Les backdoors du FBI n’aideront personne - pas même le FBI
Le FBI a récemment fait l'actualité avec sa campagne visant à obliger les entreprises technologiques à modifier leurs méthodes de cryptage. Comment fonctionne le cryptage et est-il vraiment sans danger? Comment fonctionne le cryptage et est-il vraiment sûr? Lisez Plus pour faciliter l'exploration des messages des utilisateurs. Selon le FBI, il s'agit d'un changement de sens commun: après tout, les criminels s'appuient sur ces services cryptés pour communiquer en secret et la constitution leur donne le droit de saisir des informations (telles que des lettres et des documents) lorsqu'un mandat légal est présenté..
Alors pourquoi ne pas donner au FBI la possibilité de lire des documents cryptés?
Si nous ne prenons pas ces mesures, le FBI avertit que les criminels et les terroristes continueront à «faire taire» - à transférer leur trafic sur des plates-formes de messagerie anonymes qui ne peuvent être surveillées avec précision. Cela, disent-ils, laisse la balance du pouvoir entre les mains de personnes mauvaises. Le gouvernement du Royaume-Uni a également lancé des avertissements aussi sévères. Pourquoi Snapchat et iMessage pourraient-ils vraiment être interdits au Royaume-Uni? Pourquoi Snapchat & iMessage pourraient-ils vraiment être interdits au Royaume-Uni? le cryptage des messages serait interdit si son parti obtenait la majorité lors de la prochaine élection générale. Lire la suite .
Selon le directeur du FBI, James Comey:
“M.O. ISIL est de diffuser sur Twitter, incitez les gens à les suivre, puis déplacez-les vers la messagerie directe Twitter” pour évaluer si elles sont une recrue légitime, il a dit. “Ensuite, ils les déplaceront vers une application de messagerie mobile cryptée afin qu'ils ne nous suivent pas..”
Le FBI ne fait pas non plus de bavardages inutiles. La prochaine bataille dans la guerre de la protection de la vie privée se déroule, en grande partie en secret, chez Apple, Inc. Le PDG, Tim Cook, a fait des déclarations de plus en plus fâchées sur la confidentialité des utilisateurs, notamment:
“Il y avait des rumeurs et des choses écrites dans la presse selon lesquelles les gens avaient des portes dérobées vers nos serveurs. Rien de tout cela n'est vrai. Zéro. Nous ne permettons jamais que cela se produise. Ils devraient nous mettre dans une boîte avant de le faire..”
Des rumeurs circulent depuis un moment sur le fait que le FBI tente de faire pression sur la société pour qu’elle ajoute “portes dérobées” au chiffrement de leurs produits et services (comme l'iPhone et iMessaging). Maintenant, il y a des preuves publiques que cela se produit. Le ministère de la Justice a adressé une ordonnance judiciaire à Apple, exigeant qu’elles remettent des journaux de messagerie en temps réel entre deux suspects dans une affaire de crime d’armes et de drogue. Apple a refusé, affirmant qu’ils ne pouvaient même pas déchiffrer le chiffrement de l’utilisateur..
Le FBI et le DoJ ont répondu qu'ils envisageaient d'engager des poursuites judiciaires contre Apple - vraisemblablement pour tenter d'obtenir une ordonnance du tribunal obligeant la société à détourner leur cryptage. ZDNet avertit que si cela se produit, Apple pourrait être obligée de capituler. Ce ne serait pas la première fois que quelque chose comme cela se produirait: en 2014, Yahoo a enfin été en mesure de discuter de ses relations secrètes avec la cour FISA avec PRISM, le programme de surveillance du gouvernement révélé par Edward Snowden Hero ou Villain? La NSA modère-t-elle sa position sur le héros ou le méchant de Snowden? La NSA modère sa position sur le lanceur d'alerte de Snowden Edward Snowden et John DeLong de la NSA ont participé à un symposium. Bien qu'il n'y ait pas eu de débat, il semble que la NSA n'ait plus peint Snowden en traître. Qu'est-ce qui a changé? Lire la suite, au début des années 2000. Quand il a refusé de divulguer les informations des utilisateurs, Yahoo a dû faire face à des amendes énormes et secrètes: 250 000 USD par jour, soit le double par mois. Pour rappel, l'amende quotidienne aurait dépassé les 74 milliards de dollars de PIB mondial en un peu plus de deux ans.
