Limitation du chiffrement : le CNNum et la CNIL invitent à ne pas céder à des solutions de facilité
Qui pourraient avoir des conséquences graves
Le 2016-08-23 21:23:22, par Stéphane le calme, Chroniqueur Actualités
À l’issue d’un conseil restreint de défense qui a été convoqué le 11 août dernier par le Président de la République, pendant lequel ont été abordés de nombreux sujets touchant à la sécurité intérieure, Bernard Cazeneuve a avancé que « nous avons notamment insisté sur le défi que représente pour la lutte antiterroriste la question du chiffrement d’un certain nombre de moyens de communication utilisés par les terroristes », précisant qu’il recevra son homologue allemand, Thomas de Maizière, le 23 août pour lancer une initiative européenne destinée à préparer une initiative plus internationale.
Le ministre n’a pas manqué de rappeler que de nombreux messages échangés en vue de la commission d’attentats terroristes « le sont désormais par des moyens cryptés, ce qui rend difficile le travail des services de renseignements ». Il a insisté sur le fait qu’il s’agit là d’un enjeu considérable dont la gravité est d’ailleurs mise en exergue par les interpellations récentes ainsi que les enquêtes conduites par les services de renseignement.
Toutefois, dans une tribune publiée sur Le Monde le 22 août dernier et traduite en allemand pour le journal Heise le 23 août 2016, les présidents du Conseil national du numérique (CNNum) et de la CNIL ont mis en garde le gouvernement face à « des solutions de facilité qui pourraient avoir des conséquences graves et non anticipées ». « Limiter les moyens de chiffrement ou instaurer des « portes dérobées » pour permettre aux forces de l’ordre d’accéder aux données chiffrées de nos applications affaiblirait la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée. L’urgence de la situation ne doit pas nous conduire à sous-estimer ces risques ni à faire l’impasse d’un débat sur les implications politiques, sociales et économiques d’une limitation du chiffrement ».
Reconnaissant le contexte dans lequel baigne la France avec les attentats qui ont été perpétrés ces vingt derniers mois, le CNNum a tout de même voulu mettre un frein à l’initiative que prépare le ministre de l’Intérieur : « il n’est pas question de nier qu’un chiffrement robuste peut compliquer le travail des enquêteurs, surtout lorsqu’il s’opère de bout en bout, c’est-à-dire lorsque le fournisseur du service ne détient pas les clés de déchiffrement. Néanmoins c’est sans compter sur la réalité concrète de l’organisation des réseaux et l’importance de la sécurité en ligne ».
Comme l’a fait l’ANSSI avant, le Conseil a tenu à rappeler l’importance du chiffrement : « comme tout objet technique, le chiffrement est tout à la fois remède ou poison selon qu’il tombe entre de bonnes ou de mauvaises mains. Les applications de messagerie sécurisée utilisées par les terroristes – notamment Telegram – sont également très prisées par les politiques et au sein des ministères, par les entreprises et les citoyens ! Et pour cause : le chiffrement est essentiel à notre sécurité dans l’univers numérique.
Chaque jour, le chiffrement protège des milliards d’individus contre des cybermenaces qui se font toujours plus redoutables. Il est donc le levier majeur de la confiance dans l’univers numérique. C’est grâce au chiffrement que nous pouvons effectuer un virement bancaire en toute sécurité. C’est grâce au chiffrement que nous pouvons stocker nos données de santé dans un dossier médical partagé (DMP) en ligne. C’est également grâce à cet outil que les investigations sur les Panama Papers ont été possibles, le chiffrement permettant de garantir le secret des sources. Pour les entreprises, le chiffrement est aujourd’hui le meilleur rempart contre l’espionnage économique qui a fait perdre plus de 40 milliards d’euros aux entreprises françaises en 2013. Les petites et moyennes entreprises sont les premières victimes de ces cyberattaques, car elles n’ont généralement pas les moyens d’un chiffrement robuste ».
