La fuite de Wikileaks montre que le chiffrement de données fonctionne
Rendant la tâche plus difficile aux agences d'espionnage

Le , par Coriolan

91PARTAGES

17  0 
La semaine dernière, la plateforme Wikileaks a entrepris de publier des milliers de documents confidentiels appartenant à la CIA. Cette fuite baptisée Vault 7 a exposé les différents moyens et outils de piratage exploités par l’agence de renseignements américaine. Ces véritables cyberarmes ont permis à la CIA de créer sa propre “NSA” avec encore moins de responsabilités et d’exigences à répondre publiquement. En effet, l’agence d’espionnage dispose d’un arsenal gigantesque comprenant des logiciels malveillants, des virus, des chevaux de Troie, des exploits “zero day” armés, des systèmes de contrôle à distance des logiciels malveillants et la documentation associée. Bref, aucun appareil électronique n'est à l'abri de l’agence d'espionnage américaine.

Mais l’industrie de l’IT a tiré une autre conclusion des révélations de Wikileaks, c’est que le chiffrement de données marche et que l’industrie doit en recourir davantage. Des documents apparemment exposant le programme de surveillance de la CIA suggèrent que les agents du service d’espionnage s’efforcent de contourner le chiffrement qu’ils ne peuvent pas casser. Dans beaucoup de cas, la présence physique d’un agent est requise pour mener des attaques ciblées.

« Nous vivons dans un monde dans lequel le gouvernement américain veut avoir vos données, ils ne peuvent pas espérer casser le chiffrement, » a dit Nicholas Weaver, qui enseigne le networking et la sécurité à l’Université de Californie, Berkley. « Ils doivent se tourner vers des attaques ciblées, et c’est coûteux, dangereux, et le genre de choses que vous faites seulement avec les cibles qui vous intéressent. Voir la CIA agir de la sorte doit réassurer les activistes pour les libertés individuelles que la situation est meilleure maintenant qu’elle a été avant quatre ans. »

Plus de chiffrement

Justement il y a quatre ans, l’ancien employé de la NSA Edward Snowden avait révélé des informations classées tops secrètes de la NSA concernant la captation des métadonnées des appels téléphoniques aux États-Unis, ainsi que les systèmes d’écoute sur internet des programmes de surveillance PRISM, XKeyscore, Boundless Informant et Bullrun du gouvernement américain et les programmes de surveillance Tempora, Muscular et Optic Nerve du gouvernement britannique. Pour contrecarrer ses programmes de surveillance généralisée, l’industrie a entrepris d’étendre l’usage du chiffrement des données pour les emails et les applications de messagerie, un processus qui permet de rendre leur contenu illisible et indéchiffrable sans les clés nécessaires.

Les révélations de Snowden ont brisé les hypothèses antérieures suggérant qu’il a été presque impossible d’intercepter les données sur Internet pour des besoins de surveillance, a dit Lorenzo Hall, technologue en chef du groupe Center for Democracy & Technology. Cela a été dû au fait que chaque message sur Internet était divisé en plusieurs paquets, et chaque paquet suivait son propre chemin à travers le réseau jusqu’à arriver à sa destination.

La révélation que les agences d’espionnages ont réussi à contourner ce problème a poussé les acteurs à doubler d’efforts pour mieux protéger les données sur Internet. Des services comme WhatsApp et Apple iMessage ont eu recours au chiffrement du bout en bout, que même WhatsApp et Apple ne peuvent pas casser.

Le chiffrement de bout en bout de WhatsApp garantit que seuls vous et la personne avec qui vous communiquez pouvez lire ce qui est envoyé ; il n'y a donc pas d'intermédiaires, pas même WhatsApp. Vos messages sont protégés avec un cadenas, et seuls le destinataire et vous avez la clé spéciale qui permet de débloquer et lire votre message. Afin d'assurer une protection supplémentaire, chaque message que vous envoyez a son propre cadenas unique et sa clé unique. Tout cela est automatique : vous n'avez pas besoin de quelconques paramètres ni de créer des discussions secrètes pour protéger vos messages, » indique WhatsApp sur son site officiel.

Un défi pour les autorités

Durant le passé, les agences d’espionnage comme la CIA pouvaient pirater les serveurs de WhatsApp et les autres services similaires pour capturer les échanges des utilisateurs. Mais avec le chiffrement du bout en bout, cette possibilité a été rendue plus difficile. C’est pourquoi la CIA doit désormais retourner aux méthodes classiques comme les écoutes téléphoniques et l’interception des données avant leur chiffrement. « C’est comme lors des bons vieux jours lorsqu’ils devaient s’infiltrer dans une maison et planter un microphone, » a dit Steven Bellovin, professeur à l’Université de Columbia qui a longtemps étudié les questions de cybersécurité.

