IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'Electronic Frontier Foundation exige que le FBI cesse de s'attaquer au chiffrement
Et informer le Congrès de tous les téléphones qu'il a déjà piratés

Le , par Bill Fassinou

810PARTAGES

8  0 
Depuis la dernière décennie, alors que les entreprises ont tenté d'apporter plus de confidentialité aux utilisateurs par le biais du chiffrement, de nombreux gouvernements et forces de police dans le monde se sont ligués contre cette technologie. À l'image du FBI, ils considèrent le chiffrement comme une impasse à leur capacité de s'introduire facilement dans les appareils de personnes suspectées ou inculpées pour soi-disant récolter des preuves. Comme pour crier son exaspération, l'Electronic Frontier Foundation (EFF) a exposé dans un récent rapport les capacités de piratage des forces de police américaines et a déclaré que le Congrès devrait contrôler les fouilles téléphoniques du FBI et des autres entités.

Abandonner le chiffrement ou mettre en place des portes dérobées

Le chiffrement de bout en bout est ce qui permet aux utilisateurs d'échanger des messages sans qu'ils soient interceptés et lus par des gouvernements répressifs, des entreprises et d'autres mauvais acteurs. Sans cette protection, quiconque mettrait la main sur votre téléphone ou votre ordinateur portable (un voleur, un acteur malveillant ou un employeur) pourrait accéder à vos données les plus sensibles. Lorsque l'on affaiblit intentionnellement ces systèmes, cela nuit à la sécurité et à la vie des gens. Cependant, les gouvernements et les organisations qui sont contre ne voient pas la chose de cette manière.



En effet, le désir de faire du chiffrement de bout en bout une fonctionnalité principale dans les équipements de télécommunication et sur les plateformes en ligne, notamment les plateformes de médias sociaux, s'est particulièrement accru vers la fin des années 2010. Parallèlement, la lutte contre ce déploiement à grande échelle du chiffrement a connu la même évolution. En Europe, comme aux États-Unis, les groupes "anti-chiffrement" plaident pour l'abandon de cette idée, sinon la mise en place de portes dérobées dans les équipements de télécommunication ou les plateformes en ligne devant faire l'objet d'un chiffrement fort.

Au sein de l'UE, c'est au nom de la lutte contre les abus subis par les enfants en ligne, la pédophilie et le terrorisme que l'on veut porter un coup au chiffrement. En novembre dernier, le Conseil de l’UE a déclaré qu'elle est d’avis que l’implémentation du chiffrement de bout en bout dans les applications de messagerie chiffrées ne doit pas empêcher les forces de l’ordre de traquer les pédophiles et les terroristes. Ainsi, il s’apprête à adopter une résolution qui vise à forcer l’introduction de portes dérobées à l’usage exclusif des forces de l’ordre au sein des applications de messagerie chiffrée.

Depuis 2018, l'Australie s'est dotée d'une loi anti-chiffrement. La loi, connue sous le nom de "Assistance and Access Bill", permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de le forcer, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder. Elle devrait contraindre les services de messagerie comme WhatsApp et Signal à intégrer des portes dérobées pour donner aux enquêteurs un accès aux messages privés des utilisateurs.

Le FBI, qui est profondément engagé dans la lutte contre le chiffrement, demande depuis des années l'ajout d'une porte dérobée aux dispositifs de communication afin de pouvoir lire les communications chiffrées des Américains. Le directeur du FBI, Christopher Wray, aurait encore fait la même demande cette année lors d'un témoignage devant la commission judiciaire du Sénat. Wray se serait à nouveau plaint du chiffrement de bout en bout, qui est utilisé par les plateformes de messagerie populaires, ainsi que le chiffrement au repos des appareils numériques.

Le FBI aurait déjà une grande capacité à accéder aux équipements chiffrés

Selon le rapport de l'EFF, lors de son audience cette année, Wray aurait continué d'exprimer sa frustration quant à ce à quoi ses agents n'ont pas accès. Cependant, ce qu'il aurait oublié de mentionner est ce à quoi ses agents et lui ont déjà accès. Wray aurait en effet manqué d'informer les sénateurs de la fréquence "choquante" à laquelle son agence accède déjà aux smartphones des Américains. Pour l'EFF, la police s'introduit déjà dans les téléphones à grande échelle. Il cite un rapport d'Upturn, une organisation à but non lucratif, selon lequel le piratage des téléphones par la police serait devenu envahissant et répandu.

