IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Cazeneuve dit ne pas remettre en cause le principe du chiffrement
Mais veut que l'UE impose le déchiffrement des messages dans le cadre d'enquêtes

Le , par Michael Guilloux

107PARTAGES

5  0 
Lors d’une conférence de presse ce mardi 23 août, le ministre français de l’Intérieur Bernard Cazeneuve et son homologue allemand Thomas de Maizière ont présenté leur initiative franco-allemande sur la sécurité intérieure en Europe, pour renforcer la lutte contre le terrorisme. Parmi les trois chapitres abordés dans cette conférence, la question du chiffrement des communications était la plus attendue, après que la France a annoncé une initiative européenne contre le chiffrement.

Ce que Cazeneuve et Thomas de Maizière proposent, c’est que « la Commission européenne étudie la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ou Internet dans l’Union européenne, que leur siège juridique soit ou non en Europe » ; une chose que la Commission semble déjà avoir fait ou être en train de faire. En effet, comme cela a été rapporté la semaine dernière, l’Europe va dévoiler en septembre un plan qui prévoit de soumettre les services tels que Skype et WhatsApp aux mêmes règles que les entreprises de télécoms. L’objectif serait de pouvoir exercer plus de contrôle sur ces services qui devront alors, entre autres, se conformer aux requêtes des agences de sécurité. Mais comment exactement ? À cette question, Cazeneuve tente de donner une réponse.

« Si un tel acte législatif était adopté », poursuit-il « cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages, exclusivement dans le cadre d’enquêtes judiciaires. »

Le ministre français de l’Intérieur essaie toutefois d’éviter d’adopter une position antichiffrement, même si elle parait déjà claire pour beaucoup de gens. Il affirme en effet ne pas remettre en cause le principe du chiffrement. Avant d’aborder le chapitre de l’initiative franco-allemande qui parle du chiffrement, il demande à ce que « les choses soient bien claires pour éviter toute polémique inutile : il n’a bien sûr jamais été question de remettre en cause le principe du chiffrement des échanges », dit-il. « Le chiffrement permet de sécuriser les communications, y compris des États. À titre d’exemple, il permet au quotidien de protéger les transactions financières.

Ce que nous affirmons, en revanche, c’est que les échanges de plus en plus systématiques opérés via certaines applications, telles que Telegram, doivent pouvoir, dans le cadre des procédures judiciaires - j’insiste sur ce point - être identifiés et utilisés comme éléments de preuve par les services d’investigations et les magistrats.
»

En d’autres termes, ils souhaitent d’une manière ou d’une autre limiter les moyens de chiffrement ou créer des portes dérobées afin de permettre aux forces de l’ordre d’accéder aux données chiffrées de ces applications. Une mesure qui selon le Conseil national du numérique (CNNum) et la CNIL « pourrait affaiblir la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée » contre le terrorisme.

Cazeneuve et son homologue allemand Thomas de Maizière souhaitent que les propositions formulées hier par les deux pays soient discutées lors du Sommet des 27 chefs d’État et de gouvernement, qui aura lieu à Bratislava le 16 septembre prochain.

Source : Initiative franco-allemande sur la sécurité intérieure en Europe

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

L'UE veut exercer plus de contrôle sur les services tels que Skype et WhatsApp, en les soumettant aux règles appliquées aux entreprises de télécoms
Russie : un amendement oblige les éditeurs à fournir un moyen de déchiffrer les communications au FSB, les services secrets russes

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/08/2016 à 11:48
Citation Envoyé par Neckara Voir le message
Je vais me faire l'avocat du diable.

@Saverok on peut aussi autoriser le chiffrement, mais uniquement avec certains paramètres de tel sorte que l’État français puisse décrypter.
Ce qui nous vient à l'esprit, est la limitation des tailles de clés. Mais par exemple avec EDCA, on peut choisir plusieurs courbes avec laquelle faire ses opérations de chiffrement. Dès lors, l'État pourrait imposer une/des courbes particulières construit de sorte que l'État français serait capable de décrypter, mais pas les attaquants, vu que l'État français aura des connaissances particulières liées à la construction de cette courbe qui peut lui faciliter le travail de décryptage.
En quoi ça va empêcher des personnes mal intentionnés d'utiliser un chiffrement fort et indéchiffrable, c'est à dire RSA en asymétrique et AES en symétrique ? En rien. Le seul résultat c'est d'affaiblir la sécurité pour ceux qui vont respecter la loi. C'est le sens des remarques de l'ANSSI et du CNNum, ce qu'ils demandent est impossible à réaliser, point final.
9  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/08/2016 à 19:30
Citation Envoyé par Neckara Voir le message
Bon écoutes, si tu veux te moquer, même gentiment, de moi, assures-toi d'abord d'avoir les compétences pour.
Je les ai. En revanche je suis pas certain qu'en ce qui te concerne tu maitrises le tableau d'ensemble.