Alors, il n’est pas question d’affaiblir le chiffrement. Le Conseil balaie également le fait d’installer des portes dérobées à des fins de sécurité, rappelant que l’ANSSI avait déjà fait valoir qu’il est techniquement impossible de s’assurer que de tels accès ne soient disponibles qu’au profit des personnes autorisées. De plus, le CNNum avance « qu’il y a fort à parier que de telles mesures auraient une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés ».
Le CNNum ne voit pas le chiffrement comme un obstacle infranchissable, bien qu’il reconnaît qu’il complique l’accès à certaines informations : « d’une part, il est souvent possible de contourner le chiffrement, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. D’autre part, si le contenu des communications est chiffré, les métadonnées, elles, restent le plus souvent en clair : qui échange avec qui ? Quand et combien de temps ? Où était-il ou elle localisé(e) ? Ces données répondent aux questions les plus importantes sur nos habitudes, nos fréquentations, nos centres d’intérêt, nos opinions »
Aussi, au lieu d’emprunter la voie d’un affaiblissement du chiffrement ou de l’installation des portes dérobées, le CNNum invite à la coopération avec les fournisseurs de produits et de services sécurisés dans l’accès judiciaire aux données. Le CNNum propose de travailler à renforcer les règles de coopération judiciaire, en particulier les mutual legal assistance treaty (MLAT) – accords bilatéraux entre États qui permettent l’échange d’informations et de données lors d’enquêtes en cours – afin de réduire ces délais de transmission. « C’est ce qui devrait être le sens d’une initiative internationale », indique le Conseil.
Source : tribune CNNum
Le ministre n’a pas manqué de rappeler que de nombreux messages échangés en vue de la commission d’attentats terroristes « le sont désormais par des moyens cryptés, ce qui rend difficile le travail des services de renseignements ». Il a insisté sur le fait qu’il s’agit là d’un enjeu considérable dont la gravité est d’ailleurs mise en exergue par les interpellations récentes ainsi que les enquêtes conduites par les services de renseignement.
Toutefois, dans une tribune publiée sur Le Monde le 22 août dernier et traduite en allemand pour le journal Heise le 23 août 2016, les présidents du Conseil national du numérique (CNNum) et de la CNIL ont mis en garde le gouvernement face à « des solutions de facilité qui pourraient avoir des conséquences graves et non anticipées ». « Limiter les moyens de chiffrement ou instaurer des « portes dérobées » pour permettre aux forces de l’ordre d’accéder aux données chiffrées de nos applications affaiblirait la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée. L’urgence de la situation ne doit pas nous conduire à sous-estimer ces risques ni à faire l’impasse d’un débat sur les implications politiques, sociales et économiques d’une limitation du chiffrement ».
Reconnaissant le contexte dans lequel baigne la France avec les attentats qui ont été perpétrés ces vingt derniers mois, le CNNum a tout de même voulu mettre un frein à l’initiative que prépare le ministre de l’Intérieur : « il n’est pas question de nier qu’un chiffrement robuste peut compliquer le travail des enquêteurs, surtout lorsqu’il s’opère de bout en bout, c’est-à-dire lorsque le fournisseur du service ne détient pas les clés de déchiffrement. Néanmoins c’est sans compter sur la réalité concrète de l’organisation des réseaux et l’importance de la sécurité en ligne ».
Comme l’a fait l’ANSSI avant, le Conseil a tenu à rappeler l’importance du chiffrement : « comme tout objet technique, le chiffrement est tout à la fois remède ou poison selon qu’il tombe entre de bonnes ou de mauvaises mains. Les applications de messagerie sécurisée utilisées par les terroristes – notamment Telegram – sont également très prisées par les politiques et au sein des ministères, par les entreprises et les citoyens ! Et pour cause : le chiffrement est essentiel à notre sécurité dans l’univers numérique.