La police aurait en sa possession des outils médico-légaux qui extraient des données de presque tous les téléphones populaires. En mars 2016, Cellebrite, une société d'outils médico-légaux populaire, prendrait en charge les "extractions logiques" pour 8393 appareils différents, et les "extractions physiques", qui consistent à copier toutes les données d'un téléphone bit par bit, pour 4254 appareils. Cellebrite aurait la capacité de contourner les écrans de verrouillage d'environ 1500 appareils différents. Alors, comment font-ils pour contourner le chiffrement ? Selon l'EFF, souvent, ils se contentent de deviner le mot de passe.

En 2018, le professeur Matthew Green aurait estimé qu'il ne faudrait pas plus de 22 heures à des outils médico-légaux pour s'introduire dans certains anciens iPhone (dotés d'un code de passe à 6 chiffres), simplement en devinant continuellement les mots de passe (c'est-à-dire une entrée par "force brute". Un code d'accès à 4 chiffres échouerait en 13 minutes environ. Cette entrée par force brute était permise par une faille matérielle qui aurait été corrigée depuis 2018, réduisant ainsi le taux de devinette des mots de passe. Mais l'EFF estime que, même si les fabricants améliorent la sécurité de leurs appareils, cela n'arrête pas le piratage pour autant.

Selon le rapport, en septembre 2020, les documents marketing de Cellebrite se vantaient que ses outils pouvaient s'introduire dans les appareils iPhone jusqu'aux derniers iPhone 11/11 Pro/Max exécutant les dernières versions d'iOS jusqu'à la dernière 13.4.1. Même lorsque les mots de passe ne peuvent pas être cassés, des fournisseurs comme Cellebrite offriraient des "services avancés" qui peuvent déverrouiller même les appareils iOS et Samsung les plus récents. Selon les recherches d'Upturn, le prix de base de ces services est de 1950 dollars, mais ils peuvent être moins chers en gros.

L'achat de technologies électroniques d'effraction en gros représenterait la meilleure affaire pour les services de police des États-Unis. En 2018, le service de police de Seattle aurait acheté 20 "actions" de ce type à Cellebrite pour 33 000 dollars, ce qui leur aurait permis d'extraire les données des téléphones en quelques semaines, voire quelques jours. Selon le rapport de l'EFF, les forces de l'ordre qui souhaitent débloquer des téléphones en masse peuvent payer le "déblocage avancé" de Cellebrite, pour des prix allant de 75 000 à 150 000 dollars.

L'EFF estime que cela signifie que pour la plupart des services de police, le piratage des téléphones n'est pas seulement pratique, il est relativement peu coûteux. « Lorsque le FBI dit qu'il "sombre" parce qu'il ne peut pas vaincre le chiffrement, ce qu'il demande en réalité, c'est une méthode d'intrusion moins chère, plus facile et plus fiable que les méthodes dont il dispose déjà. La seule façon de répondre pleinement aux exigences du FBI serait d'exiger une porte dérobée dans toutes les plateformes, applications et appareils », a écrit l'EFF dans son rapport.

« En particulier à une époque où les abus de la police à l'échelle nationale ont été mis en lumière, ce type de plainte ne devrait pas susciter l'intérêt des élus. Au lieu de cela, ils devraient se demander comment et pourquoi la police outrepasse déjà le chiffrement. Ces techniques ne sont pas seulement utilisées contre les criminels », a ajouté la fondation.

Le Congrès devrait surveiller les piratages de téléphones du FBI

Le rapport de l'EFF estime que les 44 organismes d'application de la loi qui ont fourni des dossiers à Upturn ont révélé au moins 50 000 extractions de téléphones portables entre 2015 et 2019. Mais, selon la fondation, ce nombre est loin d'être la réalité. « Il ne fait aucun doute que ce chiffre est un "grave sous-comptage", ne comptant que 44 agences, alors qu'au moins 2 000 agences disposent de ces outils. Beaucoup des plus grands services de police, dont New York, Chicago, Washington D.C., Baltimore et Boston, ont soit refusé les demandes d'enregistrement d'Upturn, soit n'ont pas répondu », a déclaré l'EFF.

