La fuite de logiciels de la NSA conforte la position d'Apple face au FBI
« Même si cette clé était en possession de la personne en laquelle vous faites le plus confiance. Cette clé peut être volée. » C'est ainsi que Tim Cook expliquait en février pourquoi Apple ne voulait pas créer un logiciel permettant au FBI de déverrouiller l'iPhone d'un terroriste de San Bernardino. Et de comparer ce logiciel à une « clé maître » en mesure d’ouvrir des « centaines de millions de cadenas ».
Cet argument trouve un écho aujourd'hui alors que des outils confidentiels de la NSA ont été rendus publics. Un groupe de hackers baptisé The Shadow Brokers a publié le 13 août une partie de l'arsenal informatique de l'agence de renseignement américaine.
Si d'importantes zones d'ombre persistent encore sur cette fuite (la Russie est-elle impliquée, comme l'avance Snowden ? y a-t-il un lien avec l'élection présidentielle ?), elle conforte la justification de Tim Cook face au FBI.
« La position de la NSA sur les vulnérabilités [qu'elle a en sa possession] semble être basée sur l'assurance que les secrets ne s'échapperont jamais. [...] Nous savons maintenant pertinemment que, au moins dans un cas, ce n'est pas vrai », déclare l'EFF, une association de défense des libertés numériques, à Business Insider.
Cette fuite montre que même les secrets les mieux gardés ne sont pas à l'abri d'une divulgation. Dans l'affaire de San Bernardino, le FBI avait demandé à Apple à ce que l'installation du logiciel cassant des mesures de sécurité d'iOS soit faite soit à Cupertino soit dans un bureau du gouvernement. Finalement, le FBI a déverrouillé l'iPhone sans l'aide d'Apple grâce à une faille achetée à un mystérieux tiers. Une faille que le FBI n'a pas révélée à l'entreprise.
Oui mais la NSA c'est les gentils nan ? Ils font pas ça pour attraper les méchants ?
Gros débat à venir dans quelques instants :)
@reborn :
J'avoue que c'est "pop corn party" sur macg en ce moment ;-)
Aller je retourne m'assoir, la séance va bientôt commencer !!
«Oui mais la NSA c'est les gentils nan »
Qu'importe leurs (ex?)actions et les motivations: leurs outils de piratage se retrouvent aujourd'hui potentielement entre les mains de «trés méchants» et ce n'est pas la premiere ni la derniere fois!
Ce n'est pas nouveau, il y a un marché des failles et outils de hacking, et si aujourd'hui on parle de bug bounty (avec l'arrivée tres tardive d'Apple on en encore confirmation) c'est que son developpement reprensente un danger majeur pour les entreprises et les etats. C'est que si une faille se vend a 200 000 dollars, les tarifs peuvent monter encore plus pour les outils et cles majeurs!
Aujourd'hui, il n'y a que les abrutis et les ignorants (ou les malhonnetes professionnels) qui continuent d'affirmer qu'un outil de hacking ou une backdoor ne tombera jamais entre les mains d'un cybercriminel, d'un groupe terroriste ou d'un etat hostile!
La vraie question qui se pose c'est: combien de temps faut il pour qu'un outil de hacking ou une backdoor se retrouve sur le marché noir? Et tous les pro de la securité sont d'accords pour dire: de plus en plus rapidement!
Bref, si une solution de chiffrement dispose de 2 cles, au moins, alors ce n'est pas une solution de chiffrement.
Si un OS, une application ou un composant electronique dispose d'une backdoor, alors la securité des donnees est compromise!
Une donnee non chiffrée transite dans un reseau, a fortiori Internet, alors elle est publique!
Maintenant personne ne peut plus dire le contraire et nul ne peut plus l'ignorer.
