Plusieurs fois par an, nous sommes confrontés à des appels massifs pour une idée vraiment ridicule :créer des portes dérobées de chiffrement accessibles par le gouvernement.
Il y a un soutien constant de la part des législateurs et des agences gouvernementales TLA. Les appels sont plus forts lorsqu'une atrocité terroriste tue des innocents. Mais comme je vais vous le montrer, le cryptage est essentiel dans la vie de tous les jours et pour faire fonctionner Internet comme vous l'aimez et le savez :ouvert et gratuit.
Dans sa forme la plus simple, le cryptage est la transformation d'un texte intelligible en un flot de charabia. Il existe de nombreuses façons de chiffrer les données. Les mathématiques transformatrices s'appellent un algorithme de chiffrement , et ne doit laisser aucune indication sur la manière dont les données ont été chiffrées (c'est plus facile à dire qu'à faire dans le monde d'aujourd'hui).
La plupart d'entre nous utilisons quotidiennement une forme de cryptage.
Avez-vous WhatsApp votre partenaire ce matin? Vous avez envoyé un message en utilisant le cryptage de bout en bout. Que diriez-vous de votre portail bancaire en ligne? Il utilise probablement une clé AES 256 bits au minimum. Vous en voulez un autre ? Chaque fois que vous effectuez un paiement électronique en ligne, le cryptage assure la sécurité de cette transaction.
En un mot, le cryptage maintient vos données privées et personnelles extrêmement sécurisées de presque tous ceux qui veulent les voir.
L'une des caractéristiques les plus puissantes du cryptage est son application universelle. Les algorithmes de cryptage sécurisés et testés ne sont que cela :essentiellement incassables. Incassable pour vous et moi, mais aussi incassable pour les agences gouvernementales. Signifiant n'importe qui peuvent protéger leurs données, peu importe qui ils sont.
Ainsi, des individus et des organisations peu scrupuleux peuvent mener des affaires illicites sans ingérence du gouvernement. De plus, les données interceptées, avant ou après coup, sont inutiles.
Il existe plusieurs arguments clés en faveur de cryptage fort, sans portes dérobées du gouvernement.
Les citoyens ont droit à la vie privée. En fait, au Royaume-Uni, nous avons "le droit au respect de votre vie familiale et privée, de votre domicile et de votre correspondance". C'est l'article 8 de la loi de 1998 sur les droits de l'homme. Aux États-Unis, le quatrième amendement garantit "le droit du peuple... contre les perquisitions et les saisies abusives". Le chiffrement est un outil essentiel qui protège ces droits.
De plus, le cryptage protège les communications privées des journalistes d'investigation, des manifestants, des dissidents, des ONG dans les pays répressifs, et même de votre avocat, lorsqu'il s'agit d'une affaire judiciaire importante ou sensible.
Enfin, et peut-être le plus important de tous, le chiffrement est une couche de sécurité extrêmement importante dans la protection des infrastructures vitales. Toutes nos centrales électriques, installations médicales, réseaux de communication, bureaux gouvernementaux, etc., sont mis en réseau. Comme nous l'avons vu tout au long de l'été 2017, l'infrastructure américaine est une cible sérieuse pour les pirates.
Il existe également plusieurs arguments contre cryptage fort.
Celles-ci se concentrent en grande partie sur la restriction de l'accès du public à des algorithmes de cryptage puissants que les agences gouvernementales n'ont aucune chance de casser, principalement utilisés dans les plates-formes de communication populaires. En effet, l'utilisation d'un cryptage fort sape les efforts de ces agences en matière de surveillance mondiale, qu'elle soit légale ou non (ou dans la délicieuse zone grise).
Les agences comprennent le problème qui se pose. En référence à l'iPhone de San Bernardino (plus d'informations à ce sujet dans la section suivante), James Comey, alors directeur du FBI, a expliqué que la nouvelle technologie de cryptage "crée une tension sérieuse entre deux valeurs que nous chérissons tous :la confidentialité et la sécurité".