Ce dernier estime que les fouilles médico-légales de téléphones portables sont de plus en plus courantes. La police de Las Vegas, par exemple, aurait examiné 260 % de téléphones portables en plus en 2018-2019 par rapport à 2015-2016. Les recherches seraient également souvent trop étendues. « Il arrive souvent que des données sans rapport avec les soupçons initiaux soient copiées, conservées et utilisées à d'autres fins par la suite. Par exemple, la police peut considérer que des données sans rapport avec le sujet sont "liées aux gangs" et les conserver dans une "base de données sur les gangs", dont les normes sont souvent vagues », estime l'EFF.

Selon lui, le fait de figurer dans une telle base de données peut facilement affecter les possibilités d'emploi futures des personnes concernées. Au regard de tout cela, l'EFF estime qu'il est temps d'exercer une surveillance sur les recherches téléphoniques de la police. « Plutôt que d'écouter une litanie de demandes d'accès spécial aux données personnelles de la part d'agences fédérales comme le FBI, le Congrès devrait exercer un contrôle sur les types d'accès inappropriés qui ont déjà lieu », a déclaré l'EFF. Ce dernier ajoute que la première étape consiste à commencer à garder une trace de ce qui se passe.

D'après l'EFF, le Congrès devrait exiger que les agences fédérales chargées de l'application des lois créent des journaux d'audit détaillés et des enregistrements d'écran des recherches numériques. En outre, il estime que les agences à l'échelle nationale devraient collecter et publier des informations agrégées sur le nombre de téléphones fouillés. Les agences devraient également divulguer les outils utilisés pour l'extraction et l'analyse des données. Toujours selon l'EFF, le Congrès devrait envisager d'imposer des limites strictes aux cas où les recherches avec consentement peuvent avoir lieu.

Il suggère également que ces recherches soient totalement interdites dans les situations de coercition élevée, comme les contrôles routiers. Enfin, l'EFF suggère certaines limites spécifiques qui devraient être fixées dans des situations moins coercitives. Notons qu'en décembre dernier, l'ACLU a accusé le FBI de s'introduire dans des dispositifs chiffrés. Il lui a ensuite intenté un procès pour le forcer à fournir plus d'informations sur son laboratoire de piratage.

Source : Rapport de l'EFF

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Sécurité : le Conseil de l'UE s'apprête à adopter une résolution visant à forcer l'introduction de portes dérobées au sein des applications de messagerie chiffrées pour lutter contre la pédophilie

Sécurité : une proposition de loi contre le chiffrement en cours de gestation au sein de la Commission de l'UE qui va la soumettre au cours de l'année pour lutter contre la pédophilie en ligne

L'Australie adopte son projet de loi anti-chiffrement sans amendements malgré les protestations de l'industrie technologique

Le Congrès US pourrait adopter EARN IT, le projet de loi qui met fin au chiffrement en ligne malgré l'opposition des entreprises technologiques

L'ACLU accuse le FBI de s'introduire dans des dispositifs chiffrés et lui intente un procès pour le forcer à fournir plus d'informations sur le laboratoire de piratage de l'agence fédérale

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 04/02/2022 à 18:48
Comment faisait-on avant internet ? A part déranger les utilisateurs dans leur vie privée, je ne vois pas ce que cette nouvelle loi va servir. En cas de soupçon, au lieu d'un espionnage de masse, faire appel à un juge pour mettre sur écoute par dérogation . Les écoutes doivent demeurer une exception. Et enplus, c'est plus discret qu'une loi qui annonce le total droit des communications.

Face à la recrudescence des morts par arme à feu aux Etats-Unis, il y a peut-être plus urgent à écouter. Je suis curieux de savoir combien il y a de meurtrier par rapport aux enfants battus. Pas qu'un enfant battu ne risque pas de mourir sous les coups, mais peut-être valide-t-on par cette loi un état de faits : des écoutes massives illégales.
5  0 
Avatar de Christian_B
Membre confirmé https://www.developpez.com
Le 12/02/2022 à 11:01
Prétexte, prétexte ...
Il me semble que la complexité du chiffrement était déjà limitée légalement aux USA.
Mais ça ne suffit pas à la NSA et autres sénateurs mégalomanes. Ils veulent espionner plus facilement, pour moins cher et accumuler encore plus de données.
De vrais malades mentaux.
Poursquoi ne pas interdire le https pendant qu'ils y sont ?