Citation Envoyé par Neckara Voir le message

Malheureusement la NSA semble déjà au courant si j'en crois ces liens (je n'ai pas cherché plus loin) :
http://igm.univ-mlv.fr/~jyt/Crypto/Td6.html
http://blog.cryptographyengineering....ualecdrbg.html
Quel rapport ? Ici on a une backdoor introduite par la NSA, c'est à dire très exactement ce qu'il ne faut pas faire. C'est également très exactement ce que l'ANSSI dit qu'il ne faut pas faire. Ça ça s'appelle faire baisser le niveau de sécurité pour tout le monde.

Citation Envoyé par Neckara Voir le message

Je les aies pourtant déjà données.
Si tu veux un cours, je l'ai déjà dit, je n'en ai pas le temps.
Commences déjà par apprendre les fondamentaux de la sécurité informatique ça sera pas mal.

Citation Envoyé par Neckara Voir le message

Les clés ECDSA recommandées sont plus courtes que celles de RSA. Cela devrait déjà te mettre la puce à l'oreille.
Ça ne change rien à l'architecture générale.

Citation Envoyé par Neckara Voir le message

Pour rappel, les clés asymétriques sont utilisées pour négocier une clé symétrique.
Merci je savais pas

J'expliquais à d'autres développeurs les mécanismes de X.509 quand tu en étais certainement à découvrir les fractions. S'il te plait un peu de respect pour tes ainés.

Citation Envoyé par Neckara Voir le message

Et c'est cette clé symétrique qui sera utilisée pour chiffrer/déchiffrer les messages d'une session (en fait dans TLS, il y a en 2, une pour chaque direction). Dès lors on peut chiffrer cette clé symétrique avec la clé publique gouvernementale.
Ainsi, il n'y a plus besoin de donner la moindre clé privée, CQFD.

Et cela, je l'ai déjà dit et écrit.
Tu veux transmettre les clefs de session au gouvernement Et ça c'est pas un affaiblissement de la sécurité générale du système ?

Donc en fait, ta solution, c'est que l'état dépense des centaines de millions d'euros (si c'est pas des milliards) pour mettre en place une infra permettant de récolter :
1- le flux chiffré entre A et B
2- la clef de session du flux

Pour ensuite déchiffrer les messages xD

Et une autre infra pour contrôler tous les flux qui passent sur les réseaux français, et si on détecte un flux chiffré qui ne donne pas sa clef on coupe ? C'est ça l'idée ? Et si ça passe par l'étranger on fait comment on coupe ? On isole complètement le réseau français du reste du monde ?

Allez revenons un peu sur terre ...
10  1 
Avatar de jopopmk
Membre expert https://www.developpez.com
Le 01/03/2017 à 8:04
Mon avis :
- mettre des backdoor : quand on en met une, elle existe pour tout le monde. Si quelqu'un met la main dessus c'est tout le système qui s'écroule,
- limiter la complexité du chiffrement : si l'Europe peut casser un chiffrement, nul doute que d'autres peuvent le faire (et pas que des états),
- d'un point de vue général, limiter le chiffrement : le monde informatique, la toile, est globalisé. Les gens voulant du chiffrement élevé passeront sur des solutions proposés dans d'autres pays. Solutions sur lesquelles l'Europe n'aura aucun recours légal (et je parle pas des risques),
- enfin, on nous parle de se prémunir d'attaque terroriste : des gars qui sont prêt à tuer en masse ont-ils vraiment peur d'être dans l'illégalité en utilisant une clé de 4096 ?

