Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Angleterre : le ministre d'État à la Défense admet que la nouvelle législation permettra
De demander la suppression du chiffrement de bout en bout

Le , par Stéphane le calme

0PARTAGES

1  0 
L’année dernière, le Royaume-Uni a évoqué l'étude du projet de loi Investigatory Powers (pouvoirs d’investigation), qui, entre autres, octroiera au secrétaire d’État la capacité de contraindre les fournisseurs d’accès internet à désactiver, voire supprimer, le chiffrement de bout en bout.

À ce propos, pendant ces discussions, Baroness Shields, la ministre de la Sureté et de la Sécurité Internet, a exprimé ses craintes vis-à-vis d’un « mouvement alarmant vers le chiffrement d’applications de bout en bout » : « le gouvernement reconnaît le rôle essentiel que joue le chiffrement fort pour permettre la protection des données personnelles sensibles et la sécurisation des communications et transactions en ligne. Le gouvernement ne préconise pas ou n’exige pas la fourniture d'une clé ou du support d’une porte dérobée pour affaiblir arbitrairement la sécurité des applications et services Internet dans ce sens. Ces outils menacent l'intégrité d’Internet lui-même. La loi actuelle exige que les entreprises soient en mesure de fournir un accès ciblé, sujet à un mandat, aux communications de ceux qui cherchent à commettre des crimes ou de causer de graves dommages au Royaume-Uni ou à ses citoyens » a-t-elle indiqué dans la Chambre des Lords.

Durant les débats à la chambre des Lords cette semaine, Earl Howe, ministre d'État à la Défense et chef adjoint à la Chambre des Lords, a donné la première admission explicite que la nouvelle législation permettrait au gouvernement britannique de forcer les FAI à « développer et maintenir une capacité technique pour supprimer le chiffrement qui a été appliqué à des communications ou des données ».

Le député libéral démocrate Lord Strasburger s’est plaint du fait que « l'implication de ce que [le gouvernement] dit est que personne ne pourra développer de chiffrement de bout en bout. L’une des caractéristiques du chiffrement de bout en bout est que le fournisseur ne peut pas le casser ; le chiffrement est privé entre les utilisateurs situés aux deux extrémités. Il semble dire que les fournisseurs ne peuvent se servir que d’un chiffrement qui peut être cassé et ne saurait donc être de bout en bout, de sorte que la prochaine version de l'iPhone d'Apple serait en théorie devenue illégale. Je pense qu'il y a beaucoup de travail à faire à ce sujet ».

Ce à quoi Earl Howe a répondu en disant que « je n’ai certainement pas voulu sous-entendre que le gouvernement voulait interdire le chiffrement de bout en bout ; en fait, nous ne cherchons pas à interdire un type de chiffrement quelconque. Cependant, il y aura des circonstances où il serait raisonnable pour des besoins pratiques qu’une entreprise développe des moyens de déchiffrer le contenu des communications ».

En tant que membre du parti travailliste, Baroness Hayter s’est lancée dans une explication : « il y aura des moments où la sécurité de l'État va sans aucun doute nécessiter l’accès à une information chiffrée pour une enquête spécifique. Là n’est pas le problème. Le problème est de savoir si le gouvernement va demander à une entreprise de concevoir un tel accès, obligeant l’entreprise à créer un modèle qui, une fois imité par d’autres nations avec peut-être moins de sécurité que le nôtre, pourrait conduire à un abaissement des normes ».

Mais Earl Howe a insisté sur le fait que le gouvernement « ne pense pas que les entreprises devraient offrir des espaces sûrs à des terroristes et autres criminels dans lesquels ils peuvent communiquer. Elles doivent maintenir la faculté d’accéder aux communications une fois qu’un mandat en accord avec la loi britannique leur est présenté ».

Source : résumé de la discussion dans la Chambre des Lords

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 18/07/2016 à 16:25
Citation Envoyé par Matthieu Vergne Voir le message
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté
Je vais te faire bouffer ma signature .



Plusieurs solutions :
  • étendre SSL/TLS pour envoyer le pre-master secret lors de l'échange, et chiffré avec une des clé publique d'un organisme de sécurité (donc envoyé le pre-master secret autant de fois qu'il y a d'organismes).
  • utiliser un serveur de transchiffrement (encore très coûteux actuellement si je ne m'abuse) ;