Problèmes d'implémentation
Même en ignorant les diverses préoccupations morales et constitutionnelles liées à ce genre de choses, la proposition soulève également de nombreux problèmes techniques. Depuis que le FBI a commencé à réclamer le cryptage en arrière-plan, un certain nombre de chercheurs en sécurité se sont manifestés pour signaler certaines failles fondamentales du concept dans son ensemble..
Pour commencer, tout expert en sécurité grand public vous dira que le “backdoors sécurisés” que Comey veut n'existent pas réellement. Le directeur de la Commission fédérale du commerce a déclaré que cette proposition était une mauvaise idée. Il n’ya aucun moyen de laisser une porte dérobée dans un schéma de chiffrement fort sans endommager sérieusement la sécurité globale. Cryptosystèmes ayant cette propriété simplement n'existe pas. La cryptographie n'est pas quelque chose qui peut être voulu existe.
TechDirt a un très bel article déchirant cette idée. Une citation de choix:
“[Je] suis assez renversant que Comey continue d’insister pour que ces esprits brillants de la Silicon Valley puissent saupoudrer de la poussière magique de lutins et lui donner ce qu’il veut, mais prétend en même temps trop difficile pour que le FBI puisse réellement quantifier l’importance du problème du cryptage dans ses enquêtes. En outre, il ne peut même pas fournir un seul exemple du monde réel pour où le cryptage a été un réel problème.”
Même si un tel système pouvait être créé, il y a un autre défaut grave: nous donnerions cette clé à la gouvernement. Le même gouvernement qui ne peut même pas garder ses propres dossiers personnels en toute sécurité Qu'est-ce que le piratage OPM et que signifie-t-il pour vous? Qu'est-ce que le piratage OPM et que signifie-t-il pour vous? Depuis plusieurs semaines, les nouvelles du Bureau de la gestion du personnel (OPM) s’aggravent de plus en plus, après un piratage aux proportions historiques. Mais que s'est-il réellement passé et que pouvez-vous faire à ce sujet? Lire la suite et passé des mois ou des années sans s'apercevoir qu'ils avaient été piratés. Edward Snowden, un entrepreneur, est sorti avec des détails sur les transactions les plus sensibles de la NSA. Combien d'heures pensez-vous qu'il faudrait au gouvernement chinois pour obtenir une copie de la clé? Comment trouver des sites actifs d'oignons (et pourquoi vous voudrez peut-être) Comment trouver des sites actifs d'oignons (et pourquoi vous voudrez peut-être) Les sites d'oignons sont hébergés sur le réseau Tor. Mais comment trouvez-vous les sites Onion actifs? Et quels sont ceux que vous devriez aller? En savoir plus et tout pirate informatique semi-compétent peut accéder au compte bancaire de quiconque? Les normes de sécurité informatique au sein du gouvernement américain ne sont même pas assez bonnes pour leur confier la sécurité de l'ensemble de l'Internet.
Faux Buts
Il y a cependant un problème plus vaste qui va droit au cœur de l'argumentation: à savoir que ces sortes de portes dérobées ne résolvent pas réellement le problème qui est censé préoccuper le FBI. La justification du FBI repose sur des menaces sérieuses - pas des affaires de drogue et des voleurs de sac à main, mais des terroristes et des trafiquants d’êtres humains. Malheureusement, ce sont les personnes qui seront le moins touchées par ces backdoors.
Les terroristes et les criminels n'ignorent pas le cryptage. Ceux qui utilisent le cryptage le font exprès pour éviter la surveillance. C'est naïf de penser qu'ils ne remarqueront pas quand le FBI réussira à avoir une sorte de porte dérobée. Les terroristes et les marchands d'armes ne vont pas simplement continuer à utiliser un iMessenger en porte-à-porte - ils vont basculer vers des programmes de chat cryptés. Comment sécuriser et chiffrer vos chats de messagerie instantanée Comment sécuriser et chiffrer vos chats de messagerie instantanée Voir plus développé dans d'autres pays, ou à des logiciels libres dont ils peuvent vérifier la sécurité. Ceux qui sont vulnérables aux portes dérobées seront ceux qui sont trop mal informés pour utiliser une meilleure sécurité informatique - alias petits délinquants et la plupart des citoyens respectueux des lois..
Les backdoors cryptographiques sont beaucoup plus utiles pour surveiller votre grand-mère que pour ISIL, et le FBI le sait fort probablement. Prenez donc leurs avertissements concernant les terroristes avec un grain de sel de la taille de l’Utah.