Chaque jour, le chiffrement protège des milliards d’individus contre des cybermenaces qui se font toujours plus redoutables. Il est donc le levier majeur de la confiance dans l’univers numérique. C’est grâce au chiffrement que nous pouvons effectuer un virement bancaire en toute sécurité. C’est grâce au chiffrement que nous pouvons stocker nos données de santé dans un dossier médical partagé (DMP) en ligne. C’est également grâce à cet outil que les investigations sur les Panama Papers ont été possibles, le chiffrement permettant de garantir le secret des sources. Pour les entreprises, le chiffrement est aujourd’hui le meilleur rempart contre l’espionnage économique qui a fait perdre plus de 40 milliards d’euros aux entreprises françaises en 2013. Les petites et moyennes entreprises sont les premières victimes de ces cyberattaques, car elles n’ont généralement pas les moyens d’un chiffrement robuste ».
Alors, il n’est pas question d’affaiblir le chiffrement. Le Conseil balaie également le fait d’installer des portes dérobées à des fins de sécurité, rappelant que l’ANSSI avait déjà fait valoir qu’il est techniquement impossible de s’assurer que de tels accès ne soient disponibles qu’au profit des personnes autorisées. De plus, le CNNum avance « qu’il y a fort à parier que de telles mesures auraient une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés ».
Le CNNum ne voit pas le chiffrement comme un obstacle infranchissable, bien qu’il reconnaît qu’il complique l’accès à certaines informations : « d’une part, il est souvent possible de contourner le chiffrement, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. D’autre part, si le contenu des communications est chiffré, les métadonnées, elles, restent le plus souvent en clair : qui échange avec qui ? Quand et combien de temps ? Où était-il ou elle localisé(e) ? Ces données répondent aux questions les plus importantes sur nos habitudes, nos fréquentations, nos centres d’intérêt, nos opinions »
Aussi, au lieu d’emprunter la voie d’un affaiblissement du chiffrement ou de l’installation des portes dérobées, le CNNum invite à la coopération avec les fournisseurs de produits et de services sécurisés dans l’accès judiciaire aux données. Le CNNum propose de travailler à renforcer les règles de coopération judiciaire, en particulier les mutual legal assistance treaty (MLAT) – accords bilatéraux entre États qui permettent l’échange d’informations et de données lors d’enquêtes en cours – afin de réduire ces délais de transmission. « C’est ce qui devrait être le sens d’une initiative internationale », indique le Conseil.
Source : tribune CNNum
-
Marco46Expert éminent séniorEn quoi ça va empêcher des personnes mal intentionnés d'utiliser un chiffrement fort et indéchiffrable, c'est à dire RSA en asymétrique et AES en symétrique ? En rien. Le seul résultat c'est d'affaiblir la sécurité pour ceux qui vont respecter la loi. C'est le sens des remarques de l'ANSSI et du CNNum, ce qu'ils demandent est impossible à réaliser, point final.le 24/08/2016 à 11:48
-
Marco46Expert éminent séniorJe les ai. En revanche je suis pas certain qu'en ce qui te concerne tu maitrises le tableau d'ensemble.
Quel rapport ? Ici on a une backdoor introduite par la NSA, c'est à dire très exactement ce qu'il ne faut pas faire. C'est également très exactement ce que l'ANSSI dit qu'il ne faut pas faire. Ça ça s'appelle faire baisser le niveau de sécurité pour tout le monde.
Commences déjà par apprendre les fondamentaux de la sécurité informatique ça sera pas mal.
Ça ne change rien à l'architecture générale.
Merci je savais pas
J'expliquais à d'autres développeurs les mécanismes de X.509 quand tu en étais certainement à découvrir les fractions. S'il te plait un peu de respect pour tes ainés.
Tu veux transmettre les clefs de session au gouvernementEt ça c'est pas un affaiblissement de la sécurité générale du système ?
Donc en fait, ta solution, c'est que l'état dépense des centaines de millions d'euros (si c'est pas des milliards) pour mettre en place une infra permettant de récolter :
1- le flux chiffré entre A et B
2- la clef de session du flux
Pour ensuite déchiffrer les messages xD
Et une autre infra pour contrôler tous les flux qui passent sur les réseaux français, et si on détecte un flux chiffré qui ne donne pas sa clef on coupe ? C'est ça l'idée ? Et si ça passe par l'étranger on fait comment on coupe ? On isole complètement le réseau français du reste du monde ?
