Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Angleterre : un projet de loi expose à la prison les dirigeants IT
Qui avertissent les utilisateurs sur les activités d'espionnage du gouvernement

Le , par Olivier Famien

0PARTAGES

5  0 
Dans le but de renforcer sa politique de sécurité, les entreprises telles que Google, Facebook, Twitter ont amendé leurs règles de sécurité afin d’alerter les utilisateurs victimes d’attaques ou de compromission de leurs comptes lorsque celles-ci sont menées par des individus ou groupes d’individus parrainés par des États.

En plus, Twitter ajoute dans sa politique de confidentialité que même les demandes de données effectuées par les entités étatiques seront notifiées aux utilisateurs, à moins qu’il soit légalement contraint de ne pas le faire.

Apparemment ces mesures qui ont été bien accueillies par les utilisateurs ne sont pas du gout des autorités anglaises. En effet, les instances dirigeantes britanniques souhaitent sanctionner ces actions et ont introduit une nouvelle disposition dans le projet de loi Investigatory Powers Bill présenté pour la première fois devant la Chambre des communes anglaise en novembre dernier.

Selon les nouvelles notes introduites, un prestataire de service de communication n’a pas le droit de notifier à une entité faisant l’objet d’une enquête qu’une demande d’accès à ses données a été effectuée à moins qu’une autorisation expresse ait été accordée de le faire. En cas de contravention à cette loi, cette entité risque une peine de prison allant jusqu’à deux ans maximum.

Selon Antony Walker, directeur général adjoint de techUK, « en empêchant les entreprises de notifier les consommateurs sur les demandes d’accès aux données, le projet de loi Investigatory Powers Bill risque d’être en décalage avec les directives du droit international ».

Pour ce dernier, cette loi est contreproductive et « rendra la coopération entre les juridictions plus difficile et pourrait freiner le partage d’informations entre les agences internationales ».

Nous rappelons que depuis la présentation de ce projet de loi en novembre dernier par le ministre de l’Intérieur anglais, Theresa May, plusieurs voix se sont élevées pour dénoncer ses dispositions.

Dans la première mouture proposée sous RIPA (Regulation of Investigatory Powers Act 2000), il était demandé aux entreprises IT d’introduire des backdoor dans leurs systèmes afin de permettre aux agences britanniques d’y accéder facilement.

Bien que cette disposition ait été expurgée de la nouvelle proposition présentée par May, il n’en demeure pas moins que plusieurs autres articles continuent de susciter de vives critiques dans la communauté IT.

Et pour cause, le projet de « loi actuelle exige que les entreprises soient en mesure de fournir un accès ciblé, sujet à un mandat, aux communications de ceux qui cherchent à commettre des crimes ou à causer de graves dommages au Royaume-Uni ou à ses citoyens » a indiqué Baroness Shields, la ministre de la Sureté et de la Sécurité internet, devant la Chambre des Lords.

Pour plusieurs entreprises, cette mesure serait difficile à appliquer sans mettre à mal le chiffrement bout en bout adopté par certaines entreprises comme Apple qui soutient qu’elle n’est pas en mesure de déchiffrer les données sur ses systèmes iOS récents.

À côté de cet article, nous avons d’autres propositions qui permettent par exemple à la police de déployer des logiciels de filtre afin d’analyser automatiquement et collecter les données personnelles détenues par les entreprises de communication.

Selon les explications premières fournies par ses initiateurs, ce projet de loi vise à lutter contre le terrorisme.

Source : The Telegraph

Et vous ?

Que pensez-vous de cette nouvelle disposition ?

Est-ce utile de brandir la menace de prison afin de faire coopérer les entreprises IT ?

Voir aussi

Forum Actualités

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de gretro
Membre actif https://www.developpez.com
Le 31/12/2015 à 21:03
Je trouve que les États vont déjà nettement trop loin afin de supposément contrer le terrorisme, sans pour autant que la situation ne s'améliore. En rajouter n'aide certainement pas la situation selon moi.

Il y a un équilibre à avoir entre sécurité et liberté qui a été dépassé depuis belle lurette. J'appuie les entreprises qui font de l'encryption de bout en bout. Si c'était mon entreprise, c'est la solution que je choisirais.
4  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 02/01/2016 à 3:10
Citation Envoyé par TiranusKBX Voir le message
oh ! une loi qui sert à rien, vus que les personnes ne sont prévenus que en cas d'espionnage illicite, intrusion ou vol de données.
c'est dingue à quel points plusieurs personnes de suite peuvent lire les informations de travers et comprendre autre chose
Pas tout à fait, vu que justement le deuxième paragraphe de l'article mentionne que Twitter compte le faire aussi pour les demandes officielles, si tant est que la loi ne l'interdit pas.

