Les portes dérobées du FBI n'aideront personne

Publicité

Le FBI a récemment fait les manchettes avec sa campagne pour forcer les entreprises technologiques à modifier leur méthodes de chiffrement Comment fonctionne le cryptage et est-il vraiment sûr? Lire la suite pour faciliter l’espionnage des messages des utilisateurs. Selon le FBI, il s'agit d'un changement de bon sens: après tout, les criminels comptent sur ces services cryptés pour communiquer secrètement, et la constitution leur accorde le droit de saisir des informations (comme des lettres et des documents) lorsqu'un mandat présenté.

Alors pourquoi ne pas donner au FBI la possibilité de lire des documents cryptés?

Si nous ne prenons pas ces mesures, avertit le FBI, les criminels et les terroristes continueront de «s’éteindre» - pour déplacer leur trafic vers des plates-formes de messagerie anonyme qui ne peuvent pas être surveillées avec précision. Selon eux, cela laisse le rapport de force entre les mains de mauvaises personnes. Le gouvernement du Royaume-Uni a fait de même de terribles avertissements

Pourquoi Snapchat et iMessage pourraient vraiment être interdits au Royaume-UniS'adressant à une salle pleine de militants du parti à Nottingham, le Premier ministre David Cameron a déclaré que le cryptage des messages serait interdit si son parti obtenait la majorité au prochain général Élection. Lire la suite .

Selon Directeur du FBI James Comey:

"M.O de l'EIIL est de diffuser sur Twitter, d'amener les gens à les suivre, puis de les déplacer vers Twitter Direct Messaging »pour évaluer s'ils sont une recrue légitime, a-t-il déclaré. "Ensuite, ils les déplaceront vers une application de messagerie mobile chiffrée afin qu'ils nous assombrissent."

Le FBI ne fait pas non plus de bavardage. La prochaine bataille de la guerre de la vie privée se déroule, en grande partie en secret, chez Apple, Inc. Le PDG, Tim Cook, a fait des déclarations de plus en plus fâchées sur la confidentialité des utilisateurs, y compris le suivant:

«[T] ici, il y avait des rumeurs et des choses écrites dans la presse que les gens avaient des portes dérobées à nos serveurs. Rien de tout cela n'est vrai. Zéro. Nous ne laisserions jamais cela se produire. Ils devraient nous transporter dans une boîte avant que nous ne le fassions. »

Des rumeurs circulent depuis un certain temps selon lesquelles le FBI tente de faire pression sur la société pour qu'elle ajoute des «portes dérobées» au chiffrement de ses produits et services (comme l'iPhone et iMessaging). Maintenant, il existe des preuves publiques que cela se produit. Le ministère de la Justice a rendu une ordonnance judiciaire à Apple, exigeant qu'ils remettent les journaux de messagerie en temps réel entre deux suspects dans une affaire de crime avec arme à feu et drogue. Apple a refusé, affirmant que même ils ne pouvaient pas casser le cryptage des utilisateurs - après tout, c'est le point.

La réponse du FBI et du DoJ a été qu'ils envisagent de poursuivre Apple en justice à ce sujet - probablement pour essayer d'obtenir une ordonnance du tribunal pour forcer la société à dissimuler leur cryptage. ZDNet met en garde que si cela se produit, Apple pourrait être contraint de capituler. Ce ne serait pas la première fois que cela se produirait: en 2014, Yahoo a finalement pu discuter de ses relations secrètes avec la Cour FISA avec PRISM, le Edward Snowden dévoile un programme de surveillance gouvernemental Héros ou méchant? La NSA modère sa position sur SnowdenLe dénonciateur Edward Snowden et John DeLong de la NSA sont apparus sur le calendrier d'un symposium. Bien qu'il n'y ait pas eu de débat, il semble que la NSA ne peint plus Snowden comme un traître. Qu'est-ce qui a changé? Lire la suite , au début des années 2000. Lorsqu'il a refusé de remettre les informations des utilisateurs, Yahoo a été confronté à d'énormes amendes secrètes - 250 000 $ par jour, doublant chaque mois. Pour le contexte, l'amende quotidienne aurait dépassé le PIB mondial de 74 billions de dollars en un peu plus de deux ans.