Allez revenons un peu sur terre ...le 24/08/2016 à 19:30 -
jopopmkMembre expertMon avis :
- mettre des backdoor : quand on en met une, elle existe pour tout le monde. Si quelqu'un met la main dessus c'est tout le système qui s'écroule,
- limiter la complexité du chiffrement : si l'Europe peut casser un chiffrement, nul doute que d'autres peuvent le faire (et pas que des états),
- d'un point de vue général, limiter le chiffrement : le monde informatique, la toile, est globalisé. Les gens voulant du chiffrement élevé passeront sur des solutions proposés dans d'autres pays. Solutions sur lesquelles l'Europe n'aura aucun recours légal (et je parle pas des risques),
- enfin, on nous parle de se prémunir d'attaque terroriste : des gars qui sont prêt à tuer en masse ont-ils vraiment peur d'être dans l'illégalité en utilisant une clé de 4096 ?
Donc, comme depuis que les gouvernements se sont lancés sur le sujet, je suis partagé entre deux conclusions :
- les politiques sont particulièrement incompétents sur le sujets (des "gros niais",
- les politiques savent très bien ce qu'ils font, et leur objectif, leur agenda, n'a absolument rien à voir avec le terrorisme.
Je sais pas laquelle des deux est la plus effrayante ..le 01/03/2017 à 8:04 -
Marco46Expert éminent séniorOui oui j'avais compris, en l'absence de Cazeneuve sur le forum tu prends son rôle
Déchiffrer c'est quand on a la clef.
Décrypter c'est quand on a pas la clef.
Dans le cas de RSA et AES, on ne sait pas décrypter. C'est un fait scientifique, on ne sait pas faire et c'est pour cette raison, et seulement pour cette raison, que la confiance existe sur internet et qu'on peut avoir du commerce électronique.
Ce que Cazeneuve demande, c'est justement de pouvoir déchiffrer (ça peut pas être décrypter puisqu'on ne peut pas faire) lorsque des gens violent la loi.
Comment tu fais la différence entre deux flux réseaux chiffrés ? Tu veux bloquer tous les flux réseaux chiffrés ? Ça signifie mettre un terme au commerce électronique, aux VPN d'entreprises, etc ...
Ce n'est pas du dogme, c'est de la science. La Terre tourne autour du Soleil, pas l'inverse, ce n'est pas du dogme.le 24/08/2016 à 14:14 -
Marco46Expert éminent séniorCe n'est pas ce qui est le plus utilisé. Le plus utilisé c'est RSA/AES. Et de toutes façons, en quoi le fait d'imposer aux éditeurs de logiciels d'utiliser tel ou tel algo va empêcher des gens mal intentionnés d'écrire un soft qui utilisera RSA/AES ??
C'est le plus utilisé. Le développeur peut utiliser toutes les tailles de clefs prévues par l'algo.
Je vois pas bien comment tu peux faire la différence entre un flux chiffrant un contenu légal et un flux chiffrant un contenu illégal. Il faut m'expliquer
Oui mais elle ne fait pas 25 pas en arrière.
Tu as un problème de logique.
Ce n'est pas parce que la terre tourne autour d'elle-même est vrai que la terre tourne autour du soleil est faux. En l'occurrence les deux propositions sont vraies.
Deuxième problème de logique. On ne prouve pas que techniquement c'est impossible de décrypter. Personne n'étant capable de décrypter, c'est pour le moment impossible de décrypter de fait. Le seule méthode est la force brute, et comme ça prendrait des années à faire pour un seul texte chiffré c'est considéré comme sûr.le 24/08/2016 à 15:44 -
Marco46Expert éminent séniorMais justement, tu ne peux pas savoir si un comportement sort de la norme sans diminuer la sécurité pour tout le monde. Pour savoir si un comportement sort de la norme, tu dois déchiffrer / décrypter. Pour pouvoir déchiffrer / décrypter, tu dois abaisser la sécurité parce qu'en l'état actuel ce n'est pas possible.
C'est simple à comprendre non ?