Donc, comme depuis que les gouvernements se sont lancés sur le sujet, je suis partagé entre deux conclusions :
- les politiques sont particulièrement incompétents sur le sujets (des "gros niais",
- les politiques savent très bien ce qu'ils font, et leur objectif, leur agenda, n'a absolument rien à voir avec le terrorisme.
Je sais pas laquelle des deux est la plus effrayante ..
9  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/08/2016 à 14:14
Citation Envoyé par Neckara Voir le message
J'ai bien précisé que je me faisais l'avocat du diable.
Oui oui j'avais compris, en l'absence de Cazeneuve sur le forum tu prends son rôle

Citation Envoyé par Neckara Voir le message

Mais dans ce cas là, on a pas besoin de déchiffrer ou de décrypter leurs communications vu qu'ils se rendront déjà coupables aux yeux de la loi.
Déchiffrer c'est quand on a la clef.
Décrypter c'est quand on a pas la clef.

Dans le cas de RSA et AES, on ne sait pas décrypter. C'est un fait scientifique, on ne sait pas faire et c'est pour cette raison, et seulement pour cette raison, que la confiance existe sur internet et qu'on peut avoir du commerce électronique.

Ce que Cazeneuve demande, c'est justement de pouvoir déchiffrer (ça peut pas être décrypter puisqu'on ne peut pas faire) lorsque des gens violent la loi.

Citation Envoyé par Neckara Voir le message

Sachant même qu'on pourrait même décider de bloquer ce genre de communications au niveau due l'infrastructure du réseau même.
Comment tu fais la différence entre deux flux réseaux chiffrés ? Tu veux bloquer tous les flux réseaux chiffrés ? Ça signifie mettre un terme au commerce électronique, aux VPN d'entreprises, etc ...

Citation Envoyé par Neckara Voir le message

Ne soyons pas dogmatique à ce point.
Ce n'est pas du dogme, c'est de la science. La Terre tourne autour du Soleil, pas l'inverse, ce n'est pas du dogme.
8  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/08/2016 à 15:44
Citation Envoyé par Neckara Voir le message

Mais pour ECDSA/ECDH, on sait le faire pour certaines courbes éventuellement construite spécialement pour cela (cf mon avant-dernier post).
Ce n'est pas ce qui est le plus utilisé. Le plus utilisé c'est RSA/AES. Et de toutes façons, en quoi le fait d'imposer aux éditeurs de logiciels d'utiliser tel ou tel algo va empêcher des gens mal intentionnés d'écrire un soft qui utilisera RSA/AES ??

Citation Envoyé par Neckara Voir le message

RSA n'est pas le seul algorithme qui existe. D'ailleurs, pour RSA, cela va dépendre de ta taille de clés (il n'y a pas de taille "minimale" si je ne m'abuse).
C'est le plus utilisé. Le développeur peut utiliser toutes les tailles de clefs prévues par l'algo.

Citation Envoyé par Neckara Voir le message

Si tu utilises TLS, c'est assez facile de discriminer les différents flux chiffrés.
Je vois pas bien comment tu peux faire la différence entre un flux chiffrant un contenu légal et un flux chiffrant un contenu illégal. Il faut m'expliquer

Citation Envoyé par Neckara Voir le message

Non, la science n'est pas aussi "définitives" sur ses affirmations. Elle progresse d'ailleurs par "erreurs" successives.
Oui mais elle ne fait pas 25 pas en arrière.

Citation Envoyé par Neckara Voir le message

Le modèle "La Terre tourne autour du Soleil" est faux, elle tourne aussi sur elle-même, elle a un axe d'inclinaison de 42° (au hasard)... non c'est encore faux, son axe d'inclinaison oscille, etc.
Tu as un problème de logique.

Ce n'est pas parce que la terre tourne autour d'elle-même est vrai que la terre tourne autour du soleil est faux. En l'occurrence les deux propositions sont vraies.

