Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Australie : refuser de déverrouiller son smartphone pourrait bientôt être sanctionné de 10 ans de prison
Dans le cadre d'une enquête

Le , par Christian Olivier

222PARTAGES

18  0 
Le gouvernement australien a récemment fait part de sa ferme résolution de remédier à l’impact négatif « ;des communications et des dispositifs chiffrés sur la sécurité nationale et les investigations des forces de l’ordre ;». Pour ce faire, il envisage de mettre en place des mesures parfois mal définies qui permettraient de mieux encadrer les activités des entreprises d’internet et aux autorités locales d’avoir accès aux appareils numériques, aux réseaux et aux données que contiennent ces derniers lorsque des éléments raisonnables justifiant ces démarches existent.

Soulignant l’importance de s’assurer que la législation en vigueur s’adapte à l’évolution rapide de la cybercriminalité et des technologies liées à la sécurisation des communications en ligne, Canberra a présenté un projet de loi intitulé « ;Assistance and Access Bill ;» censé refléter cette volonté et qui par la même occasion lui éviterait de recourir aux portes dérobées.


L’Assistance and Access Bill adopte une approche à plusieurs volets pour aider les autorités à accéder aux données d’un suspect. Il introduit notamment de nouvelles règles s’appliquant « ;aux fournisseurs de services de communication ;». Ce terme générique inclurait les opérateurs de télécommunication, les éditeurs d’applications et les fournisseurs d’appareils ayant « ;un lien avec l’Australie ;».

S’il est adopté, ce texte permettra aux autorités, qui estiment que les sanctions en vigueur ne sont pas suffisamment dissuasives, de condamner plus sévèrement les individus refusant de déverrouiller leurs smartphones pour besoin d’enquête. Ces personnes s’exposeraient à terme à des peines d’emprisonnement de 10 ans maximum, contre deux ans actuellement. Du côté des entreprises, les contrevenants risquent des amendes pouvant atteindre 10 millions de dollars australiens.

Ce projet de loi propose de donner au gouvernement les moyens de contraindre les entreprises de la Tech à collaborer plus étroitement avec les autorités compétentes dans le cadre d'une affaire judiciaire, grâce à deux types d’ordonnances gouvernementales. Elles les forceraient notamment à divulguer aux autorités les communications en ligne des criminels présumés et à aider les autorités à récupérer les informations d’un suspect.

Le premier prendrait la forme d’un « ;avis d’assistance technique ;» qui obligera les entités concernées à remettre aux autorités compétentes les clés de chiffrement qu’elles détiennent (services proposant le chiffrement de bout en bout à ses utilisateurs, par exemple).

Le second prendrait la forme d’un « ;avis de capacité technique ;» qui sera davantage utilisé lorsque le suspect stocke lui-même les clés de chiffrement utiles pour les besoins d’enquête. Cette ordonnance obligera les fournisseurs de service de communication à prendre, dans la mesure du possible, toutes les dispositions nécessaires afin d’aider les autorités compétentes à accéder aux informations d’une cible.


En gros, le gouvernement australien demandera aux entreprises concernées si elles peuvent accéder aux données d’une cible dans le cadre d’une enquête. Si elles n’en sont pas capables, il émettra alors un second ordre pour les forcer à trouver un moyen « ;raisonnable, proportionné et techniquement réalisable ;» lui permettant d'arriver à ses fins. La mise en œuvre de ces solutions inclurait la suppression d’une ou plusieurs protections électroniques utilisées par un fournisseur, la fourniture des spécifications détaillées d’un appareil ou d’un service ou encore le déploiement d’un logiciel gouvernemental.

Le gouvernement australien exclurait toutefois de son panel de solutions d’assistance la création de faiblesses intégrées au produit d’une entreprise (cas des portes dérobées). Il n’autorise pas non plus la mise en œuvre de ces mesures sans la délivrance préalable d’un mandat adéquat.

Grâce à l’Assistance and Access Bill, Canberra pourrait même instaurer un nouveau type de mandat autorisant la police à récolter en secret des preuves avant qu’elles ne soient chiffrées. Pour ce faire, les forces de l’ordre pourraient par exemple intercepter les communications ou utiliser des dispositifs pour accéder à distance aux données recherchées.

Source : Sophos

Et vous ?

Qu’en pensez-vous ?
Des mesures similaires devraient-elles être adoptées en France ou plus largement en Europe, d'après vous ?