Bien entendu, le FBI soutiendra qu’aucun problème de protection de la vie privée n’est soulevé pour les citoyens respectueux de la loi. Après tout, ils auraient toujours besoin d’un mandat pour pouvoir accéder à ces informations, tout comme pour fouiller votre maison ou votre classeur. Cependant, ce ne sont pas les jours innocents et mal informés avant les fuites de Snowden.
Nous connaissons l'existence de tribunaux secrets qui émettent des mandats secrets fondés sur des preuves secrètes. Ces tribunaux ne refusent pas de délivrer des mandats, car ce n'est pas leur but. Ils sont des tampons en caoutchouc dans tous sauf le nom. Nous demander de faire confiance à notre vie privée pour un tel système, c'est insulter activement..
Voici l'expert en sécurité Bruce Schneier Expert en sécurité Bruce Schneier sur les mots de passe, la confidentialité et la confiance Expert en sécurité Bruce Schneier sur les mots de passe, la confidentialité et la confiance En savoir plus sur la sécurité et la confidentialité dans notre entretien avec l'expert en sécurité Bruce Schneier. Read More exprime un point de vue similaire sur son blog, Schneier on Security,
“Imagine que Comey ait eu ce qu'il voulait. Imaginez qu'iMessage, Facebook, Skype et tout ce qui existe aux États-Unis aient sa porte dérobée. L'agent de l'EIIL dirait à sa recrue potentielle d'utiliser quelque chose d'autre, quelque chose de sécurisé et de fabrication non américaine. Peut-être un programme de cryptage de la Finlande, de la Suisse ou du Brésil. Peut-être les secrets des Moudjahidines. Peut-être quelque chose.”
Une histoire de surveillance
Ce n'est pas la première fois que divers organismes gouvernementaux tentent quelque chose comme ça. Dans les années 1990, l’administration Clinton tenta de forcer l’industrie de la technologie à installer du matériel de surveillance dans ses appareils - le soi-disant “Clipper Chip,” qui permettrait aux organismes gouvernementaux de contourner le cryptage fort.
Dans ce cas également, des vulnérabilités ont été découvertes dans le système, ce qui rend les périphériques moins sécurisés et permet aux criminels de les contourner dans tous les cas. La proposition a été rejetée. Dans une analyse appelée “Keys Under Doormats: rendre obligatoire l'insécurité en obligeant le gouvernement à accéder à toutes les données et communications,” Plus d'une douzaine de chercheurs en sécurité estiment que la nouvelle proposition serait encore pire. De l'abstrait:
“Il y a vingt ans, les organismes chargés de l'application de la loi avaient exercé des pressions pour que les services de données et de communication élaborent leurs produits afin de garantir à toutes les données l'accès. Après de longs débats et une prédiction vigoureuse de la noirceur des canaux de contrôle, ces tentatives de régulation de l'Internet émergent ont été abandonnées.
Dans les années qui ont suivi, l’innovation sur Internet a été florissante et les organismes d’application de la loi ont trouvé de nouveaux moyens plus efficaces d’accéder à des quantités beaucoup plus importantes de données. Aujourd'hui, nous entendons à nouveau des appels à la réglementation pour imposer la mise en place de mécanismes d'accès exceptionnels..
Dans ce rapport, un groupe d'informaticiens et d'experts en sécurité, dont beaucoup ont participé à une étude de 1997 sur ces mêmes sujets, s'est réuni pour explorer les effets probables de l'imposition de mandats d'accès extraordinaires. Nous avons constaté que les dommages pouvant être causés par des exigences exceptionnelles en matière d'accès par les forces de l'ordre seraient encore plus importants aujourd'hui qu'ils ne l'auraient été il y a 20 ans..”
Trop pour trop peu
Pour résumer: les backdoors de cryptage sont une mauvaise idée, techniquement et pratiquement. Ils ne résolvent pas les gros problèmes des forces de l'ordre, mais ils en créent de nouveaux pour les consommateurs et ceux qui dépendent de la sécurité. Les imposer à l'industrie coûtera très cher, et nous n'obtiendrons presque rien en retour. Ils sont une mauvaise idée, proposée de mauvaise foi. Et, avec un peu de chance, la clameur croissante des voix contre l'idée les arrêtera une fois de plus.
Qu'est-ce que tu penses? Le gouvernement devrait-il avoir le pouvoir de compromettre le cryptage? Faites-nous savoir vos pensées dans les commentaires!
Crédits d'image: blocage de la porte par Mopic via Shutterstock
En savoir plus sur: confidentialité en ligne, sécurité en ligne, surveillance.