Moi, ce que j'en vois, c'est donc que les entreprises IT tentent de prévenir les utilisateurs en cas de suspicion d'espionnage, voire aussi en cas d'espionnage confirmé par une demande officielle si la loi ne l'interdit pas. De là, les anglais établissent une loi qui interdit de faire savoir qu'une demande d'espionnage (on parle donc d'espionnage confirmé) a été formulée sans en avoir l'autorisation expresse, ce qui revient à poser justement des limites légales au cas Twitter. Le cas espionnage suspecté n'est donc pas concerné, puisqu'aucune demande n'est faite dans ce cas et donc la loi ne s'applique pas.

Je ne vois donc aucun problème ici : si le gouvernement joue le jeu en demandant officiellement à l'entreprise des données privées (si tant est qu'il faille passer par un juge pour cela) alors on est dans le cadre d'une enquête licite et l'entreprise se doit donc de protéger le secret de l'enquête. Il y a même une certaine marge car il reste possible d'obtenir une autorisation d'après la loi. Dans le cas d'un espionnage potentiellement illégal, ne menant à aucune demande officielle, l'entreprise peut mettre ses utilisateurs en premier plan, la loi n'interdisant pas de spéculer sur la possibilité d'un espionnage (ce serait un comble).
3  0 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 18/07/2016 à 16:25
Citation Envoyé par Matthieu Vergne Voir le message
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté
Je vais te faire bouffer ma signature .



Plusieurs solutions :
  • étendre SSL/TLS pour envoyer le pre-master secret lors de l'échange, et chiffré avec une des clé publique d'un organisme de sécurité (donc envoyé le pre-master secret autant de fois qu'il y a d'organismes).
  • utiliser un serveur de transchiffrement (encore très coûteux actuellement si je ne m'abuse) ;


Ce que tu proposes ne me semble pas réalisable pour le moment, en gros, il faudrait un problème mathématique facile à poser en connaissant les solutions, mais dont les solutions sont difficiles à retrouver, mais en plus, que connaissant une solution, on ne puisse retrouver les autres.
4  1 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 20/07/2016 à 10:29
Citation Envoyé par Matthieu Vergne Voir le message
Il n'est pas question de réduire à ceci ou à cela. La politique est une chose, la technique en est une autre. La politique peut dire ce qu'elle veut, si elle ne dispose comprend pas de la technique pour le faire ça ne sert à rien. De la même façon, si la technique offre des outils (qui à ce moment là sont tout aussi bien accessible pour de bonnes comme de mauvaises intentions), il convient d'en discuter les effets et les confronter aux valeurs qu'on souhaite mettre en avant. Il n'y a pas plus de raison de réduire le débat à de la technique seule qu'il n'y en a à le réduire à de la politique seule. Les deux sont importants et complémentaires.
On peut réduire le débat au seul technique lorsqu'on est en phase d'analyse. Ça ne sert à rien de voter une loi qui dit que la terre est carrée si elle est ronde en vérité. A ce stade de discussion on peut opposer des arguments techniques/scientifiques.

Il s'agit donc d'abord de comprendre de quoi on parle. Aller sur Amazon et commander un livre c'est utiliser le chiffrement de bout en bout.

Une fois qu'on comprend bien le cadre de la discussion (poser les définitions), là tu peux faire des débats pour savoir comment encadrer tout ça par la loi.

Ce principe de base de sagesse n'est pas respecté par les politiciens qui parlent à tord et à travers de choses qu'ils ne comprennent même pas d'un point de vue macro. Et en plus ils sont chargés de définir ce qu'on a pas le droit de faire. C'est formidable.
3  0 
Avatar de progdebutant
Membre habitué https://www.developpez.com
Le 02/01/2016 à 3:59
Et pour cause, le projet de « loi actuelle exige que les entreprises soient en mesure de fournir un accès ciblé, sujet à un mandat, aux communications de ceux qui cherchent à commettre des crimes ou à causer de graves dommages au Royaume-Uni ou à ses citoyens » a indiqué Baroness Shields, la ministre de la Sureté et de la Sécurité internet, devant la Chambre des Lords.
Si tu réunis les parties en gras, cela fait une mesure permettant de combattre les citoyens qui feraient des actions ou des écrits contre l'état pour s'opposer à une éventuelle dictature de celui-ci.
Il suffirait que l'état, une fois cette loi passée, considère ceux qui s'élève contre lui comme étant des terroristes tout en se considérant lui-même (ou les membres du gouvernement) comme citoyens.

EDIT : J'ai mieux résumé ma phrase.
2  0 
Avatar de Hizin
Modérateur https://www.developpez.com
Le 04/01/2016 à 11:41
C'est pour ça que j'ai mis le "débattable" sur ce point.
Je me suis remis à jour suite à ta réponse, et il semblerait qu'il faille l'accord écrit (obligatoire) de l'occupant au cas où le juge n'est pas sollicité. J'ai écrit des détails dépassés, je m'en excuse.