Voir aussi

Chiffrement : le gouvernement australien plaide pour l'installation de portes dérobées et espère convaincre l'alliance Five Eyes de le suivre

Les cinq pays membres des Five Eyes s'allient contre le chiffrement qu'ils considèrent comme un obstacle pour leurs services de renseignement

Faut-il sacrifier la confidentialité pour assurer la sécurité ? Affaiblir le chiffrement met en danger les citoyens honnêtes estime un commentateur

Chiffrement : le FBI base son discours pour la pose de backdoors sur des chiffres gonflés, générés par une « erreur de programmation »

Chiffrement : le CEO de BlackBerry promet de casser celui de ses équipements, il suffira d'une demande du gouvernement US

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Saverok
Expert éminent https://www.developpez.com
Le 20/08/2018 à 14:50
Citation Envoyé par Christian Olivier Voir le message
Qu’en pensez-vous ?
Des mesures similaires devraient-elles être adoptées en France ou plus largement en Europe, d'après vous ?
Si cela est fait sous contrôle d'un juge, cela n'a rien de choquant.
Ce n'est qu'un prolongement des commissions rogatoires pour la fouille d'un logement, d'un coffre fort ou d'un compte bancaire.
6  1 
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 25/09/2018 à 18:20
Tin mais c'est plus Alzheimer, c'est clairement de la mauvaise volonté...
Quand on vous dit que les spywares et les portes dérobées, c'est pas la bonne solution, pas la peine de revenir avec cette idée tous les 6 mois... C'est pas vrai ça
4  0 
Avatar de onilink_
Membre expérimenté https://www.developpez.com
Le 20/08/2018 à 15:24
Le gouvernement australien exclurait toutefois de son panel de solutions d’assistance la création de faiblesses intégrées au produit d’une entreprise (cas des portes dérobées). Il n’autorise pas non plus la mise en œuvre de ces mesures sans la délivrance préalable d’un mandat adéquat.
Ils ont donc renoncé à imposer des portes dérobées?

Cf: https://www.developpez.com/actu/2187...communication/
3  0 
Avatar de JeanBond
Candidat au Club https://www.developpez.com
Le 25/09/2018 à 18:50
Le Digital Industry Group, l’organe représentatif des géants de la technologie tels que Facebook, Amazon, Google et Twitter, a avancé que ces « vulnérabilités de sécurité, même si elles sont conçues pour lutter contre la criminalité, nous exposent à des attaques de criminels ».


Pour une fois que je suis d'accord avec les GAFA.
3  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 15/10/2018 à 18:09
Et je pense que ce ne sera jamais le moment...
3  0 
Avatar de Hervé Autret
Nouveau membre du Club https://www.developpez.com
Le 26/09/2018 à 12:10
C'est un peu comme si on nous obligeait à nous promener avec le porte-monnaie ouvert dans la rue, histoire que la police puisse vérifier d'un coup d'oeil s'il s'agit d'argent propre ou sale...

Il paraît que si on est honnête on n'a rien à cacher, mais ça dépend à qui ; la police va pouvoir regarder avec les yeux certes, mais d'autres seront tentés d'y mettre la patte.
2  0 
Avatar de NBoulfroy
Membre éclairé https://www.developpez.com
Le 25/02/2019 à 17:55
Au delà de la question de la violation de la vie privée, il se pose une question assez intéressante : comment cela se passe t'il si le gouvernement bascule vers un extrême qui désire ficher et espionner la vie des gens ? On est pas à l'abri de ce fait, je vous rappel que des pays ont déjà fait un tour de ce côté (non, je ne parle pas d'un pays en particulier avant 1945, il n'y a pas eu que celui-là !).
2  0 
Avatar de pascaldm
Membre habitué https://www.developpez.com
Le 19/10/2018 à 16:49
Depuis longtemps en France comme ailleurs, la justice ou les service de sécurité peuvent pratiquer des interceptions sur les communications téléphoniques.

Les opérateurs sont contraints de se doter d'une "interception légale" selon l'article R 226-3 du code pénal. C'est spécifié par l'ETSI et les équipementiers de téléphonie (fixe, mobile et VoIP) implémentent ces interfaces qui sont obligatoires pour les opérateurs Télécoms. Les écoutes sont mis à disposition du PNIJ (Plate-forme Nationale d’Interceptions Judiciaires) opéré par Thalès.

Pour la data, l'accès Internet, les solutions sont plus complexes et requièrent une copie du trafic qui peut être chiffré.

