la donnee n'est pas chiffree.

Je pose juste 2 questions:
- pourquoi les societes informatiques ne creent par un lobby commun qui attaque sans relache le politique pour lui faire inscrire le droit au chiffrement et a la confidentialité des donnees dans les constitutions. La on dirait que les entreprises attendent la nouvelle campage de com imbecile des gouvernements pour leurs conneries et y reagissent de maniere ponctuelle et desordonnée. Ça fait pratiquement 20 ans que la question revient, ce serait temps d'y mettre fin et que les ingenieurs puissent faire leur travail, les citoyens puissent etre un peu respecté.

- tant qu'a pousser la connerie, pourquoi les etats ne légifèrent pas sur une interdiction pure et simple du chiffrement ? Car au final leur intention conduit bien a cette situation.

avatar oomu | 

les clés ne doivent ni appartenir à une entreprise privée (Apple) ni à l'Etat (le mien ou un autre).

cryptage point à point : à la charge de l'utilisateur et uniquement connue de sa propre machine.

après, aux autorités de se démerder, mais pas au prix de la sécurité des citoyens et leur autonomie.

Saboter les outils, que ça soit pour l'intérêt d'une entreprise privée ou d'un gouvernement, reviendra à tous nous saboter nos outils, que ça soit professionnel ou personnel.

Dans le fond, je considère ce débat proche de celui sur les armes personnelles.

-
et non, je ne pense pas que les entreprises privées doivent conserver des "backdoors" secrètes. Cette pratique amène régulièrement à des fuites, vols et corruptions. On l'a vu sur les routeurs réseaux, ou la revente de "toc-toc" et autres accès cachés de pare-feu.

Littéralement : ce pourquoi on ne peut pas faire confiance à un état est exactement la même raison pour quoi on ne peut pas faire confiance à une entreprise privée : pas fiable et trop d'intérêt de l'utiliser à leur avantage et/ou de se faire voler.

-
Si certains services "iCloud" sont cryptés point-à-point (iMessage), ce n'est pas le cas de tous (par exemple sauvegarde iOS dans iCloud).

-
Autant que possible, limiter la possibilité qu'un tiers s'incruste. L'imagination des pirates, escrocs et voleurs via internet est sans limite.

avatar Wes974 | 

Un bien meilleur compromis serait de pouvoir choisir entre utiliser le système actuel ou le chiffrage point à point.

avatar XiliX | 

@ShowMeHowToLive

C'est déjà le cas actuellement avec iLessahe, FaceTime, WhatsApp... etc. En fait l'utilisateur même ne connaît pas la clef. Elle voyage avec les messages.
C'est le principe de chiffrement point à point

avatar C1rc3@0rc | 

@ Dark-mac

«Un bien meilleur compromis serait de pouvoir choisir entre utiliser le système actuel ou le chiffrage point à point.»

Ben non, la validite d'un systeme de chiffrement repose sur l'unicité de la cle de chiffrement.la donnee doit etre impossible a dechiffrée sans la cle unique. Toute alternative a cela annule le principe de chiffrement. Il n'y a pas de compromis, pas d'alternative, pas de niveau: une donnee est chiffrée ou elle ne l'est pas.

Apres, a l'utilisateur doit être informé et comprendre ce qu'il fait. Apple a ici une tres bonne approche (en local, sur Mac) en proposant le chiffrement comme une fonction qu'il faut activer volontairement.

Une possibilité pourrait etre de permettre (ou imposer) a l'utilisateur de confier sa cle de chiffrement a un tiers (entreprise, autorité) qui serait responsable pénalement en cas de diffusion de cette clé!
Apres tout, on est bien libre de faire des doubles de ses cles et de les confier a des tiers et les bailleurs disposent bien d'un second jeu de cles pour les logements qu'ils administrent.

avatar C1rc3@0rc | 

@oomu

«Dans le fond, je considère ce débat proche de celui sur les armes personnelles.»

Que veux tu dire?
Un systeme de chiffrement n'est pas une arme, c'est un verrou sur la porte de sa maison. Un systeme de chiffrement ne permet pas de porter atteinte a l'integrité physique de quelqu'un, alors qu'une arme est faite pour tuer.

Le debat sur les armes porte sur le fait qu'un individu quelconque peut sous le coup d'une emotion ou d'un delire transitoire (lie a une substance comme l'alcool ou autre drogue, ou un trouble psychologique chronique ou ponctuel,...) utiliser une arme pour tuer une ou plusieurs personne, qu'une arme mal securisée peut tomber entre les mains d'une personne irresponsable comme un enfant ou un ado ou une personne souffrant de troubles psychiatrique,... et que la mort n'est pas reversible...

avatar fte | 

@C1rc3@0rc

Les ados n’ont pas le droit dans les collèges de mon canton d’avoir un victorinox de 6 cm dans leur trousse à crayons. J’en ai un, c’est mimi, il y a une petite lame et de petits ciseaux, super pratique.

C’est un freakin’ couteau, ça tue des gens un couteau.

Une paire de ciseaux de 20 cm par contre c’est totalement OK.

En fait non, un couteau ne tue pas plus les gens qu’une paire de ciseau, ni qu’une bombe nucléaire. C’est le gars qui plante le couteau, qui appuie sur la gâchette ou sur le bouton, qui tue des gens.