Ce que tu proposes ne me semble pas réalisable pour le moment, en gros, il faudrait un problème mathématique facile à poser en connaissant les solutions, mais dont les solutions sont difficiles à retrouver, mais en plus, que connaissant une solution, on ne puisse retrouver les autres.
4  1 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 20/07/2016 à 10:29
Citation Envoyé par Matthieu Vergne Voir le message
Il n'est pas question de réduire à ceci ou à cela. La politique est une chose, la technique en est une autre. La politique peut dire ce qu'elle veut, si elle ne dispose comprend pas de la technique pour le faire ça ne sert à rien. De la même façon, si la technique offre des outils (qui à ce moment là sont tout aussi bien accessible pour de bonnes comme de mauvaises intentions), il convient d'en discuter les effets et les confronter aux valeurs qu'on souhaite mettre en avant. Il n'y a pas plus de raison de réduire le débat à de la technique seule qu'il n'y en a à le réduire à de la politique seule. Les deux sont importants et complémentaires.
On peut réduire le débat au seul technique lorsqu'on est en phase d'analyse. Ça ne sert à rien de voter une loi qui dit que la terre est carrée si elle est ronde en vérité. A ce stade de discussion on peut opposer des arguments techniques/scientifiques.

Il s'agit donc d'abord de comprendre de quoi on parle. Aller sur Amazon et commander un livre c'est utiliser le chiffrement de bout en bout.

Une fois qu'on comprend bien le cadre de la discussion (poser les définitions), là tu peux faire des débats pour savoir comment encadrer tout ça par la loi.

Ce principe de base de sagesse n'est pas respecté par les politiciens qui parlent à tord et à travers de choses qu'ils ne comprennent même pas d'un point de vue macro. Et en plus ils sont chargés de définir ce qu'on a pas le droit de faire. C'est formidable.
3  0 
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 18/07/2016 à 13:29
Ce qui est dit par les partisants de la loi, c'est qu'on peut autoriser le chiffrement de bout en bout, à condition de prévoir un accès réservé aux autorités en cas de mandat.
=> porte dérobée, justement. Quand tu chiffres de bout en bout, tu ne peux pas déchiffrer...

Si les pirates n'étaient pas si doués, ça pourrait s'accepter. Mais une backdoor, ça se trouve et ça s'exploite... Je suis pas contre si il y a mandat du juge, mais je trouve ça difficilement réalisable.
2  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 18/07/2016 à 13:57
Citation Envoyé par Matthieu Vergne Voir le message
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté par tous ceux disposant d'une seule des bonnes clés, les services de renseignement en ayant une mais pas le pirate, qui devra donc encore chercher.
Ce qui n'existe pas.

La seule solution reste que les clefs privées soient systématiquement enregistrées par un organisme d'état ce qui est impossible à imposer tant que les utilisateurs sont admins de leurs machines.

Mais bref, tout ça c'est n'imp, ils ne savent même pas de quoi ils parlent.

Je suppose que les entreprises qui vendent leurs produits en ligne vont gentiment leur tomber dessus pour leur expliquer que si le commerce électronique existe, c'est justement grâce au chiffrement de bout en bout. Pas de chiffrement de bout en bout = pas de commerce électronique possible.

Tout ça c'est du vent, aucune inquiétude à avoir c'est parfaitement impossible en mettre en oeuvre !
2  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 19/07/2016 à 17:11
Citation Envoyé par Matthieu Vergne Voir le message
J'ai jamais dit que j'étais un expert du sujet (je ne le suis d'ailleurs pas). Mais je pense aussi que ce serait un sujet de recherche intéressant pour éviter justement que les particuliers ait l'obligation de fournir leurs propres clés, qui impliquerait :
- de mettre en place la logistique nécessaire pour les récupérer, y compris quand ils en changent,
- de devoir tous les stocker,
- de devoir s'assurer que c'est bien celle là qu'ils utilisent et pas une autre.
Tu te rends compte que c'est impossible tant que les utilisateurs sont administrateurs de leurs machines ?

Le but c'est d'empêcher les terroristes d'utiliser des solutions de chiffrement. Pour pouvoir les empêcher d'utiliser les logiciels qu'ils veulent il faut les empêcher d'être administrateurs de leurs machines. Il n'y a aucune autre alternative technique. Autant pisser dans un violon dans la mesure où il y a de nombreuses implémentations d'algos de chiffrement de qualité militaire fiables en opensource depuis 20 ans (affaire PGP).

Tu n'empêcheras personne de recompiler les sources et d'installer un binaire. A partir de là c'est mort.

L'approche française sur ce sujet est la suivante :


Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.
En gros, si tu fournis un moyen de chiffrement à un tiers, que tu possèdes la clef de déchiffrement et que ce tiers a commis un crime ou un délit, le tarif c'est maxi 3 ans de taule et 270K € amende.
Si un déchiffrement à priori aurait permis d'éviter le crime ou le délit on passe à 5 ans et 450K.

