Angleterre : le ministre d'État à la Défense admet que la nouvelle législation permettra
De demander la suppression du chiffrement de bout en bout

Le , par Stéphane le calme

0PARTAGES

1  0 
L’année dernière, le Royaume-Uni a évoqué l'étude du projet de loi Investigatory Powers (pouvoirs d’investigation), qui, entre autres, octroiera au secrétaire d’État la capacité de contraindre les fournisseurs d’accès internet à désactiver, voire supprimer, le chiffrement de bout en bout.

À ce propos, pendant ces discussions, Baroness Shields, la ministre de la Sureté et de la Sécurité Internet, a exprimé ses craintes vis-à-vis d’un « mouvement alarmant vers le chiffrement d’applications de bout en bout » : « le gouvernement reconnaît le rôle essentiel que joue le chiffrement fort pour permettre la protection des données personnelles sensibles et la sécurisation des communications et transactions en ligne. Le gouvernement ne préconise pas ou n’exige pas la fourniture d'une clé ou du support d’une porte dérobée pour affaiblir arbitrairement la sécurité des applications et services Internet dans ce sens. Ces outils menacent l'intégrité d’Internet lui-même. La loi actuelle exige que les entreprises soient en mesure de fournir un accès ciblé, sujet à un mandat, aux communications de ceux qui cherchent à commettre des crimes ou de causer de graves dommages au Royaume-Uni ou à ses citoyens » a-t-elle indiqué dans la Chambre des Lords.

Durant les débats à la chambre des Lords cette semaine, Earl Howe, ministre d'État à la Défense et chef adjoint à la Chambre des Lords, a donné la première admission explicite que la nouvelle législation permettrait au gouvernement britannique de forcer les FAI à « développer et maintenir une capacité technique pour supprimer le chiffrement qui a été appliqué à des communications ou des données ».

Le député libéral démocrate Lord Strasburger s’est plaint du fait que « l'implication de ce que [le gouvernement] dit est que personne ne pourra développer de chiffrement de bout en bout. L’une des caractéristiques du chiffrement de bout en bout est que le fournisseur ne peut pas le casser ; le chiffrement est privé entre les utilisateurs situés aux deux extrémités. Il semble dire que les fournisseurs ne peuvent se servir que d’un chiffrement qui peut être cassé et ne saurait donc être de bout en bout, de sorte que la prochaine version de l'iPhone d'Apple serait en théorie devenue illégale. Je pense qu'il y a beaucoup de travail à faire à ce sujet ».

Ce à quoi Earl Howe a répondu en disant que « je n’ai certainement pas voulu sous-entendre que le gouvernement voulait interdire le chiffrement de bout en bout ; en fait, nous ne cherchons pas à interdire un type de chiffrement quelconque. Cependant, il y aura des circonstances où il serait raisonnable pour des besoins pratiques qu’une entreprise développe des moyens de déchiffrer le contenu des communications ».

En tant que membre du parti travailliste, Baroness Hayter s’est lancée dans une explication : « il y aura des moments où la sécurité de l'État va sans aucun doute nécessiter l’accès à une information chiffrée pour une enquête spécifique. Là n’est pas le problème. Le problème est de savoir si le gouvernement va demander à une entreprise de concevoir un tel accès, obligeant l’entreprise à créer un modèle qui, une fois imité par d’autres nations avec peut-être moins de sécurité que le nôtre, pourrait conduire à un abaissement des normes ».

Mais Earl Howe a insisté sur le fait que le gouvernement « ne pense pas que les entreprises devraient offrir des espaces sûrs à des terroristes et autres criminels dans lesquels ils peuvent communiquer. Elles doivent maintenir la faculté d’accéder aux communications une fois qu’un mandat en accord avec la loi britannique leur est présenté ».

Source : résumé de la discussion dans la Chambre des Lords

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 18/07/2016 à 13:29
Ce qui est dit par les partisants de la loi, c'est qu'on peut autoriser le chiffrement de bout en bout, à condition de prévoir un accès réservé aux autorités en cas de mandat.
=> porte dérobée, justement. Quand tu chiffres de bout en bout, tu ne peux pas déchiffrer...

Si les pirates n'étaient pas si doués, ça pourrait s'accepter. Mais une backdoor, ça se trouve et ça s'exploite... Je suis pas contre si il y a mandat du juge, mais je trouve ça difficilement réalisable.
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 18/07/2016 à 13:45
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté par tous ceux disposant d'une seule des bonnes clés, les services de renseignement en ayant une mais pas le pirate, qui devra donc encore chercher.
Avatar de Marco46
Modérateur https://www.developpez.com
Le 18/07/2016 à 13:57
Citation Envoyé par Matthieu Vergne Voir le message
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté par tous ceux disposant d'une seule des bonnes clés, les services de renseignement en ayant une mais pas le pirate, qui devra donc encore chercher.
Ce qui n'existe pas.

La seule solution reste que les clefs privées soient systématiquement enregistrées par un organisme d'état ce qui est impossible à imposer tant que les utilisateurs sont admins de leurs machines.