Aux US ce ne sont pas les armes à feu qui tuent des gens. En Suisse on a plus d’armes par habitant qu’aux US, et pratiquement aucun mort par arme à feu. Ça arrive. Mais c’est rare. C’est la putain de mentalité américaine d’auto-défense et de guerre contre tout et rien et les zombies qui tue des gens.

Bref, ce n’est pas le sujet. Par contre je pense aussi qu’il y a un parallèle entre crypto et armes. Les deux ont des usages tactics, ce qui ne signifie nullement que c’est l’usage majoritaire ni qu’il y a lieu d’interdire sous prétexte de contrôle, sécurité ou je ne sais quoi. Un criminel qui veut une arme en trouvera toujours, un criminel qui veut de la crypto forte en trouvera toujours aussi. Le problème n’est ni la crypto ni les armes. Le problème est qu’il y a de gros trous du cul un peu partout.

avatar Bigdidou | 

@fte

« Aux US ce ne sont pas les armes à feu qui tuent des gens.»

Pas si simple. la présence même de l’arme enclenche les processus mentaux à l’origine de l’acte violent (Berkowitz et ses chocs électriques).
Depuis longtemps on sait qu’on est plus agressif lorsqu’on a joué au même jeu vidéo violent avec la réplique d’une arme qu’avec un joystick neutre.
Bref, les études et expériences multiples sont là qui nous montrent qu’indépendamment de tout autre facteur, la seule vue d’une arme augmente intrinsèquement l’agressivité envers soi-même ou les autres et augmente le risque du passage à l’acte agressif. C’est bien sûr favorisé par les facteurs l’environnementaux, comme aux us.

Tout ça pour dire, que pour moi, non, y a pas de parallèle entre crypto et armes à feu.
Je ferais plutôt un parallèle entre crypto et arme stratégique : bombe, missile, arme nucléaire.

Nb : des ciseaux ou un couteau de cuisine ne sont pas des armes par destination.

avatar fte | 

@Bigdidou

"augmente le risque du passage à l’acte agressif"

Ouai. Deux choses (au moins) ont plus d’impact sur le passage à l’acte que la vue d’une arme :

- La putain de culture de violence de certains pays (et pas que les US, RDCongo par exemple au hasard),
- et la concentration de trous du culs massifs (ce qui est largement un problème d’éducation).

Le cas de l’Australie est intéressant à considérer (éducation et réduction des trous du cul), tout comme - dans un autre registre - ceux du Canada ou de la Suisse (cultures bienveillantes).

J’ai divers sabre, boken ou bo-staff à la maison, j’ai même appris à m’en servir, et personne dans la maison n’a tué le chat des voisins avec. C’est une teigne pourtant.

avatar Ginger bread | 

Simple cesser de vendre des iphones en Australie et l etat sera obligé de capituler face à la grogne des gens.

avatar pacou | 

Déjà qu'avec les failles involontaires on a des problèmes potentiels, maintenant ils veulent des failles secrètes officielles.

Quel bande de truands ...

Le pire c'est que la plupart des gens vont valider "parce que quand il y a des méchants et moi je suis gentil et j'ai rien à cacher".
Jusqu'au jour où la machine s'emballe et là ... on est tout nu même si on n'a peut rien à se reprocher, selon la formule consacrée...

avatar C1rc3@0rc | 

«Déjà qu'avec les failles involontaires on a des problèmes potentiels, maintenant ils veulent des failles secrètes officielles.»

En fait ce n'est pas recent, ça date d'une vingtaine d'annees environs.

Mais la question qui se pose aujourd'hui c'est pourquoi les etats veulent passer par la loi, alors qu'auparavant ils le faisaient de manière illégale et les entreprises se pliaient a ces "demandes" sans contestation.
On peut citer le cas archi-connu de Microsoft qui collabore(ait?) activement avec le FBI/CIA et certainement la NSA, de CISCO qui truffe ses materiels d'infrastructure de backdoor, d'Intel qui fourni des systemes de prise de controle en dessous de l'OS via des fonctions d'administration de certains de ses x86, des suspicions de pas mal de materiels chinois,...

On peut aussi s'interroger sur le fait que jusque la les etats limitaient légalement le niveau de chiffrement et les technologies de chiffrement et que maintenant cela ne semble plus leurs suffire.

Une reponse pourrait etre qu'aujourd'hui, grace a Internet, on a des ONG et des lanceurs d'alertes qui ont demontré que cette "collaboration" volontaire ou forcée etait une realité incontestable, et qu'aucun etat n'est a l'abri d'un leaker

avatar Spinnozza | 

"les représentants du gouvernement ont assuré qu'ils ne voulaient pas disposer d'une back door dans le téléphone des gens, ni que les technologies de chiffrage soient fragilisées."

Bah vous voulez quoi les mecs alors ???

avatar scanmb (non vérifié) | 

Et on interdisait aussi les serrures ? Les clefs pour les ouvrir ?
Et si on remplaçait les portes par des rideaux en tissus ?
Et si on supprimait les lois ? Il n’y aurait plus de délinquants ... puisque plus de lois pour jauger leurs actions ( qui peuvent devenir des méfaits s’il y a la loi .)

C’est un peu comme dans une entreprise:
On essai de supprimer les problèmes; mais ce sont les clients qui remontent les problèmes , donc pour régler tout ça : supprimons les clients et on supprime les problèmes ....
CQFD
PS: oui, je sais c’est ridicule ...

CONNEXION UTILISATEUR