Problèmes de mise en œuvre

Même en ignorant les divers aspects moraux et constitutionnel préoccupations concernant ce genre de choses, la proposition soulève également de nombreux problèmes techniques. Depuis que le FBI a commencé à faire pression pour leurs portes dérobées de chiffrement, un certain nombre de chercheurs en sécurité se sont manifestés pour signaler quelques failles de base dans le concept.

Pour commencer, tout expert en sécurité grand public vous dira que les «portes dérobées sécurisées» souhaitées par Comey n'existent pas réellement. Le directeur de la Federal Trade Commission a carrément dit la proposition est une mauvaise idée. Il n'y a aucun moyen de laisser une porte dérobée dans un schéma de cryptage fort sans nuire gravement à la sécurité globale. Cryptosystèmes qui ont cette propriété n'existent tout simplement pas. La cryptographie n'est pas quelque chose qui peut exister.

TechDirt a un article assez merveilleux déchirer cette idée. Une citation de choix:

"[C] est assez étonnant que Comey insiste pour que ces esprits brillants de la Silicon Valley puissent saupoudrer de la poussière de lutin magique et lui donner ce qu'il veut, mais en même temps, il prétend que c'est trop difficile pour que le FBI quantifie réellement l'ampleur d'un problème de chiffrement pour ses enquêtes. En outre, il ne peut même pas fournir un seul exemple du monde réel où le cryptage a été un vrai problème. "

Même si un tel système pouvait être créé, il y a un autre grave défaut: nous donnerions cette clé au gouvernement. Le même gouvernement ne peuvent même pas garder leurs propres dossiers personnels en sécurité Qu'est-ce que le piratage OPM et que signifie-t-il pour vous?Depuis plusieurs semaines, les nouvelles émanant du Bureau de la gestion du personnel (OPM) ne cessent de s'aggraver, suite à un piratage aux proportions historiques. Mais que s'est-il vraiment passé et que pouvez-vous faire? Lire la suite , et ont passé des mois ou des années sans remarquer qu'ils avaient été piratés. Edward Snowden, un entrepreneur, est sorti avec des détails sur les transactions les plus sensibles de la NSA. Selon vous, combien d'heures faudrait-il au gouvernement chinois pour obtenir une copie de la clé? Combien de jours avant qu'il n'apparaisse sur le filet foncé Comment trouver des sites Web Dark .Onion actifs (et pourquoi vous pourriez le vouloir)Le Dark Web, en partie, se compose de sites .onion, hébergés sur le réseau Tor. Comment les trouvez-vous et où aller? Suivez-moi... Lire la suite et tout pirate semi-compétent peut accéder au compte bancaire de n'importe qui? Les normes de sécurité informatique au sein du gouvernement américain ne sont même pas assez bonnes pour leur confier la sécurité de tout Internet.

Faux buts

Il y a un problème plus vaste, cependant, qui va directement au cœur de tout l'argument: à savoir, que ces sortes de portes dérobées ne résolvent pas réellement le problème qui préoccupe le FBI. La justification du FBI repose sur de graves menaces - non pas sur les transactions de drogue et les voleurs de sacs à main, mais sur les terroristes et les trafiquants d'êtres humains. Malheureusement, ce sont les personnes qui seront le moins touchées par ces portes dérobées.

Les terroristes et les criminels n'ignorent pas le cryptage. Ceux qui utilisent le cryptage le font exprès pour éviter la surveillance. C'est naïf de penser qu'ils ne remarqueront pas quand le FBI réussira à obtenir une sorte de porte dérobée. Les terroristes et les marchands d'armes ne vont pas simplement continuer à utiliser un iMessenger avec porte dérobée - ils vont passer à programmes de chat cryptés Comment sécuriser et crypter vos chats de messagerie instantanée Lire la suite développés dans d'autres pays, ou à des logiciels open source dont ils peuvent vérifier la sécurité. Les personnes vulnérables aux portes dérobées seront celles trop mal informées pour utiliser une meilleure sécurité informatique - alias, les petits criminels et la plupart des citoyens respectueux des lois.

Les portes dérobées cryptographiques sont beaucoup plus utiles pour espionner votre grand-mère que pour espionner ISIL, et le FBI le sait très probablement. Alors, prenez leurs avertissements terribles sur les terroristes avec un grain de sel de la taille de l'Utah.

