Sécurité : les techniques de chiffrement favorisent le terrorisme, d’après le FBI

Mickaël Bazoge |

James Comey, le directeur du FBI, ne tient pas les mesures de protection de la vie privée d’Apple en très haute estime (lire : Pour le patron du FBI, Apple et Google vont trop loin dans la protection des données). On a même pu l’entendre vilipender le chiffrement d’iOS 8 qui pourrait tuer des enfants, ce qui est sans doute un peu exagéré. Le directeur du Bureau fédéral d’investigation a eu l’occasion d’en remettre une couche devant les sénateurs américains. Il en a appelé cette fois à la lutte contre le terrorisme.

D’après lui, les menaces que fait peser Daech méritent un débat autour de la restriction des mesures de chiffrement. James Comey a déclaré que les membres de l’organisation islamiste utilisaient des techniques de chiffrement dans leurs messageries, des conversations que le FBI ne peut lire. Ces apps chiffrées sont comparées à des « diables » assis sur les épaules des futures recrues de Daesh criant « tue, tue, tue ». « Je n’essaie pas d’effrayer les gens », a néanmoins précisé Comey dans un souci d’apaisement.

À sa décharge, en décembre dernier il a été prouvé que de hauts responsables de l’organisation islamiste utilisait WhatsApp pour communiquer entre eux. James Comey réclame des portes dérobées (des « portes d’entrée » dans la bouche du patron du FBI) dans les programmes de chiffrement. Ces derniers « menacent de nous mener vers des endroits très, très sombres »… Plutôt qu’une législation, Comey voudrait discuter avec les fournisseurs d’accès et les opérateurs, mais sa proposition risque de faire chou blanc : une backdoor est « fondamentalement incompatible » avec un programme de chiffrement, ont prévenu des techniciens durant ces réunions. « Vraiment ? » a rétorqué Comey.

Rien n’empêcherait un malandrin motivé d’emprunter une « porte d’entrée » placée là pour les seuls besoins des autorités : hackers, criminels, services d’espionnage étrangers… Pas sûr que le chef du FBI apprécierait.


avatar Moonwalker | 

Les États-Unis favorisent le terrorisme partout où ils passent.

Et pas besoin d'internet pour ça.

avatar patrick86 | 

@Moonwalker :
Le terrorisme n'a de toute façon pas attendu internet pour se développer. Ils s'est créé avant et pourrait très bien perdurer sans.

avatar Moonwalker | 

Dis-le à ce #@% et pas à moi. Là, tu prêches un converti.

avatar Shadow (non vérifié) | 

@patrick86 :
+1000
Accuser internet de tous les maux, c'est un brin facile.

avatar frankm | 

Finalement l'iPhone semble inviolable. En tout cas pour les agences nationales.

avatar bibi81 | 

A mon avis c'est tout le contraire.

avatar Fennec72 | 

Et les données du FBI, elles ne sont donc pas chiffrées et ont donc une backdoor, si le contraire c'est mal.

avatar Azzedine | 

Et lui, sa connerie elle tue l'intelligence...

avatar MacGyver | 

et pour clore le dossier, faudra qu'ils nous expliquent comment "sous pretexte de combattre le terrorisme" leur agences specialisees en ecoute et dechiffrement passent leur temps a ecouter les politiciens des autres pays ainsi que les entreprises concurrentes aux boites US.

avatar patrick86 | 

@MacGyver :
Ils lutent contre le terrorisme n'est-ce pas ?
Alors il n'y a pas de raison que l'Organisation Terroriste de l'Atlantique Nord soit épargnée.

Nous sommes tous le terroriste d'un autre dans ce monde malade.

avatar MacGyver | 

@patrick86 :
Euh, je crois pas, non

avatar MacGyver | 

Les apps chiffrées sont comparées à des « diables » assis sur les épaules des futures recrues de Daesh criant « tue, tue, tue »

mort de rire.