@C1rc3@0rc :
On ne sait tjrs pas qui a devoile les outils de piratage et pourquoi, on sait juste que ce qui a ete revele s'avere etre exact, rien n'est faux, mais les outils ont qq annees et ne datent pas d'hier. Peut etre que ceux ci sont depasses et plus (tres) efficaces, d'où la mise au grand jour. les techniques evoluent vite, je pense que la NSA/CIA doit etre quand meme etre pas mal a jour, et qu'ils ont pas mis 4-5 and pour s'en apercevoir non plus.
Ben tu sais quand tu vois des failles comme heartbleed ou plus recemment encore des failles dans Windows qui touchent toutes les versions depuis quasi MS-DOS, ce n'est pas parce que les outils datent qu'ils sont obsoletes...
Faut juste comprendre qu'il y a des backdoor et des outils pour les exploiter et que les agences d'etat ne font que se comporter comme des cybercriminels. A partir de la ce qui sert a l'un sert a l'autre sans distinction. Ces outils existent, ils sont exploités.
Aucune données qui passe par un systeme compromis n'est etanches: toutes les données sont alors a considérées comme publiques et compromises.
@C1rc3@0rc :
Si on va par la, les agences n'utilisent peut etre meme pas des failles mais des services que Microsoft leur 'offre'. 'Fin bon,...
Oui mais alors pourquoi donner notre identité et nos empreintes à l'administration ?
Cela me parait un peu alambiquer comme posture, sachant qu'on ne sait rien sur le piratage.
Croire que l'on est inviolable me fait penser à feu oracle qui avait promis moultes récompenses aux hackeurs.
Question : Pourquoi dans ce cas Apple offre une récompense aux découvreurs de failles sur leurs produits ?
Curieux non ?
Enfin bref, ca nous fait bien marrer et c'est déjà pas mal.
Le rapport avec la choucroute ? Refais là à l'endroit, on y verra peut-être un peu plus clair.
My two cents for the popcorn party.
codeX
Continues a manger des pop corns.. ET regarder patrck lelay...
On ne peut rien pour toi. Attention au mal de dents tout de même.
La douleur peut te remonter au cerveau.et cela peut être déplaisant..:/
Tu as beau le prendre de haut, ton premier message n'a quand même aucun sens.
@rikki finefleur :
L'identite et les empreintes c'est supposé aider l'administration, faut pas croire qu'ils sont tout puissant, surveillent tout et savent tout. Ils peuvent s'ils mettent les moyens mais ca reste limité. Trop d'information, de personnes.
@rikki finefleur
«Oui mais alors pourquoi donner notre identité et nos empreintes à l'administration ?»
Parce que c'est obligatoire!
T'es pas d'accord avec ça, tu veux des garanties? Tu as un bulletin de vote, faut t'en servir pour donner le pouvoir législatif et exécutif a des gens qui représentent tes interets.
«Croire que l'on est inviolable me fait penser à feu oracle qui avait promis moultes récompenses aux hackeurs.»
Oracle est une societe milliardaire qui se porte toujours bien.
Ils font comme les autres: il y a un marché des failles et des outils de hacking, ils sont clients, comme les autres sociétés. S'ils ne le font pas, ce sont leurs clients qui payent les pots cassés et qui iront voir ailleurs.
«Pourquoi dans ce cas Apple offre une récompense aux découvreurs de failles sur leurs produits ?»
Pour augmenter ses chances de connaitre les failles avant ceux qui sont hostiles aux interets d'Apple. Apple achete des failles, ce n'est pas nouveau, mais la le signal est:" ok, y a un marché, on accepte de negotier le tarif, on a du pognon, venez en discuter avant d'aller voir les autres»
«Enfin bref, ca nous fait bien marrer et c'est déjà pas mal.»
Ben cela ne fait rire que toi, probablement parce que tu n'y connais rien et que tu n'y comprend rien.
Délirons quelque peu:
Peut-être que Trump a été trop bien écouté par son ami Poutine, suite a ses déclarations appelant les pirates, russes, notamment, à aider à révéler des mails manquant de l'affaire des mails d'Hillary Clinton.