L'un des principaux exemples d'accès au cryptage par porte dérobée est survenu en 2016. Après l'incident de terrorisme domestique de San Bernardino, le FBI a naturellement voulu fouiller l'iPhone de l'attaquant décédé. Malheureusement, il était crypté.
Le FBI a contacté Apple (publiquement, après l'échec d'enquêtes privées) et leur a demandé de créer une porte dérobée unique via leur cryptage. Apple a refusé. Le FBI les a emmenés au tribunal, où un juge a émis une ordonnance du tribunal les obligeant à créer une sorte de "clé principale". Apple a quand même refusé et a riposté devant le tribunal.
Leur argumentation ? Même si le FBI affirme fermement qu'il s'agit d'une seule fois et que cela ne créerait pas de précédent (ce serait très clairement le cas), il n'y avait aucun moyen de savoir qu'il ne serait plus utilisé.
Le FBI a finalement trouvé un moyen de crypter l'iPhone via une société de sécurité israélienne et une porte dérobée zero-day inédite. Et après tout ça, il n'y avait rien de notable sur l'iPhone.
Avancez de six mois et Microsoft nous donne l'un des plus grands exemples de la raison pour laquelle les portes dérobées dorées ne devraient jamais exister.
Microsoft a accidentellement divulgué la clé principale au système Secure Boot. Le démarrage sécurisé "permet de s'assurer que votre PC démarre uniquement à l'aide d'un micrologiciel approuvé par le fabricant."
La fuite n'a pas vraiment compromis la sécurité de l'appareil. Mais cela signifiait que ceux qui avaient des appareils verrouillés OEM pouvaient installer un deuxième système d'exploitation, jusqu'à ce que Microsoft publie un correctif.
Le problème majeur avec ce n'était pas la fuite de la clé, en soi. C'était plus l'admission technique que, comme l'explique Chris Coyne, co-créateur de Keybase, "les personnes honnêtes et bonnes sont mises en danger par n'importe porte dérobée qui contourne leurs propres mots de passe."
La citation ci-dessus de Chris Coyne provient en fait de sa réponse au The Washington Post lancer un appel au "compromis" sur le cryptage. C'était un appel terrible à l'époque, et ça l'est toujours aujourd'hui.
Malheureusement, les entreprises qui tentent de protéger votre vie privée des regards indiscrets, des pirates, des escrocs, etc., sont toujours ceux diabolisés « à cause du terrorisme ». Comme l'observe à juste titre Tom Scott, "construire une porte dérobée de chiffrement n'est pas impossible, mais en construire une raisonnable l'est ."
Bien que le gouvernement puisse exiger un cryptage plus faible, il ne peut en aucun cas garantir que le monde sera en sécurité une fois qu'il l'aura fait. La capacité de nos décideurs élus à saisir la technologie est également discutable.
Lorsque la ministre britannique de l'Intérieur, Amber Rudd, a lancé son tristement célèbre appel aux personnes "qui comprennent les hashtags nécessaires", les yeux se sont ouverts de manière inquiétante. Vous pouvez regarder la vidéo :
Mais ce n'était pas seulement cette gaffe. Rudd explique également calmement que "les vraies personnes préfèrent souvent la facilité d'utilisation et une multitude de fonctionnalités à une sécurité parfaite et incassable. Qui utilise WhatsApp parce qu'il est crypté de bout en bout, plutôt que parce que c'est un moyen incroyablement convivial et bon marché de rester en contact avec vos amis et votre famille ? » La grande hypothèse est que personne ne se soucie vraiment de sa vie privée, alors pourquoi ce gouvernement devrait-il à la fois la protéger ?
Si nous ne vous avons pas convaincu jusqu'à présent, j'ai quelques derniers points pour résumer pourquoi obliger les entreprises à proposer des portes dérobées de chiffrement est une mauvaise idée.