Source : https://www.service-public.fr/partic...sdroits/F32326
2  0 
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 18/07/2016 à 13:29
Ce qui est dit par les partisants de la loi, c'est qu'on peut autoriser le chiffrement de bout en bout, à condition de prévoir un accès réservé aux autorités en cas de mandat.
=> porte dérobée, justement. Quand tu chiffres de bout en bout, tu ne peux pas déchiffrer...

Si les pirates n'étaient pas si doués, ça pourrait s'accepter. Mais une backdoor, ça se trouve et ça s'exploite... Je suis pas contre si il y a mandat du juge, mais je trouve ça difficilement réalisable.
2  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 18/07/2016 à 13:57
Citation Envoyé par Matthieu Vergne Voir le message
Il faudrait un algo de cryptage à multiples clés privés, ou un truc du style, l'idée étant que ça puisse être décrypté par tous ceux disposant d'une seule des bonnes clés, les services de renseignement en ayant une mais pas le pirate, qui devra donc encore chercher.
Ce qui n'existe pas.

La seule solution reste que les clefs privées soient systématiquement enregistrées par un organisme d'état ce qui est impossible à imposer tant que les utilisateurs sont admins de leurs machines.

Mais bref, tout ça c'est n'imp, ils ne savent même pas de quoi ils parlent.

Je suppose que les entreprises qui vendent leurs produits en ligne vont gentiment leur tomber dessus pour leur expliquer que si le commerce électronique existe, c'est justement grâce au chiffrement de bout en bout. Pas de chiffrement de bout en bout = pas de commerce électronique possible.

Tout ça c'est du vent, aucune inquiétude à avoir c'est parfaitement impossible en mettre en oeuvre !
2  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 19/07/2016 à 17:11
Citation Envoyé par Matthieu Vergne Voir le message
J'ai jamais dit que j'étais un expert du sujet (je ne le suis d'ailleurs pas). Mais je pense aussi que ce serait un sujet de recherche intéressant pour éviter justement que les particuliers ait l'obligation de fournir leurs propres clés, qui impliquerait :
- de mettre en place la logistique nécessaire pour les récupérer, y compris quand ils en changent,
- de devoir tous les stocker,
- de devoir s'assurer que c'est bien celle là qu'ils utilisent et pas une autre.
Tu te rends compte que c'est impossible tant que les utilisateurs sont administrateurs de leurs machines ?

Le but c'est d'empêcher les terroristes d'utiliser des solutions de chiffrement. Pour pouvoir les empêcher d'utiliser les logiciels qu'ils veulent il faut les empêcher d'être administrateurs de leurs machines. Il n'y a aucune autre alternative technique. Autant pisser dans un violon dans la mesure où il y a de nombreuses implémentations d'algos de chiffrement de qualité militaire fiables en opensource depuis 20 ans (affaire PGP).

Tu n'empêcheras personne de recompiler les sources et d'installer un binaire. A partir de là c'est mort.

L'approche française sur ce sujet est la suivante :


Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.
En gros, si tu fournis un moyen de chiffrement à un tiers, que tu possèdes la clef de déchiffrement et que ce tiers a commis un crime ou un délit, le tarif c'est maxi 3 ans de taule et 270K € amende.
Si un déchiffrement à priori aurait permis d'éviter le crime ou le délit on passe à 5 ans et 450K.

Notez le "pour quiconque ayant connaissance de la convention secrète de déchiffrement", si tu n'as pas la clef tu ne peux pas être accusé.

Une variante pourrait être de faire porter la responsabilité pénale sur le fournisseur de service, ce qui les forcerait à conserver les clefs. Ça ça serait déjà plus réaliste bien que totalement inefficace (il suffirait d'utiliser des softs maisons plutôt que des softs Apple par ex).
2  0 
Avatar de progdebutant
Membre habitué https://www.developpez.com
Le 31/12/2015 à 22:51
Et même s'il l'interdisait, ce serait une interdiction territoriale, ce qui a peu d'impact contre un groupe criminel.
Ils s'en f...... des criminels, c'est seulement pouvoir espionner les gens qui les intéressent.
C'est en prévision d'un futur coup de leur part (des autorités), ils préparent le terrain doucement, de mesures en mesures, grâce aux attentats auxquels ils ont participé à l'élaboration ou à leurs autorisations.
(Bouuuh... "le complotiste !"
(Vous savez pourquoi je mets le mot entre guillemets, c'est parce que les complotistes ne sont pas ceux qui dénoncent les complots, encore une tromperie sur les mots de leur part)
3  2