Citation Envoyé par Neckara Voir le message

La science est toujours ouverte à tout argumentation fondée et solide qui pourrait lui montrer qu'elle a tord, et ainsi de progresser. Au passage, si c'est de la science, as-tu une preuve que ce soit techniquement impossible ?
Deuxième problème de logique. On ne prouve pas que techniquement c'est impossible de décrypter. Personne n'étant capable de décrypter, c'est pour le moment impossible de décrypter de fait. Le seule méthode est la force brute, et comme ça prendrait des années à faire pour un seul texte chiffré c'est considéré comme sûr.
8  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/08/2016 à 17:24
Citation Envoyé par Neckara Voir le message

Il n'était là que pour illustrer le fait que lorsqu'un comportement sort de la "norme", il est plus facile de le discriminer.
Mais justement, tu ne peux pas savoir si un comportement sort de la norme sans diminuer la sécurité pour tout le monde. Pour savoir si un comportement sort de la norme, tu dois déchiffrer / décrypter. Pour pouvoir déchiffrer / décrypter, tu dois abaisser la sécurité parce qu'en l'état actuel ce n'est pas possible.

C'est simple à comprendre non ?

Citation Envoyé par Neckara Voir le message

Non, et j'ai d'ailleurs dit comment (d'ailleurs pas besoin de "baisser la sécurité".

Et tu ne peux pas le nier, c'est exactement sur ce principe que fonctionne les algorithmes à clé publique. D'ailleurs cela me rappelle que sur ce forum on avait déjà données des solutions utilisant justement des algorithmes à clé publique. E.g. rajouter une extension TLS pour chiffrer la clé symétrique + IV avec la clé publique d'un gouvernement.
Tu n'as rien dit du tout, tu fais des suppositions reposant sur rien, à part du "il faudrait demander à un mathématicien".

Et je te ferais remarquer que ce que je dis n'est rien d'autre que l'avis de l'ANSSI et du CCNum.

Par ailleurs, rajouter un IV avec "la clé publique du gouvernement" ne permet en rien que seul le gouvernement puisse déchiffrer le message en plus du destinataire.

Le principe de l'asymétrique c'est que le destinataire propose un cadenas, dont il est le seul à disposer de la clef. Pour qu'un tiers puisse lire le message, il doit disposer de cette clef. Or donner cette clef à un tiers, peu importe sa nature, est un affaiblissement critique de la sécurité, cela ouvre des angles d'attaque.
9  1 
Avatar de BugFactory
Membre chevronné https://www.developpez.com
Le 01/03/2017 à 11:16
Citation Envoyé par Ryu2000 Voir le message
Ouais enfin c'est le protocole HTTPS qui gère ça (je crois), je n'ai pas le contrôle la dessus.
Justement, c'est un point important.

On utilise le chiffrement tous les jours, sans même s'en rendre compte, parce que les concepteurs des différents systèmes se sont posés la question de la confidentialité. Les politiques jouent ici sur l'ignorance du public, dans lequel ils veulent instiller l'idée que le chiffrement n'est utilisé que par les terroristes.

Seulement, la surveillance de masse est impuissante contre le terrorisme. On a vu que les derniers attentats ont été commis par des gens qui été tous fichés S... comme des milliers d'autres, ce qui fait qu'il était impossible de prendre des précautions particulières.

C'est une spéculation, mais la véritable cible de ces mesures sont probablement les journalistes. Surveiller leurs communications pour manipuler l'opinion. Ça ressemble à une théorie du complot jusqu'à ce qu'on repense à l'affaire des fadettes du Monde. Incontestablement, le Monde est un repaire de fanatiques qu'il faut surveiller, non? Et c'est arrivé ici en France, pas dans un pays autocratique où la censure est officielle.
8  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/08/2016 à 16:42
Citation Envoyé par Neckara Voir le message
Si l'objectif est d'imposer des contraintes, on se moque un peu de ce qui est le plus utilisé.

C'est comme dire qu'on ne peut pas imposer des tailles de clés <1024 bits parce que les clés les plus utilisées sont > 4096 bits.
Si certains algo sont utilisés plus que d'autres c'est qu'il y a une raison ...

Citation Envoyé par Neckara Voir le message

Rien, en revanche, vu qu'ils auront enfreint la loi, on pourra les sanctionner et saisir leur matériel.
Ce n'est pas tant de pouvoir déchiffrer/décrypter que de pouvoir discriminer les "honnêtes citoyens" des "méchants" qui essayent de se cacher de l'État. On est bien d'accord que je me fais l'avocat du diable hein .