Depuis la loi renseignement (et même un peu avant), afin de contourner le chiffrement, le législateur permet aux services de l'Etat de pénétrer dans un système suspect (ordi, téléphone) pour réaliser des interceptions de données (je n'ai pas retrouvé l'article de loi). Cela peut être fait avec un logiciel espion appelé "mouchard" par la profession. Cet implant logiciel, comme un malware avancé, donne accès à tout ce qui est tapé au clavier (keylogger), affiché à l'écran, stocké sur le disque ou envoyé sur le réseau, avant tout chiffrement.

En conséquence, il ne s'agit plus comme cela avait été annoncé par l'ancien 1er ministre de fragiliser un crypto-système en y introduisant une trappe, mais plutôt d'une "APT" ciblée sur les équipements d'une personne. Pour cela, l'Etat s'appuie sur des sociétés privées spécialisées dans le développement de "mouchards", s'installant via des zéro days ou tout autre moyens adéquats, comme les fameux outils de la NSA et de la CIA ayant fuités. Ces logiciels espions doivent évoluer en permanence, surtout pour les vulnérabilités qui sont patchées au fil des découvertes et ces mouchards ne doivent pas tomber entre des mains malveillantes ou indiscrètes (ce qui arrivera tôt ou tard). Par contre, il ne s'agit pas de déployer des backdoors massivement car ce n'est pas l'objet et cela exposerait inutilement ces implants.

Je ne sais pas ce que prévoit l'Australie, mais aux dires de l'article, on n'y parle pas de backdoor dans les implémentations cryptographiques mais pour les contourner et il n'y est pas question d'un déploiement général. En tant que professionnel en cryptographie appliqué, ces positions sont conformes aux attentes. Les alertes adressées au gouvernement français en 2016 visaient à l'abandon de trappes dans les cryptosystèmes ou les applications les utilisant. Qu'il existe des moyens d'interception légale paraît tout à fait normal. Par contre, l'organisation de l'autorisation et du contrôle par le CNCTR dans le cas des écoutes administratives (non judiciaire) semble encore trop laxiste et dangereux pour la démocratie. Ici, il y a encore un combat à mener.

Je n'ai pas parlé des fameuses boîtes noires de la LPM parce que ce sujet est classifié "Secret Défense". Les informations sont donc rares même si quelques éléments ont fuités dans la presse au sujet des "sondes souveraines". Ces équipements implantés chez les opérateurs et hébergeurs sont raccordés à des réseaux de l'Etat afin de les traiter. Cependant, pour être en mesure de traiter de tels trafics extrêmement volumineux il faut des moyens. Ici, la "légende urbaine" raconte que ces trafics ne seraient pas traités faute de budget et surtout parce que les trafics les plus intéressants sont majoritairement chiffrés (mail, blogs, forum, VoiP e2e,...). Comme il s'agit d'écoute passive, il est impossible de pratiquer du MiTM pour recouvrer le clair, surtout avec une telle volumétrie. Par contre, avec un trafic spécifique et filtré...

Les sondes de captures sont financées par les opérateurs et hébergeurs, tandis que les équipements de collecte et de traitement sont du ressort de l'Etat. C'est notamment dans ce contexte et celui des captures de trafic sur les liens intercontinentaux (atlantique et méditerranée) que les trappes dans les protocoles cryptographiques intéressent les gouvernements. Et les boites noires sont des équipements en cœur ou périphérie de grands réseaux, qui captent indistinctement tout trafic. Il s'agit bien là d'une interception massive potentielle qui est de surcroît incontrôlable en l'état (sans jeu de mots).
0  0 
Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 08/12/2018 à 2:08
Lorsqu’il y a eu fuite du code source d’iBoot en début d’année, Apple s’est remué pour établir les responsabilités et a découvert que l’homme de l’ombre était un ancien stagiaire.
[humour Noir]
Apple devrait fliquer tout ces employés sur l'ensemble de leurs données sociaux/numériques, pour s’assurer qu'aucun d'eux ne va à l'encontre des intérêts d'Apple.
[/humour Noir]
0  0 
Avatar de Fagus
Membre actif https://www.developpez.com
Le 11/12/2018 à 17:43
(Je vais me faire allumer par la communauté)
Si certaines entreprises australiennes donnent les clés privées des systèmes de communication, ce n'est peut être pas si grave pour la sécurité (je ne parle pas des libertés individuelles...), tant que le gouvernement ne perd pas les clés. J'ai cru comprendre que la CIA avait déjà obtenu des clés privées des compagnies... Au pire, ça permet juste l'espionnage industriel de masse sous couverture de protection des citoyens.

S'il s'agit d'implémenter des portes dérobées, c'est déjà plus glissant.
0  0