Tant pis pour la vie privée et même pour le bon fonctionnement de l'économie d'ailleurs, si c'est facile de pirater des données sur internet, ils ne seront pas les seuls à le faire, c'est déjà le cas d'ailleurs quand il n'y a pas une bonne protection, bien fait.
Le prétexte de la maltraitance (ou la pédophilie, ou les Big Tech ou ce qu'on voudra), c'est un peu gros pour espionner tout le monde. Pas nouveau, ça s'adresse aux simples d'esprit (assez nombreux malheureusement).

En réalité la répression des réseaux criminels sur internet se fait en les infiltrant (comme faux "client", etc). Quand aux "Big Tech", c'est un autre problème. Il s'agit de freiner leur domination et leurs pratiques abusives. Pas gagné mais il y a quand même aux E-U une tradition de lutte contre les monopoles. On verra.

Riana Pfefferkorn et d'autres on bien vu le problème.
4  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 04/02/2022 à 23:33
Un Internet sur le modèle chinois c’est-à-dire contrôlé par les gouvernements relève-t-il de l’inéluctable ?

Oui, parce qu'aucun gouvernements n'apprécie que l'on puisse se passer de lui.
Imaginez que l'on puisse discuter sur internet sans que l'Etat ne puisse censuré ou intervenir leurs est devenu insupportable.
J'en veut pour preuve les lois qui son voté et qui sont clairement anti-démocratique (mais elle passent ).
Et puis les arguments contre les Terroriste / Pédophile / Criminels, ils ont bon dos avec eux ils peuvent faire passer ce qu'ils veulent.

Que pensez-vous des portes dérobées d'un point de vue technique ? Est-ce une solution envisageable ?

Techniquement, le fait d'introduire une faille dans un système qui ce veut sécuriser, en espérant que personne de mal intentionné ne l'utilise, m'a toujours fait marrer.
Sinon, oui c'est tout à fait envisageable, mais pour cher nous dans l'UE, ça nécessiterai des modifications des lois puisqu'un prestataire de service ne pourrait plus être tenu responsable de sécurisé sont système, s'il doit laisser une porte ouverte pour les gouvernements .
3  0 
Avatar de sanderbe
Membre averti https://www.developpez.com
Le 05/02/2022 à 17:14
Bonjour

« Les sénateurs sont de retour avec le projet de loi EARN IT pour scanner chaque message en ligne, chaque document et ainsi mettre à mal la vie privée de chaque internaute »
dit l’EFF

Un groupe de législateurs a procédé à la réintroduction du projet de loi EARN IT qui « ouvre la voie à un système de surveillance massif géré par des entreprises privées chargées de casser le chiffrement », selon l’Electronic Frontier Foundation. Quel impact l’adoption dudit projet est-il susceptible d’avoir sur la vie privée des internautes ? Le rapport de l’Electronic Frontier Foundation donne des pistes.

Un Internet sur le modèle chinois c’est-à-dire contrôlé par les gouvernements relève-t-il de l’inéluctable ?
En Europe et en Amérique du Nord, la surveillance de masse se fait par délégation aux entreprises privées. Donc oui les gouvernements ont une forme de mains mise "indirect" . En Chine c'est directement l'état qui à la main mise directement ...

Que pensez-vous des portes dérobées d'un point de vue technique ?
C'est de la folie

Est-ce une solution envisageable ?
Pas du tout. Encore une fois le dogme de la bien-pensance et de la bien-pensance ... qui prennent le pas sur le bon sens. On en arrive à faire valider de aberrations limite dangereuses !