Notez le "pour quiconque ayant connaissance de la convention secrète de déchiffrement", si tu n'as pas la clef tu ne peux pas être accusé.

Une variante pourrait être de faire porter la responsabilité pénale sur le fournisseur de service, ce qui les forcerait à conserver les clefs. Ça ça serait déjà plus réaliste bien que totalement inefficace (il suffirait d'utiliser des softs maisons plutôt que des softs Apple par ex).
2  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 18/07/2016 à 15:53
Citation Envoyé par Matthieu Vergne Voir le message
Et ? Une réaction saine me semblerait plutôt d'essayer d'en faire, pas de se contenter de jouer les fatalistes.
D'essayer d'en faire ?

Excuse je m'y mets après mon café clope de 16h, je t'envoie une première version pour ce soir. Demain je pourrai pas bosser dessus je m'occupe de terminer un vaccin contre le cancer, et jusqu'à la fin de la semaine je règle le conflit israélo-palestinien je serai un peu busy.

Il faudra donc attendre la semaine prochaine pour avoir la version finale
2  1 
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 18/07/2016 à 17:56
C'est un bon sujet de recherche ! Et ça peut se vendre cher
1  0 
Avatar de Markand
Membre confirmé https://www.developpez.com
Le 19/07/2016 à 11:57
Bah oui je sais bien tout ça, mais tant que les larousses et autres dictionnaires privés ne les supprimeront pas tu pourras encore longtemps tenter de stopper cet abus de langage, malheureusement.

Je répète : moi aussi je préfère qu'on dise chiffrer et chiffrement mais à force de tenter de corriger les gens j'ai décidé de laisser tomber. Pour info j'avais aussi lutté contre le problème de bibliothèque et non librairie, mais ça ne sert à rien. Tout le monde continue de faire cette erreur. Même des enseignants en DUT et licence faisaient cette erreur (ainsi que crypter !) alors qu'est-ce que tu veux...
1  0 
Avatar de sneb5757
Membre actif https://www.developpez.com
Le 19/07/2016 à 23:46
Citation Envoyé par Matthieu Vergne Voir le message
J'ai jamais dit que j'étais un expert du sujet (je ne le suis d'ailleurs pas). Mais je pense aussi que ce serait un sujet de recherche intéressant pour éviter justement que les particuliers ait l'obligation de fournir leurs propres clés, qui impliquerait :
- de mettre en place la logistique nécessaire pour les récupérer, y compris quand ils en changent,
- de devoir tous les stocker,
- de devoir s'assurer que c'est bien celle là qu'ils utilisent et pas une autre.
Mais le problème c'est l'entité qui les stocke. Aurais je en tant que particulier un droit de regard sur le système de sécurité déployé ? Parce qu'une vulnérabilité dans le système de stockage risque de mettre à mal l'ensemble de la confidentialité des communications. . De plus, Il y'a aucune raison de mon possède qu'un état dit de droit possède à tout instant la clé pour déchiffrer les communications de tout le monde. Le système actuel d'obligation de fourniture de la clé est raisonnable. Vous avez tord de réduire ça à un sujet de recherche informatique c'est un probléme de politique ( et de liberté fondamentale ).

Sinon dans le cadre d'échange TLS utilisant les algorithmes les plus récents, je rappelle que la connaissance de la clé privée ne sert pas à grand chose. Le mécanisme dit de "perfect forward secrecy" permet d'assurer la confidentialité des échanges du tunnel TLS même si la clé privée est compromise . On doit faire quoi dans ce cas ? Conservé la totalité des clés symétriques de session ? On interdit l'utilisation de ce genre d'algorithme en réduisant de se fait la sécurité des organisations ?
1  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 19/07/2016 à 10:19
Citation Envoyé par Matthieu Vergne Voir le message
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté par tous ceux disposant d'une seule des bonnes clés, les services de renseignement en ayant une mais pas le pirate, qui devra donc encore chercher.
Quelle serait l’intérêt? Le fait d'avoir x clés différentes permettant de déchiffrer ne change pas la situation. Que tu donne à l'état une copie de ta clé privé ou une clé privé différente qui marcherait aussi, je ne vois pas de différence.

La solution est celle avancé par Neckara, qui consisterait à coller sa clé privé, préalablement chiffré avec la clé publique de l'état, avec tous ses messages chiffrés.

Mais bon, il est impossible d'interdire le chiffrement de bout en bout. On pourra toujours bloquer ou faire pression sur des services comme what's app pour qu'ils permettent aux gouvernements de déchiffrer les échanges, mais on ne peut pas empêcher deux individus lambda d'établir une connexion chiffrés de bout en bout. Où va on assister à une Hadopi like flashant tous les messages non déchiffrables par l'état?
0  0