Bon en meme temps, ce sont ces memes gusses qui nous disent que c'est pas les revolvers qui tuent aux USA mais les personnes qui les utilisent.
Ben la c'est pareil, pourquoi vouloir interdire a l'app qui dit "tututu"

avatar ovea | 

Peut être faudrait il y voir le tutu s'agiter devant nous alors que … rien ne dit qu'un algorithme de déchiffrement rapide n'est pas été trouvé … … … ce qui dans ce cas signerait la fin de la suprématie délayée dans le jus des transactions robotisées d'une société qui s'accroche à ses chimères métaphysiques au lieu de passer la main à une société de l'intelligence utopique mais constructive

avatar poulpe63 | 

Il y a du chiffrement car ils mettent/peuvent mettre des "boites noires" chez les FAI pour espionner tous les internautes (donc, on essaie de se protéger)
Ah, en parlant de ça : la loi sur le renseignement qui vient d'être votée, autorise justement ça :\ (et j'espère que le Conseil Constitutionnel va agir contre ça...)

D'ailleurs, en train de regarder la nouvelle série TV Mr. Robot : eh hop, un petit bout de scotch noir sur la webcam de mon MBA... on ne sait jamais, non ? <8)

avatar patrick86 | 

Sur la guerre du chiffrement, ils perdront. Plus ils chercheront à casser les systèmes et à mettre tout le monde sur écoute, ils ne feront que motiver des geeks à créer des outils de chiffrement toujours plus efficaces. Outils qui seront destinés et utilisés par d'honnêtes gens qui ne cherchent qu'à se protéger d'Etats Totalitaires, mais aussi, probablement par d'autres gens moins sympathiques.

avatar cedric1997 | 

Même s'ils interdisent le chiffrement ou obligent les backdoors, il y aura toujours des pays ne légiférant pas sur le sujet et d'où des programmes de chiffrements (sans backdoors) émaneront. Les terroristes mettront donc la main dessus quand même. Quitte à ce qu'ils développent eux-même ces programmes.

Si vous voulez une comparaison simple: ça serait comme interdire les gants (qui permettent aux gens de se protéger, tout comme le chiffrement) sous prétexte que ceux-ci permettent de faire un crime sans laisser de trace. Un tueur finirait toujours par trouver des gants à quelque part ou bien il s'en ferait lui-même. Sauf que dans le cas des gants, c'est facile de repérer quelqu'un avec des gants, alors que repérer un traffic réseau chiffré, c'est bien plus compliqué***.

*** Enfaite c'est impossible. Les sites web des banques et autres services du genre devraient absolument rester chiffrés. Et puisqu'une fois chiffré, on ne peut pas lire les données, il serait impossible de faire la différence entre un message d'un terroriste et Mme. Michu qui paye ses factures par internet.

avatar HooHoo | 

Rassurant.

avatar Skullym | 

Dans le deuxième paragraphe, vous vouliez sûrement dire "Daesh" et non pas "Daech" non ?

Sinon merci pour cet article qui apporte matière à réfléchir (et à commenter aussi)…
La qualité est au rendez-vous, comme toujours chez MacG ! Félicitations.

avatar Ginger bread | 

Qd on voit que la NSA agit. Qui surveille le surveillant?
Personne

avatar xDave | 

Ce type est un bouffon.
à supposer que des terroristes utilisent iOS, ok… ou Androïd, déjà plus plausible pour installer et bidouiller comme ils le souhaitent. Utilisent-ils vraiment des whatsapp ou Facebook pour échanger des données cruciales? Ils choisissent leurs victimes sur Tinder aussi?
Au mieux, ils s'en servent pour faire leur propagande mais pas pour chater du prochain attentat.
il nous prend pour des cons.

Qu'est ce qui empêcherait Daesh avec les moyens qu'ils ont de développer leur propre application de messagerie avec chiffrement en 1024bits avec token en babylonien primitif et de l'installer sur leur smartphone?

Il ferait mieux de couper la chique à leur fournisseur de 4x4...

avatar patrick86 | 

"Il ferait mieux de couper la chique à leur fournisseur de 4x4..."