Mais bref, tout ça c'est n'imp, ils ne savent même pas de quoi ils parlent.

Je suppose que les entreprises qui vendent leurs produits en ligne vont gentiment leur tomber dessus pour leur expliquer que si le commerce électronique existe, c'est justement grâce au chiffrement de bout en bout. Pas de chiffrement de bout en bout = pas de commerce électronique possible.

Tout ça c'est du vent, aucune inquiétude à avoir c'est parfaitement impossible en mettre en oeuvre !
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 18/07/2016 à 15:34
Citation Envoyé par Marco46 Voir le message
Ce qui n'existe pas.
Et ? Une réaction saine me semblerait plutôt d'essayer d'en faire, pas de se contenter de jouer les fatalistes.
Avatar de Marco46
Modérateur https://www.developpez.com
Le 18/07/2016 à 15:53
Citation Envoyé par Matthieu Vergne Voir le message
Et ? Une réaction saine me semblerait plutôt d'essayer d'en faire, pas de se contenter de jouer les fatalistes.
D'essayer d'en faire ?

Excuse je m'y mets après mon café clope de 16h, je t'envoie une première version pour ce soir. Demain je pourrai pas bosser dessus je m'occupe de terminer un vaccin contre le cancer, et jusqu'à la fin de la semaine je règle le conflit israélo-palestinien je serai un peu busy.

Il faudra donc attendre la semaine prochaine pour avoir la version finale
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 18/07/2016 à 16:25
Citation Envoyé par Matthieu Vergne Voir le message
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté
Je vais te faire bouffer ma signature .



Plusieurs solutions :
  • étendre SSL/TLS pour envoyer le pre-master secret lors de l'échange, et chiffré avec une des clé publique d'un organisme de sécurité (donc envoyé le pre-master secret autant de fois qu'il y a d'organismes).
  • utiliser un serveur de transchiffrement (encore très coûteux actuellement si je ne m'abuse) ;


Ce que tu proposes ne me semble pas réalisable pour le moment, en gros, il faudrait un problème mathématique facile à poser en connaissant les solutions, mais dont les solutions sont difficiles à retrouver, mais en plus, que connaissant une solution, on ne puisse retrouver les autres.
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 18/07/2016 à 17:56
C'est un bon sujet de recherche ! Et ça peut se vendre cher
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 19/07/2016 à 10:19
Citation Envoyé par Matthieu Vergne Voir le message
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté par tous ceux disposant d'une seule des bonnes clés, les services de renseignement en ayant une mais pas le pirate, qui devra donc encore chercher.
Quelle serait l’intérêt? Le fait d'avoir x clés différentes permettant de déchiffrer ne change pas la situation. Que tu donne à l'état une copie de ta clé privé ou une clé privé différente qui marcherait aussi, je ne vois pas de différence.

La solution est celle avancé par Neckara, qui consisterait à coller sa clé privé, préalablement chiffré avec la clé publique de l'état, avec tous ses messages chiffrés.

Mais bon, il est impossible d'interdire le chiffrement de bout en bout. On pourra toujours bloquer ou faire pression sur des services comme what's app pour qu'ils permettent aux gouvernements de déchiffrer les échanges, mais on ne peut pas empêcher deux individus lambda d'établir une connexion chiffrés de bout en bout. Où va on assister à une Hadopi like flashant tous les messages non déchiffrables par l'état?
Avatar de Markand
Membre averti https://www.developpez.com
Le 19/07/2016 à 10:43
Citation Envoyé par Neckara Voir le message
Je vais te faire bouffer ma signature .
Désolé mon ami, mais crypter et cryptage font bien parti de tous les dictionnaires, donc tu vas avoir du mal à faire oublier ces mots

Cela dit, je préfère aussi qu'on utiliser chiffre et chiffrement. Mais bon qu'est-ce que tu veux...
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 19/07/2016 à 11:06
Citation Envoyé par Markand Voir le message
Désolé mon ami, mais crypter et cryptage font bien parti de tous les dictionnaires, donc tu vas avoir du mal à faire oublier ces mots
https://fr.wiktionary.org/wiki/crypter
Du point de vue de la cryptanalyse, le terme crypter est contesté car ce n’est qu’un faux anglicisme de chiffrer alors que le terme décrypter, quant à lui, signifie « déchiffrer sans posséder la clé secrète ».
De plus, le synonyme classique chiffrer prévaut, pour certains, sur le faux anglicisme crypter.
Le dictionnaire de l'Académie de la langue française (éditions 8 et 9) et le Trésor de la Langue Française informatisé n’incluent pas crypter.
Le Grand Dictionnaire terminologique indique chiffrer traduction de l'anglais encrypt[2].
https://fr.wikipedia.org/wiki/Chiffrement
Le terme n'est pas reconnu par le dictionnaire de l’Académie française ni par le Référentiel Général de Sécurité de l’ANSSI qui qualifie d’incorrects « cryptage » et « chiffrage »
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web