Par exemple si dans la rue on installe des caméras et qu'on interdit de se cacher le visage. Une personne qui tenterait de passer incognito avec une cagoule sur la tête se fera vite remarquée.
L'analogie serait plutôt, tout le monde utilise une cagoule, on installe des caméras, et on veut que les caméras détectent les terroristes sous les cagoules sans pour autant permettre aux caméras des services secrets d'autres nations de regarder sous la cagoule de nos entreprises. C'est impossible. Ce que demande Cazeneuve est techniquement impossible à réaliser. Si tu réduis la sécurité pour permettre à tes services secrets de lire les messages des terroristes, alors il en va de même pour tout le monde.
7  0 
Avatar de Marco46
Expert éminent sénior https://www.developpez.com
Le 24/08/2016 à 18:31
Citation Envoyé par Neckara Voir le message
Non, parce que je peux déchiffrer/décrypter sans abaisser la sécurité, tout simplement.
Tu voulais dire seulement déchiffrer j'imagine, dans ce cas tu vas devenir riche ! Il faut te faire embaucher par Google, Facebook ou la NSA parce que , tu viens de faire faire un pas de géant à la recherche mondiale en crypto-sécurité.

Citation Envoyé par Neckara Voir le message

Écoute, tu ne sais même pas de quoi il en retourne, donc ne vient pas me dire que je "fais des suppositions".

Je connais et j'ai donné les quelques principes de bases qui sont largement suffisant pour prouver mon point. Mais oui, je reconnais ne pas être mathématicien, et je préfère que vous demandiez à une personne qui serait plus à même de vous donner les détails que vous recherchez.

Expliquer ECDSA "simplement", ça me prendrait quelques minutes. Si vous voulez des détails, non seulement il faudrait que j'aille me rafraîchir un peu la mémoire, mais en plus il faudrait que je vous fasse quelques heures de cours pour vous donner les bases mathématiques... et j'ai autre chose à faire.

Alors désolé si je ne vous donne que l'explication "simplifiée"/"intuitive".
Tu n'as rien montré du tout. On attend toujours tes explications. ECDSA est plus rapide que RSA, c'est à peu près la seule différence opérationnelle.

Citation Envoyé par Neckara Voir le message

Et bien peut-être pourrais-tu me citer le passage de leur avis prouvant que ce que je raconte est faux ?
Leur communiqué ne te répondait pas il répondait au ministre. Par contre il faut vite que tu les informes de ta découverte, tu es au bord du prix nobel là.

Citation Envoyé par Neckara Voir le message

Non.

Le principe de TLS est d'utiliser de l'asymétrique pour permettre un échange de clés sécurisée uniquement valable pour la session en cours, utilisées pour du chiffrement symétrique. Il n'est donc nullement question dans mes propos qu'un serveur donne une de ses clés privées au gouvernement.
A écrit à B. Si tu veux que C puisse déchiffrer le flux chiffré entre A et B il va bien falloir que B donne sa clef privée à C.

Citation Envoyé par Neckara Voir le message

Ici cela revient "juste" à avoir un destinataire supplémentaire, sans pour autant abaisser la sécurité de l'échange de manière globale. Ce n'est pas parce qu'il y a deux angles d'attaques au lieu d'une que la sécurité en est réduite pour autant.
Tu ne peux pas avoir 2 destinataires différents avec la même clef publique.
8  1 
Avatar de AstOz
Membre averti https://www.developpez.com
Le 01/03/2017 à 15:14
Citation Envoyé par Ryu2000 Voir le message

La lutte contre le terrorisme bon dos...
C'est comme l'état d'urgence permanent.
Sous prétexte de vouloir combattre le terrorisme, on met en place des lois liberticides.
Parfaitement, je pense même qu'ils ne rendent pas compte que ce genre de mesures peut eux-même les toucher.
Si le chiffrement est normalisé, ça sera aussi le cas pour eux, pour les gouvernements, pour les banques, etc ...

Ça sera une faille majeure.

Il faudrait qu'il vulgarise les choses pour que les gens comprennent de quoi il s'agit, c'est un peu comme-ci on demandait aux gens de plus fermer leurs portes d'entrée et leurs fenêtres au nom de la sécurité nationale.
Ça m'inquiète, on se tourne de plus en plus vers un état totalitaire qui aura légalement le droit de surveiller ses citoyens et d'agir contre eux à souhait.
7  0