Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Inde : une proposition de loi sur la régulation du chiffrement
Suscite la controverse

Le , par Stéphane le calme

0PARTAGES

3  0 
Le gouvernement indien voudrait s’assurer que ses forces de l’ordre puissent avoir facilement accès à des informations chiffrées. « Sous la section 84A de la loi sur les Technologies d’Information, les règles doivent être encadrées afin de prescrire des modes ou des méthodes pour le chiffrement », a expliqué le gouvernement. Aussi, un groupe d’experts a été constitué par le département de l’électronique et des technologies d’information (DeitY) pour établir un projet de loi sur les politiques de chiffrement.

Ce projet de loi se donne pour mission « d’assurer la confidentialité de l’information dans le cyber espace pour les particuliers, la protection des informations sensibles ou propriétaires des particuliers et des entreprises, assurer la fiabilité et l’intégrité continues des systèmes d’informations critiques et des réseaux nationaux ». Un objectif somme toute louable. Mais qu’en est-il en réalité ?

Au niveau institutionnel, les transactions sur les sites d'e-commerce, les transactions bancaires et les services gouvernementaux en ligne utilisent le chiffrement pour protéger les données personnelles, comme le font d’ailleurs plusieurs sites qui stockent des données de l'utilisateur à l’instar de Facebook et de Google, pour ne citer que ceux-là. Au niveau individuel, les réseaux privés virtuels (VPN), ou des applications de messagerie sécurisées sont quelques exemples de technologies de chiffrement. De par le monde, nombreux sont les militants qui cherchent à chiffrer leurs échanges numériques pour éviter l’espionnage exercé par des régimes répressifs.

Pranesh Prakash, Policy Director au Center for Internet and Society basé à Bangalore, a traité la proposition de « mauvaise idée conçue par des gens qui ne comprennent pas le chiffrement ». Le projet de loi indique que les fournisseurs de service utilisant des technologies de chiffrement ou ceux qui fournissent de tels services en Inde « doivent conclure une entente avec le gouvernement pour fournir de tels services en Inde. Prakash estime « qu’une telle politique nécessiterait que des dizaines de milliers de sites viennent à conclure un accord avec le gouvernement de l'Inde. Est-ce que le gouvernement a la capacité de faire entrer en vigueur ces nombreux accords ? »

Il a fait référence à l’article qui prévoit que les utilisateurs « doivent reproduire les paires de texte en clair et texte chiffré. Toutes les informations doivent être conservées par les entités concernées B / C (Business / Citoyen) sur une période de 90 jours à compter de la date de transaction et mises à la disposition des forces de l’ordre dès lors qu’elles sont exigées conformément aux dispositions des lois du pays ».

Pour Prakash, « cela signifie que si quelque chose comme Ashley Madison devait exister en Inde, ils doivent garder les mots de passe en texte clair (non chiffrés, et donc vulnérables) avec eux pendant 90 jours. Cela pose un problème. En outre, certaines formes de chiffrement ne maintiennent pas des journaux qui pourraient être stockés par les utilisateurs. Le groupe qui a émis cette proposition ne l’a pas pris en considération ».

« Le gouvernement doit comprendre que les connaissances et l'expertise des citoyens ordinaires peuvent être insuffisantes pour comprendre les nuances du chiffrement », a expliqué Na Vijayashankar, expert en droit numérique. « Bien que les citoyens soient indirectement touchés par la politique mise en œuvre par le gouvernement ou les utilisateurs professionnels, les citoyens ne peuvent pas à ce niveau assumer la responsabilité à la conformité directe de cette politique étant donné que leur ignorance sera exploitée par des intermédiaires pour des gains ».

« S’attendre à ce que les utilisateurs et les entreprises conservent la combinaison texte en clair / texte chiffré est non seulement ridicule mais aussi dangereux », a avancé Sandesh Anand, un professionnel de la sécurité. « Ridicule parce que cela signifie que des téraoctets de données seront conservés et récupérés sur une simple injonction. Dangereux parce que le but du chiffrement est (parfois) de s’assurer que le texte en clair ne soit pas accessible, à moins qu’un déchiffrement ne soit effectué. Ainsi, dans les cas où le chiffrement est utilisé pour stocker des données sensibles en toute sécurité, les termes de ce projet de loi affaiblissent la sécurité ».

Mahendra Palsule, un éditeur au sein de l’agrégateur Techmeme, estime que « le projet de loi national sur le chiffrement en Inde pourrait très bien être un projet qui énonce la vision de la NSA / GCHQ ».

Mais le projet a également ses défenseurs. Krupakar Manukonda, un ingénieur logiciel, a estimé que « le gouvernement ne vous demande pas de transférer inconditionnellement vos informations privées. S’il a un soupçon, il vous demandera simplement de lui présenter un contenu non chiffré. Est-ce que le gouvernement peut décider des règles autour du chiffrement ? Oui, conformément à la loi Informatique, il le peut. Je ne vois pas comment des agences de sécurité peuvent fonctionner sans qu’il y ait un certain contrôle sur les communications ».

Il faut préciser que « ce projet de loi n’est pas applicable aux ministères / organismes sensibles du gouvernement désignés pour effectuer des rôles sensibles et stratégiques ».

Source : projet de loi (au format PDF), billet de Na Vijayashankar, billet de Sandesh Anand, tweet de Pranesh Prakash, tweet de Mahendra Palsule, tweet de Krupakar Manukonda

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de RyzenOC
Inactif https://www.developpez.com
Le 21/09/2015 à 21:08
A quoi sa sert de chiffrer les données si tous le monde peut y avoir accès ?

Vraiment je ne comprendrait jamais pourquoi les politiciens s'en tête a compromette la sécurité des entreprises.
3  1 
Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 21/09/2015 à 20:11
Quelque part, c’est un peu rassurant: il n’y a pas qu’en France que la classe politique est incompétente au regard des problématiques du numérique…

Pourtant, je m’était laissé dire qu’en Inde ils avaient l’esprit « Matheux » ; dans le cryptage, ya quand même pas mal de Math, non ?!!
Au moins cela aurrait pu leur donner une meilleure analyse et compréhension...
1  0 
Avatar de
https://www.developpez.com
Le 22/09/2015 à 10:37
Citation Envoyé par sazearte Voir le message
A quoi sa sert de chiffrer les données si tous le monde peut y avoir accès ?

Vraiment je ne comprendrait jamais pourquoi les politiciens s'en tête a compromette la sécurité des entreprises.
Sûrement un rapport avec la base des clés public de HTTPS et de celles des autres outils de cryptographie. Bien que cela reste très incohérent.
C'est comme dire que votre F.A.I. est gestionnaire des clés de cryptages de votre réseaux privés et systèmes persos, autant ne pas en avoir de cryptage.
0  0