Ou, surtout, cesser de faire du commerce avec eux (pétrole et armes principalement, mais bien d'autres produits aussi), et avec les pays qui soutiennent ce groupe.

avatar xDave | 

@patrick86 :
C'était évidemment une boutade. Il y a bien mieux à faire, en effet, à commencer par ne pas les financer et jouer aux apprentis sorciers pour déstabiliser les uns ou les autres.
Mais ça ne servirait pas leurs réels intérêts n'est ce pas?
Un écran de fumée son discours

avatar byte_order | 

euh, 1024 bits, c'est faiblard en matière de clé de chiffrement de nos jours, hein.
Juste pour info.

avatar xDave | 

@byte_order :
Oui oui j'étais moqueur, j'en ai oublié un zéro

avatar alexccross | 

Les USA sont vraiment plein de paradoxe. Alors on veut mettre fin au chiffrement mais pas au droit d'acheter librement une arme et même de la porter. Ils sont très très forts !

avatar Algaris | 

Le probleme c'est qu'il n'y a quasiment que les technophiles qui comprennent l'enjeu de la menace de la surveillance de masse..

les Mme Michu comme on dit ne comprennent pas ce que cela peut engendrer comme degat tant au point des comportements que des enjeux financiers egalement.

Du coup a part nous qui parcourons les sites de news informatique globalement les autres sont pour par "peur" et "securite" tout ça bien relayé non stop par les medias pour servir les politique et faire passer les lois.

et encore meme la certains jeune un peu "geek" s'en foute car pour eux ça ne les interresse pas et se dise de toute maniere ça se feras.

apres perso je prefere que ça se fasse en etant illegale plutot que ça se fasse en etant legale, car la les abus vont pleuvoir, et le futur ne nous dis pas comment ce seras utilisé, ou plutot si on s'en doute malheureusement...

avatar R1x_Fr1x | 

La vieille technique toute bidon de la pleurniche comme si n'importe quel chiffrement résistait à la NSA / FBI. Juste histoire de caresser dans le sens du poil les constructeurs pour leur image histoire de mieux faire passer la pilule d'un accès direct à leurs serveurs. Et à lire votre naïveté, ça marche du tonnerre.

Le pb qu'ont les USA n'est pas l'interception des informations. C'est le tri de cette masse et son analyse.

avatar Mathias10 | 

@R1x_Fr1x :
Je pense te rejoindre

Pour moi clairement le FBI et la NSA lisent en clair toutes les données iCloud/iOS/Android/fb/WhatsApp/Skype etc...
Seulement en disant cela, le directeur laisse à penser que ce n'est pas le cas... Pour mieux piéger les terroristes, pédophiles, fanatiques, traffiquants etc...

avatar CNNN | 

@Mathias10 :
C'est évident. Les mettre en confiance pour les trouver plus facilement..

avatar R1x_Fr1x | 

@Mathias10 :
Exactement c'était déjà un secret de polichinelle avant Snowden / Assange. C'est pratiquement officiel aujourd'hui.

L'autre question c'est: espionner 100% de la population pour un ratio X d'efficacité sécuritaire en vaut-il la chandelle? N'y-a-t-il pas moins coûteux, liberticide et plus efficace AVANT un drame plutôt que les sempiternelles "nous avions l'information" APRÈS ce drame.

avatar patrick86 | 

"our mieux piéger les terroristes, pédophiles, fanatiques, traffiquants etc..."

... Opposants politiques, mouvements citoyens, associations, journalistes qui fond trop bien leur travail, initiatives de contestation avant même qu'elles ne s'amorcent, etc.

avatar Shralldam | 

@R1x_Fr1x :
Il faut distinguer "porte dérobée" et "chiffrement". S'il y a une porte dérobée, c'est bien pour éviter d'avoir à percer le chiffrement, ce qui peut prendre des semaines, des mois voire plus en fonction de la complexité de l'algorithme. Les portes dérobées ne remettent pas directement en cause la fiabilité intrinsèque d'un chiffrement, elles permettent juste de les contourner. Je n'ai pas le souvenir d'avoir vu passer une info sérieuse relatant du craquage d'une clé RSA sur 4096 bits.

Après, on peut y voir aussi un souci budgétaire : s'il suffit d'utiliser une backdoor plutôt que de mobiliser plusieurs équipes sur une certaine durée, c'est moins cher.