En jouant aux théoriciens du complot on pourrait imaginer aussi que ces "Shadow Brokers" sont financés en partie par Trump pour trouver à la NSA des infos contre Hillary Clinton et que les infos sur la révélation des failles Sisco utilisées par la NSA ne sont qu'un écran de fumée.
Mais je délire bien entendu !
À montrer à notre ministre de l'intérieur.
Il a déjà le rapport de la DGSI sur son bureau...
@rikki
Ce que dit Apple ce n'est pas qu'ils ont une porte d'entrée inviolable sur leurs iPhones, mais que mettre à disposition une clé d'entrée, même si seule la NSA en a une copie, risque de faciliter la vie de ceux qui veulent entrer, personne ne pouvant garantir que la NSA ne se fera pas piquer une copie de la clé.
Le risque n'étant pas nul qu'ils se fassent piquer la clé sans meme s'en rendre compte, alors la porte s'en trouvera grande ouverte sans que personne ne le sache.
C'est en gros l'argumentaire d'Apple et de ceux qui militent pour ne pas créer de Back door ou affaiblir les systèmes de cryptage des donnees (dont en France la DGSI qui a remis un rapport en ce sens au gouvernement)
r e m y
Quand un défaillant se moque d'un autre défaillant. L'argument est pas vraiment top.
La différence, c'est que l"un est issu d'une organisation démocratique qui est là pour faire respecter les lois et protéger la population, et l'autre s'essayer à une stratégie marketing pour vendre son téléphone, avec les conséquences directes et indirectes dans son refus de ne pas coopérer avec la justice.
Porte d'entrée inviolable ? Ha bon ? Comme feu oracle et son inviolabilité.... Mais pourquoi verser des sommes a des hackers si c'est inviolable..
Cela me parait illogique..
Il parait aussi , toi qui écoute comme une pensée biblique les dirigeants de ces boites , que tout est légal sur leurs finances . Mais pourquoi se font ils redresser alors que tout était légal..
Pourtant ces pdg l'avaient dit ! Nous araient ils menti ??
Faire croire qu'un système est inviolable en informatique prête juste à sourire.
Le problème n'est pas vraiment là, mais plutôt dans son refus de coopérer avec la justice pour poursuivre des criminels ou des terroristes..
Il faudra assumer les conséquences, peut être pas eux , mais d'autres oui, et là on parle plus de ventes...
@rikki finefleur :
C'est justement coopérer avec la Justice que d'empêcher la Justice de faire n'importe quoi.
Une commission rogatoire doit concerner une personne en particulier, la Justice n'a pas à posséder l'équivalent d'une super-commission rogatoire valable pour tout le monde et valable tout le temps !
En prime, on ne le répétera jamais assez les mafias et les terroristes utiliseront des méthodes de chiffrements sans "backdoors" (non autorisés par les gouvernements)... au final, des gens seront faussement rassurés parce que des idiots leur ont fait croire que grâce au chiffrements légaux affaiblis ou totalement illégal ; ça va géner les vilains terroristes !
En prime, on ne le répétera jamais assez les mafias et les terroristes utiliseront des méthodes de chiffrements sans "backdoors" (non autorisés par les gouvernements)...
Ça tu n'en sait rien, d'ailleurs le terroriste de Nice ne chiffrait pas ses communications (utilisation de SMS). Donc quand Apple/Google chiffre par défaut sans que l'utilisateur n'ait à s'en soucier, cela devient problématique.
Mettre en place une backdoor n'implique pas de laisser les clés aux autorités mais de permettre aux autorités de demander au constructeur le déchiffrement (que le constructeur déchiffre lui sans communiquer la clé).
@Orangeade :
Sauf qu'Apple a choisis de ne pas posséder la clé. Un bon moyen de ne pas la perdre..
@reborn :
Oui. Et comme dit le proverbe : « Lorsque l'on ne veut pas que quelque chose se sache, on ne le fait pas. »
Pas de porte dérobée => pas de serrure => pas de clef.