Le chiffrement s’est tellement imposé que même le FBI a voulu l’année dernière qu’Apple déverrouille l’iPhone utilisé par l’un des attaquants de San Bernardino. Apple a refusé de répondre à cette requête et le FBI a finalement réussi à déverrouiller le téléphone à l’aide d’un outil de piratage vraisemblablement similaire aux outils faisant partie de l’arsenal de la CIA.

Le directeur du FBI James Comey a reconnu le défi que présente le chiffrement. Il a indiqué qu’il devrait y avoir une balance entre la confidentialité et la capacité du FBI à accéder légalement aux données. Il a également dit que le FBI doit chercher à recruter des informaticiens talentueux avant qu’ils ne finissent dans les rangs d’Apple ou Google.

Les responsables des gouvernements ont longtemps voulu forcer les entreprises à installer des backdoors dans leurs appareils pour que les autorités puissent décoder les messages avec un mandat. Mais les experts de sécurité ont alerté que cette démarche pourrait gravement mettre en péril la sécurité et la confidentialité de tout le monde. Un avis que le PDG d’Apple a partagé lorsqu’il a indiqué qu’une telle mesure servirait également à l’intérêt des mauvaises personnes.

Le chiffrement : encore une solution de patchwork

Pour le moment, les services qui ont appliqué le chiffrement du bout en bout comme iMessage et WhatsApp se comptent au bout des doigts. Bien que le chiffrement est largement plus utilisé aujourd’hui, plusieurs entreprises continuent à encoder leurs données dans des façons qui leurs permettent de les lire et les scanner. Les autorités peuvent alors forcer ces entreprises à divulguer le contenu des messages avec des mandats ou des ordres juridiques. Avec le chiffrement du bout en bout, les entreprises ne seront pas capables de répondre à cet ordre car elles n’auront pas les clés nécessaires.

Mais étendre l’usage du chiffrement de bout en bout présente aussi des défis d’ordre technique. Ce chiffrement rend difficile les recherches sur des emails datant de plusieurs années pour les mentions d’un terme spécifique. Google a annoncé en 2014 qu’il travaillait sur le chiffrement du bout en bout pour l’email, mais aucune solution ne s’est matérialisée. Google chiffre pour le moment les messages en transit, mais cette solution n’est possible que lorsque le service utilisé par le destinataire adopte la même solution.

Les documents de la CIA publiés par Wikileaks suggèrent que l’agence est capable d’exploiter des vulnérabilités dans les téléphones et les logiciels pour capturer les messages quand il n’y a pas de chiffrement. Même si Apple, Google et Microsoft disent qu’ils ont réparé beaucoup de ces vulnérabilités, personne ne connait encore combien sont encore ouvertes.

« Il y a différents niveaux d’attaque, » a dit Daniel Castro, vice-président de la information Technology and Innovation Foundation. « Nous avons peut-être sécurisé un niveau (avec le chiffrement, mais il y a encore des faiblesses sur lesquelles on devrait se concentrer. »

Cohen préconise également que les gens doivent utiliser le chiffrement, malgré les techniques et l’arsenal de cyberarmes des agences d’espionnage « c’est mieux que rien. »

Source : The New York Times

Et vous ?

Pensez-vous que l'implémentation du chiffrement de bout en bout de WhatsApp et iMessage est sûre ?
Pensez-vous que le chiffrement de données aujourd'hui est menacé par le développement d'ordinateurs quantiques ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks va partager le code de la CIA avec les entreprises IT, quand la CIA dit continuer à collecter agressivement des renseignements à l'étranger

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 24/03/2017 à 15:38
Il y aura toujours des gens qui n'y croieront pas, même avec la preuve sous le nez.
9  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 25/03/2017 à 15:48
Citation Envoyé par sbeex Voir le message
Haha si tel est le cas ils ont fait très fort !

Je possède un iphone et... je m'en fiche en fait tant qu'il marche pas moins bien qu'avant !
Et bien voilà la réponse typique de tous les "neuneu" de notre société de consommation: "Euh! Je m'en fiche d'être espionné, j'ai rien à cacher!"

C'est grâce à ce genre de réponse que la société actuelle se transforme en une immense prison à ciel ouvert où le moindre comportement du citoyen est scruté, analysé, enregistré...

Et est-ce que le "Euh! Je m'en fiche d'être espionné, j'ai rien à cacher!" imagine ce qu'il pourrait advenir de ses données dans les mains d'un gouvernement un "peu particulier", style Erdogan en Turquie (qui fait la chasse aux opposants), style Kim Jong-Un en Corée du Nord, style Khmers Rouge au Cambodge qui ont fait la chasse aux intellectuels allant jusqu'à tuer 21% de la population du pays en 4 ans???