Comme déjà exposé sur d'autres topics, ce type de projet de loi nuit et est contreproductif au final
3  0 
Avatar de Christian_B
Membre confirmé https://www.developpez.com
Le 12/02/2022 à 11:13
Rien de changé sauf que l'Empire du bien mal progresse
3  0 
Avatar de sanderbe
Membre averti https://www.developpez.com
Le 12/03/2022 à 13:49
Bonjour

« Le projet de loi EARN IT pour scanner chaque message en ligne menace le chiffrement et donc la liberté des internautes », prévient l’EFF à propos du texte dont un équivalent est en gestation en UE

Un Internet sur le modèle chinois, c’est-à-dire contrôlé par les gouvernements, relève-t-il de l’inéluctable ?
En Europe / Amérique du Nord on est sur un modèle capitalistique. Donc c'est les entreprises comme les GAFAM qui se mettent à faire ce boulot au lieu des états. Bon la libéralisation du marché de la justice a commencé en même temps ^^

Que pensez-vous des portes dérobées comme solution à l'affaiblissement du chiffrement d'un point de vue technique ?
Le jour ou un citoyen / parfait inconnu mettra le doigt sur une faille, se sera le larbin de service qu'on pourra envoyer en prison ... Faire preuve de bon sens , de pragmatisme , d’esprit d'analyse mènera aussi en prison ?!

Puis après les politiques diront qu'on a prévenu personne ... Si seulement les couillons que sont certains politiques avaient pas eu un QI d'huitre . Les truands ne se pavaneraient pas en liberté et les innocents ne seraient pas en prison ...

Est-ce une solution envisageable ?
Surtout pas !
3  0 
Avatar de Christian_B
Membre confirmé https://www.developpez.com
Le 23/03/2021 à 20:12
Accessoirement à la discussion de fond, c'est quoi, dans l'article initial, ces
outils médico-légaux qui extraient des données
Les médecins sont devenus des cracks en décryptage? Ils soignent ceux qui veulent tout savoir sur tous? Ou ceux qui sont stressés par l'omnisurveillance?
On n'est pourtant pas ecore le premier avril.
2  0 
Avatar de sanderbe
Membre averti https://www.developpez.com
Le 12/02/2022 à 22:43
Bonsoir,

Le projet de loi EARN IT progresse au Sénat américain malgré les inquiétudes concernant la liberté d'expression, il pourrait interdire le chiffrement de bout en bout

Quel est votre avis sur le sujet ?
Comme exposé dans mes précédents posts. Nous avons affaire à des technocrates qui ne connaissent pas grand chose voir rien du tout ... La remise en cause du chiffrement ... On verra le jour ou des politiques se verront siphonner un "secret" ou une note "confidentielle" . Ils diront "merde si on avait su ?!" Bien il est trop tard ...

Que pensez-vous du projet de loi EARN IT ?
Que c'est un très mauvais projet . Une fois plus on va faire une chasse aux sorcières à l'encontre du quidam moyen, dont les contenus seront trop "exotiques". Pas illégaux. Juste "exotiques" et "personnelles" . Une photo un peu trop "perchée" , un message un peu trop "décalé" ...

Selon vous, les avantages d'EARN IT l'emportent-ils sur les risques potentiels ?
Non

Comment les plateformes en ligne pourraient-elles venir à bout des CSAM et de la pornographie non consensuelle ?
Pour attaquer le mal à la racine , c'est s'attaquer aux sites sur le dark web. Pas aux sites ou va M'sieur toutlemonde.

Cependant il faut beaucoup de moyen et d'argent ... pour pas forcement beaucoup de résultat. "Mais" comme à l'accoutumé , les politiques préfèrent être dans la communication à l'efficacité.
2  0 
Avatar de Christian_B
Membre confirmé https://www.developpez.com
Le 23/03/2021 à 20:16
Accessoirement à la discussion de fond, c'est quoi, dans l'article initial, ces
outils médico-légaux qui extraient des données
Les médecins sont devenus des cracks en décryptage? Ils soignent ceux qui veulent tout savoir sur tous? Ou ceux qui sont stressés par l'omnisurveillance?
On n'est pourtant pas encore le premier avril.
1  0 
Avatar de Nym4x
Membre habitué https://www.developpez.com
Le 04/02/2022 à 20:34
C'est n'importe quoi : les pédophiles passent par du peer to peer et le réseau tor, pas Amazon, Facebook ou google... Comme d'habitude on se sert d'un sujet grave en prétexte afin de faire passer l'inacceptable mais le vrai objectif c'est de ficher en masse y compris les opinions politiques.
1  0