Si tu veux vraiment appliquer ton proverbe, ne confie tes données à personne ... c'est sans doute ça le plus sage ...
@bibi81 :
Le terroriste de Nice est une exception... Et y'en aura sûrement d'autres des exceptions.
Ça ne justifie pas de limiter nos droits pour aucun gain au final.
@rikki finefleur :
Les criminels sont fichés et ne sont pas plus surveillés que ça.
Mettre la main sur le contenu des iPhones des citoyens en agitant la menace terroriste est un leurre, une entrave aux libertés des citoyens.
Après il y a deux écoles :
- Ceux qui sont prêts à accepter en croyant que ça pourrait changer quelque chose.
- Et ceux qui défendent leurs libertés dans une république de moins en moins démocratique.
Comme tout ce qui est vraiment secret, cherchez pas, c'est secret, vous ne l'apprendrez jamais.
Merci de ce trait de lucidité... ;)
Le problème de sécurité des données n'est pas contre les administrations.
Le vrai danger pour nous c'est que des failles (ou portes dérobées officielles) pourront être exploitées par des groupes de voleurs (pirates et corsaires) pour nous voler notre identité, notre argent, accéder à des secrets d'entreprise par des entrées personnelles, ...
Donc, non, il ne faut pas ajouter de failles à celles déjà existantes.
"Toute révélation d'un secret est de la faute de celui qui l'a confié." Jean de la Bruyère, 1645-1696
C'est l'oeuvre de M. Robot !
@rikki
Je crois qu'on ne s'est pas compris...
Apple ne dit pas que son systeme est inviolable (c'est bien pour ca qu'ils continuent à chercher des failles pour les combler), juste qu'ils ne veulent pas concevoir et diffuser la clé d'entrée dont personne ne peut garantir qu'elle ne finira pas dans la nature de façon totalement incontrôlée (à l'image des outils internes de la NSA qui ont été mis à disposition par ce groupe de hackers).
@r e m y :
Tu perds ton temps ...
La fbi nsa , organisation démocratique ? Ste blague
Tu penses vraiment faire changer d'avis le gros troll ?
Je mets une pièce : peut on considérer les US comme étant démocratique ?
@Orangeade :
Tout dépend de ce que l'on entend par démocratie, sachant qu'au sens strict, la France n'en est pas une non plus (mais toujours bien mieux qu'un état autoritaire, beaucoup semblent oublier la chance qu'ils ont de ne pas subir ce genre de régime).
@Yohmi :
Au sens strict il ne doit plus y en avoir bcp, s'il y en a encore. Elles sont majoritairement representatives et liberales. Apres, qu'on ait une republique ou une monarchie, a partir du moment ou les citoyens sont influencables/manipulablaes/corrompus, y a plus de democratie quelconque, ca perd tout son sens etymologiquement parlant.
@rikki finefleur :
la démocratie n existe et ne tient que parce que l individu se sent libéré , pas surveillé , et elle n est jamais définitivement acquise et un état ou un organisme qui aurait en sa possession ces clés la mettrait définitivement en péril...
Cela fait des décennies que les communications ne sont pas chiffrées et que les états peuvent écouter sans que cela compromette la démocratie !
@Domsware
"Pas de porte dérobée => pas de serrure => pas de clef."
Pour compléter ta sortie :
Pas de porte dérobée => pas de serrure => pas de clef => pas de perte de clef.
Tout cela permet de reprendre cette fulgurance shadok :
"S'il n'y a pas de solution, c'et qu'il n'y a pas de problème"...
@Mike Mac
"Pas de porte dérobée => pas de serrure => pas de clef => pas de perte de clef."
Excellent :thumbup:
@XiliX :
Pas de pierres -> pas de construction. Pas de construction -> pas de palais. Pas de palais -> ...pas de palais.
@C1rc....
Je suis 100% en phase avec toi, sur ce sujet!
À part l'Islande, je ne vois pas de réelle démocratie en Occident.