Et est-ce que le "Euh! Je m'en fiche d'être espionné, j'ai rien à cacher!" se souvient qu'il y a moins de 80 ans un taré arrivé au pouvoir en Allemagne a éliminé physiquement 5 millions de personnes juste parce qu'elles étaient de confession juive, 300.000 personnes handicapées mentales ou physiques en Allemagne, entre 300'000 et 500'000 tziganes à travers l'Europe occupée, environ 10'000 homosexuels??? Quel aurait été le bilan si le gouvernement nazi avait disposé à l'époque d'internet et avait eu accès à toutes les données collectées auprès des "Euh! Je m'en fiche d'être espionné, j'ai rien à cacher!"???
9  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 24/03/2017 à 14:24
Comme quoi les russes ont raison de se méfier des produits américains...
8  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 12/04/2017 à 17:29
Ça fait un argument de plus pour les Chinois et les Russes de fuir les produits "Made In USA". Pendant ce temps là l'Europe, dont la France, continue à investir massivement dans les PC à base de Windows.
6  0 
Avatar de Grogro
Membre extrêmement actif https://www.developpez.com
Le 05/09/2017 à 14:43
Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
6  0 
Avatar de TallyHo
Membre éprouvé https://www.developpez.com
Le 13/03/2017 à 11:14
Le chiffrement ne doit pas encore totalement bloquer les services d'espionnage... Sinon on aurait déjà eu des lois pour le limiter (ou il y a des magouilles non découvertes encore)
5  0 
Avatar de Beanux
Membre éclairé https://www.developpez.com
Le 24/03/2017 à 16:10
Citation Envoyé par nirgal76 Voir le message
Que ces activités soient vraies ou fausses, c'est en tout cas un article bourré de conditionnel, d'incertitude et de supputation (et ça date en plus). Du coup, ça rends pas crédibles des faits qui le sont sûrement.
C'est une question d’éthique.
La 2eme diffusion de wikileaks n'a ni été infirmé ni confirmé. Elle date d'hier. Donc difficile d'avoir déjà une confirmation des données fournies. Donc conditionnel.
A supposer que l'information n'eusse pas été aussi récente, les informations n'auraient peut être pas été confirmé (toujours vulnérable par exemple), donc l'emploi du conditionnel est nécessaire.

Je crois en la véracité de ces infos, mais le conditionnel est nécessaire.
4  0 
Avatar de DonQuiche
Expert confirmé https://www.developpez.com
Le 24/03/2017 à 17:50
Citation Envoyé par Beanux Voir le message
A supposer que l'information n'eusse pas été aussi récente
Je ne te reprends là-dessus que parce que tu sembles prêter attention à ces questions et pourrais donc accueillir ma remarque d'un bon oeil. Tu as commis deux fautes :
* Tu as utilisé la conjugaison à la première personne (eusse été) au lieu de la troisième (eût été).
* Tu as utilisé le plus-que-parfait du subjonctif alors qu'il fallait ici utiliser le passé (ait été) puisque tu débats de faits passés par rapport au contexte présent.

Concordance des temps :
* Contexte présent -> subjonctif présent (il soit), ou subjonctif passé pour une action antérieure (il ait été).
* Contexte passé -> subjonctif imparfait (il fût), ou subjonctif plus-que-parfait pour une action antérieure (il eût été).

Que cela ne te freine pas dans ton effort d'usage du subjonctif, que je salue.
4  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 27/03/2017 à 10:38
Citation Envoyé par NSKis Voir le message
Quel aurait été le bilan si le gouvernement nazi avait disposé à l'époque d'internet et avait eu accès à toutes les données collectées
Aucun régime au monde n'a jamais autant surveillé son propre peuple que les USA dans la période actuelle.
C'est même pire que la plus dystopique des œuvres de science fictions.

D'abord on a accepté qu'il y ait une webcam et un micro dans les pc portables (beaucoup de gens cachent la webcam, c'est obligatoire dans plein d'entreprises).
Mais c'est devenu pire avec les smartphones qui sont équipé d'un micro, 2 caméras, un capteur GPS et son en permanence connecté à internet.
Les gens étalent leur vie sur les réseaux sociaux.
On fait tout pour rendre facile la récolte de nos données.



Sauf qu'on est dans l'idéologie du bien, les gens se disent "nous sommes en état d'urgence", "c'est pour lutter contre le terrorisme", etc.
Alors que c'est pour récolter le plus d'informations personnelles pour les revendre à des entreprises.

Si n'importe quel pays au monde avait fait le millième de ce que font les USA, ça ne passerait pas si facilement...
4  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 09/07/2017 à 0:02
Ces révélations de wikileaks accompagnées de celles des shadow brokers ne sont que la partie émergée de l'iceberg des outils des five eyes en opération depuis le 11 septembre sous couvert de lutte anti terrorisme. Que ce soit tombé entre les mains des russes est déjà fort facheux. Qu'ils le répandent sur le net devient un problème non pas de sécurité nationale mais de sureté mondiale, on le voit avec NotPetya.
Commercial en solutions de sécurité est l'occasion de devenir multi-millionaire par les temps qui courent. Ou investir dans le Bitcoin pourrait être pas mal.
Admin sys & réseaux demandez une sévère augmentation ainsi que des primes substantielles de résolution d'incidents.

Très chers Etat, administrations, organisations en tout genre, attendez vous à du gros temps.
4  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web