Tu n'as rien dit du tout, tu fais des suppositions reposant sur rien, à part du "il faudrait demander à un mathématicien".
Et je te ferais remarquer que ce que je dis n'est rien d'autre que l'avis de l'ANSSI et du CCNum.
Par ailleurs, rajouter un IV avec "la clé publique du gouvernement" ne permet en rien que seul le gouvernement puisse déchiffrer le message en plus du destinataire.
Le principe de l'asymétrique c'est que le destinataire propose un cadenas, dont il est le seul à disposer de la clef. Pour qu'un tiers puisse lire le message, il doit disposer de cette clef. Or donner cette clef à un tiers, peu importe sa nature, est un affaiblissement critique de la sécurité, cela ouvre des angles d'attaque.le 24/08/2016 à 17:24 -
BugFactoryMembre chevronnéJustement, c'est un point important.
On utilise le chiffrement tous les jours, sans même s'en rendre compte, parce que les concepteurs des différents systèmes se sont posés la question de la confidentialité. Les politiques jouent ici sur l'ignorance du public, dans lequel ils veulent instiller l'idée que le chiffrement n'est utilisé que par les terroristes.
Seulement, la surveillance de masse est impuissante contre le terrorisme. On a vu que les derniers attentats ont été commis par des gens qui été tous fichés S... comme des milliers d'autres, ce qui fait qu'il était impossible de prendre des précautions particulières.
C'est une spéculation, mais la véritable cible de ces mesures sont probablement les journalistes. Surveiller leurs communications pour manipuler l'opinion. Ça ressemble à une théorie du complot jusqu'à ce qu'on repense à l'affaire des fadettes du Monde. Incontestablement, le Monde est un repaire de fanatiques qu'il faut surveiller, non? Et c'est arrivé ici en France, pas dans un pays autocratique où la censure est officielle.le 01/03/2017 à 11:16 -
Marco46Expert éminent séniorSi certains algo sont utilisés plus que d'autres c'est qu'il y a une raison ...
L'analogie serait plutôt, tout le monde utilise une cagoule, on installe des caméras, et on veut que les caméras détectent les terroristes sous les cagoules sans pour autant permettre aux caméras des services secrets d'autres nations de regarder sous la cagoule de nos entreprises. C'est impossible. Ce que demande Cazeneuve est techniquement impossible à réaliser. Si tu réduis la sécurité pour permettre à tes services secrets de lire les messages des terroristes, alors il en va de même pour tout le monde.le 24/08/2016 à 16:42 -
Marco46Expert éminent séniorTu voulais dire seulement déchiffrer j'imagine, dans ce cas tu vas devenir riche ! Il faut te faire embaucher par Google, Facebook ou la NSA parce que là, tu viens de faire faire un pas de géant à la recherche mondiale en crypto-sécurité.
Tu n'as rien montré du tout. On attend toujours tes explications. ECDSA est plus rapide que RSA, c'est à peu près la seule différence opérationnelle.
Leur communiqué ne te répondait pas il répondait au ministre. Par contre il faut vite que tu les informes de ta découverte, tu es au bord du prix nobel là.
A écrit à B. Si tu veux que C puisse déchiffrer le flux chiffré entre A et B il va bien falloir que B donne sa clef privée à C.
Tu ne peux pas avoir 2 destinataires différents avec la même clef publique.le 24/08/2016 à 18:31 -
AstOzMembre avertiParfaitement, je pense même qu'ils ne rendent pas compte que ce genre de mesures peut eux-même les toucher.
Si le chiffrement est normalisé, ça sera aussi le cas pour eux, pour les gouvernements, pour les banques, etc ...
Ça sera une faille majeure.
Il faudrait qu'il vulgarise les choses pour que les gens comprennent de quoi il s'agit, c'est un peu comme-ci on demandait aux gens de plus fermer leurs portes d'entrée et leurs fenêtres au nom de la sécurité nationale.
Ça m'inquiète, on se tourne de plus en plus vers un état totalitaire qui aura légalement le droit de surveiller ses citoyens et d'agir contre eux à souhait.le 01/03/2017 à 15:14