Des décennies ont été passées à protéger Internet contre toutes sortes d'attaques. En même temps, cette sécurité garde nos informations personnelles privées (il y a bien sûr des exceptions, comme Facebook). La différence entre faire des folies ouvertement sur les réseaux sociaux et voir vos données privées interceptées et analysées est énorme.
Si nous permettons aux gouvernements de se frayer un chemin vers des portes dérobées, soudainement, vos achats en ligne, votre portail bancaire, vos services de messagerie - essentiellement, toute votre vie numérique - seront largement plus vulnérable au piratage, au vol d'identité, à la fraude, etc.
Les terroristes ne s'arrêteront pas parce que le gouvernement peut lire leurs messages. Ils trouveront juste une autre façon de fonctionner. Mieux encore, ils créeront simplement leurs propres applications cryptées et applications de messagerie. Et ils s'assureront d'utiliser des frameworks différents de ceux connus pour être compromis.
Les groupes terroristes ne grattent pas dans la boue. Certains sont des groupes hautement financés et hautement organisés sur le plan technologique. Par exemple, en 2015, un certain nombre d'organes de presse technologiques respectés ont rapporté que l'Etat islamique avait développé une application de messagerie privée, Alrawi. ISIS aurait développé l'application après ils ont été contraints d'utiliser l'outil de messagerie crypté, Telegram. Cela s'est avéré être une fausse histoire :ISIS et d'autres groupes utilisent encore Telegram et d'autres outils de messagerie cryptés.
Mais même si nous cassions le cryptage, nous n'avons qu'à regarder les atrocités récentes où les terroristes n'ont utilisé que des téléphones portables non cryptés pour rester sous le radar du gouvernement.
Comment le gouvernement s'y prendrait-il pour mettre en œuvre un changement aussi radical en matière de sécurité? Une interdiction totale du cryptage ? Bien sûr que non. Comme l'a révélé Edward Snowden, certaines organisations ont donné aux principales agences de renseignement l'accès à leurs données. Tout ce que vous faites là-bas, c'est arrêter d'utiliser le service ou limiter la quantité d'informations que vous y mettez.
Mais ils ne peuvent pas empêcher les utilisateurs individuels de chiffrer leurs données privées hors ligne. Et si certains services étaient autorisés à chiffrer, et d'autres pas, comment décideraient-ils ?
... même si cela signifie qu'une infime partie des individus peut utiliser des messages et des données cryptés pour faire de mauvaises choses. Le trope est que si nous cédons, les terroristes gagnent. Eh bien, ils le font . Pourquoi un représentant du gouvernement devrait-il être autorisé à accéder à toutes nos communications, par défaut, simplement parce que nous osons nous parler ?
Les personnes qui veulent casser le cryptage veulent nous "protéger" maintenant - mais qu'en sera-t-il plus tard ? Comment ces fonctionnalités de sécurité brisées nous serviront-elles réellement si un vrai dirigeant totalitaire se retourne contre la société dans 10, 20 ou 50 ans ? Pouvez-vous vraiment garantir et faire confiance à votre gouvernement pour faire ce qu'il faut et utiliser les portes dérobées potentielles pour le "bien ?"
Il existe de nombreuses excellentes raisons pour lesquelles le cryptage doit rester tel quel. Mais ne laissez pas des arguments solides vous tromper. Les gouvernements sont bien connus pour mettre en œuvre des idées qui nuisent à leur population. Ou empiéter dangereusement sur la vie privée des citoyens. Ou tout simplement bafouer les libertés civiles et personnelles.
N'oubliez pas une chose :même s'ils ne le font pas briser le cryptage ou interdire le cryptage, pensez simplement au mal qui sera fait même s'ils essaient .
Que pensez-vous des portes dérobées de chiffrement ? Le gouvernement a-t-il besoin d'accéder à toutes les messageries privées ? Ou leurs programmes de surveillance déjà énormes devraient-ils s'occuper des affaires ? Faites-nous part de vos réflexions ci-dessous !
Crédit image :stokkete/Depositphotos