Même s'il semble évident que ce soit une opération de com de la part du FBI, de là à conclure que les agences de renseignement ont accès à toutes les données sans restriction, il y a un monde (bien que je pense en effet que leur capacité d'intrusion soit bien plus développée que ce qu'il y paraît). Je pense que le problème est bien plus complexe que le simple constat d'organismes tentaculaires ayant la main mise sur tout ; il y a la réalité, mais aussi les fantasmes qui ne reposent sur aucune preuve factuelle. Ce n'est pas parce qu'une information est invérifiable (car occultée) qu'elle est de facto authentique. L'idée qu'il ait des portes dérobées sciemment installées par les constructeurs est une hypothèse fort probable mais pas établie. Dès lors, évoquer la naïveté des gens est une posture bancale.

avatar R1x_Fr1x | 

@Shralldam :
Oh... Naïveté, crédulité, mauvaise foi, posture de l'autruche en connaissance de cause, je vous laisse le choix des mots. Le résultat perdure. Il ne s'agit ici que de communication. Qui dupe de moins en moins de monde Dieu merci.

avatar Emile Schwarz | 

Ce directeur est pour la transparence ?

Que faire pour qu'il comprenne ?

Très simple: il faut lui mettre une série de détectives privés sur le dos qui finiront bien par trouver tout ce qu'il a fait de pas bien et le publier. Tu veux de la transparence ?

On a tous eu des zones sombres dans le passé :(

avatar Tigrounet | 

Et aucun sénateur ne lui a répondu que c'était surtout les armes à feu qui tuaient les enfants ?

avatar patrick86 | 

"Et aucun sénateur ne lui a répondu que c'était surtout les armes à feu qui tuaient les enfants ?"

Oui mais c'est pas pareil, ça fait vivre l'industrie de l'armement (et les croques-morts). D'ailleurs, la guerre contre le terrorisme aussi, ça fait vivre l'industrie de l'armement et les fournisseurs de solutions d'espionnages.

L'industrie de la guerre n'a aucun intérêt à ce que la guerre prenne fin.

avatar softjo | 

Moi j'étais pacifiste mais alors depuis que les messages sont encryptés, je suis un terroriste.
Depuis que d'ailleurs, les meurtres ont doublé, les nombres de terroriste a triplé, et les nombre de corrompu au FBI est passé d'officiellement de 0% à 30% des effectifs.
Le FBI devrait condamner Apple parce qu'ils poussent très clairement au terrorisme.

avatar lolo57 | 

En même temps si j'avais un message ultra important à cryptée, j'utiliserais une clef aussi longue que le message, avec un simple xor c'est indéchiffrable.
Il suffit de changer de clef à chaque message, par exemple prendre comme clef la première image du site de macg, pour le premier message, et d'insérer la prochaine clef dans le message cryptée afin de n'utiliser une clef qu'une seul fois. C'est très facile à mettre en place, il suffit de se croiser dans la rue pour se donner la première clef, tu peux écrire un petit script en php ou en perl en deux minutes qui te décode ça. Pas de technologie avancée, pas de ssl, pas de porte dérobée. Bref toute leur loi à la con ça sert surtout à rassurer le péquin, parce que si la machine n'est pas directement piratée tu peux toujours faire transité le message que tu veux, après une fois décodée et en clair sur ta machine, c'est un autre problème. Technique idiote, pour terroriste à cours de moyen. Maintenant avec un peu plus de temps et de compétence. En gros le temps de décodage augmente au carré tandis que le temps de codage augmente du double avec l'augmentation de la longueur de la clef, dans un système de cryptage classique avec clef public et privée, les algos sont dispo sous forme de cours dans toutes les bonnes universités, donc avec un peu de bonne volonté, ont peu créer un programme de cryptage sur un nombre de bit suffisant pour résister à un décryptage en force brute pour les 100000 ans qui viennent. Bref, beaucoup de moyen pour décoder ce que les gens qui n'ont rien à cacher cache.

CONNEXION UTILISATEUR