Le FBI soutiendra bien sûr qu'il n'y a pas de problèmes de confidentialité soulevés pour les citoyens respectueux des lois. Après tout, ils auraient toujours besoin d'un mandat pour accéder à ces informations, tout comme ils le feraient pour fouiller votre maison ou votre classeur. Cependant, ce ne sont pas les jours innocents et mal informés avant la fuite de Snowden.

Nous connaissons l'existence de tribunaux secrets qui délivrent des mandats secrets sur la base de preuves secrètes. Ces tribunaux ne refusent pas d'émettre des mandats, car ce n'est pas leur objectif. Ce sont des tampons en caoutchouc en tout sauf le nom. Nous demander de faire confiance à notre vie privée à un tel système est une insulte active.

Voici expert en sécurité Bruce Schneier Bruce Schneier, expert en sécurité, sur les mots de passe, la confidentialité et la confianceEn savoir plus sur la sécurité et la confidentialité dans notre entretien avec l'expert en sécurité Bruce Schneier. Lire la suite exprimant un point de vue similaire sur son blog, Schneier on Security,

«Imaginez que Comey a obtenu ce qu'il voulait. Imaginez qu'iMessage et Facebook et Skype et tout ce qui est fabriqué aux États-Unis avait sa porte dérobée. L'agent de l'EIIL dirait à sa recrue potentielle d'utiliser autre chose, quelque chose de sûr et de non américain. Peut-être un programme de cryptage de Finlande, de Suisse ou du Brésil. Peut être Mujahedeen Secrets. Peut-être quelque chose. "

Une histoire de surveillance

Ce n'est pas la première fois que divers organismes gouvernementaux tentent quelque chose comme ça. Dans les années 1990, l'administration Clinton tenté de forcer l'industrie de la technologie pour installer du matériel de surveillance dans leurs appareils - la soi-disant «puce Clipper», qui permettrait aux agences gouvernementales de contourner le cryptage fort.

Dans ce cas également, des vulnérabilités ont été trouvées dans le système, ce qui rend les appareils moins sûrs et permet aux criminels de le contourner dans tous les cas. La proposition a été rejetée. Dans une analyse intitulée «Clés sous les paillassons: rendre l'insécurité obligatoire en exigeant que le gouvernement ait accès à toutes les données et communications ", plus d'une douzaine de chercheurs en sécurité estiment que la nouvelle proposition serait encore pire. Du résumé:

«Il y a vingt ans, les organismes chargés de l'application des lois ont fait pression pour exiger des services de données et de communication pour concevoir leurs produits afin de garantir l'accès des forces de l'ordre à toutes les données. Après un long débat et des prévisions vigoureuses de la noirceur des canaux d'application de la loi, ces tentatives de réglementer l'Internet naissant ont été abandonnées.

Dans les années qui ont suivi, l'innovation sur Internet a prospéré et les forces de l'ordre ont trouvé de nouveaux moyens plus efficaces d'accéder à des quantités de données beaucoup plus importantes. Aujourd'hui, nous entendons à nouveau des appels à la réglementation pour rendre obligatoire la mise en place de mécanismes d'accès exceptionnels.

Dans ce rapport, un groupe d’informaticiens et d’experts en sécurité, dont beaucoup ont participé à un étude de ces mêmes sujets, s’est réuni pour explorer les effets probables de l’imposition d’un accès extraordinaire mandats. Nous avons constaté que les dommages qui pourraient être causés par les exigences d'accès exceptionnel des forces de l'ordre seraient encore plus importants aujourd'hui qu'ils ne l'auraient été il y a 20 ans. »

Trop pour trop peu

Pour résumer: les portes dérobées de chiffrement sont une mauvaise idée, techniquement et pratiquement. Ils ne résolvent pas les gros problèmes des forces de l'ordre, mais ils en créent de nouveaux pour les consommateurs et toute autre personne dépendante de la sécurité. Les forcer sur le marché coûtera au-delà de la croyance, et nous n'obtiendrons presque rien en retour. C’est une mauvaise idée, proposée de mauvaise foi. Et, avec un peu de chance, la clameur grandissante des voix contre cette idée va de nouveau les arrêter.

Qu'est-ce que tu penses? Le gouvernement devrait-il avoir le pouvoir de compromettre le chiffrement? Faites-nous part de vos réflexions dans les commentaires!

Crédits image:bloquer la porte par Mopic via Shutterstock