Va t-on laisser s'enfuir nos données par des portes dérobées ?

 

Va t-on laisser s'enfuir nos données par des portes dérobées ?

 

 

Après les données, ce sont les backdoors que les « cyberterroristes » pourraient accéder si les fameuses « portes dérobées » étaient autorisées officiellement comme le demandent aujourd'hui les ministres de l’intérieur Français et Allemands. Ils expliquent que bien évidemment « seuls les services de sécurité pourraient s'en servir ». D'autres comme la CNIL et l'ANSSI émettent de sérieux doutes à ce sujet et s'opposent à cette nouvelle étape qui pourrait au delà des libertés affaiblir le niveau technique des solutions crypto. Ce débat se trouve relancer au moment ou la NSA vient de se faire voler des « cyber-armes » par le groupe « Shadow Broker ». La CNIL rappelle «Avant d’envisager de se doter de nouveaux instruments législatifs, peut-être serait-il judicieux de s’assurer que les services de sécurité exploitent pleinement les nombreuses possibilités qui leur ont été offertes par le législateur ». Débat.

 

Vol-NSA-Aout-2016-The-Intercept

 (Source The Intercept) 

 

Autoriser les backdoors ou pas ? C'est le débat de cette fin d'été 2016. Cette semaine à l’occasion d'une rencontre interministérielle, la France et l’Allemagne via leurs ministres de l'Intérieur envisagent de rendre possible l'autorisation de « backdoors » (portes dérobées) par l'UE dans les logiciels de chiffrement pour faciliter les enquêtes sur le terrorisme notamment.

En Mai 2016, lors d'une audition devant une commission parlementaire française, Patrick Calvar, directeur général de la sécurité intérieure affichait sa volonté de vouloir voir évoluer les accès aux informations chiffrées  en insistant sur la dimension « internationale » du problème :

« nous nous heurtons à un problème bien connu et qui va grandissant : celui du chiffrement. Sans trahir le secret de l’instruction, à travers les investigations opérées à la suite des attentats de Bruxelles, nous nous sommes rendu compte que nous avions affaire à des structures très organisées, très hiérarchisées, militarisées, composées d’individus communiquant avec leur centre de commandement, demandant des instructions sur les actions à mener et, le cas échéant, des conseils techniques. Cette communication est, je le répète, permanente et aucune interception n’a été réalisée ; or même une interception n’aurait pas permis de mettre au jour les projets envisagés puisque les communications étaient chiffrées sans que personne soit capable de casser le chiffrement. Je rappellerai pour mémoire le conflit ayant opposé Apple et le Federal Bureau of Investigation (FBI) ; quand on connaît la puissance de ce dernier, on voit bien que nous sommes confrontés à un problème majeur qui dépasse largement le cadre des frontières nationales »

(cf Section BONUS Cyberisques News en fin d'article).

 

 

« il est techniquement impossible d’assurer que ce dispositif ne bénéficiera qu’aux personnes autorisées »

Autre son de cloche avec Guillaume Poupard ( http://www.cyberisques.com/mots-cles-5/554-guillaume-poupard-directeur-general-de-l-agence-nationale-de-la-securite-des-systemes-d-information-anssi-il-faut-normaliser-le-risque-cyber).

Le patron de l'ANSSI, ancien thésard du « pape » de la Cryptographie en France Jacques Stern (ENS) ne mâche pas ses mots dans un document non classifié publié par Libération début aout (cf notre section BONUS) : « Toute évolution de la législation vers une mesure générale d'obligation de résultat visant à garantir la possibilité d'accéder à des informations protégées aurait pour effet désastreux d'imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques employés ».

L’Anssi affiche clairement ses craintes en cas d’introduction de « backdoors ». Cette modification des programmes de chiffrement « aurait pour effet désastreux un affaiblissement des mécanismes cryptographiques employés. Or il est techniquement impossible d’assurer que ce dispositif ne bénéficiera qu’aux personnes autorisées ».

Le directeur de l'ANSSI n'est pas isolé dans son approche. Isabelle Falque-Pierrotin Présidente de la CNIL a co-signé une tribune dans le Monde du 22 août 2016 (cf Section BONUS) avec d'autres spécialistes pour affirmer que les backdoors autorisés « à tout moment, peuvent devenir de véritables portes ouvertes pour les organisations pirates, mafieuses, et terroristes. Généraliser l’installation de backdoors aurait ainsi pour effet désastreux d’affaiblir la sécurité et les libertés de l’ensemble des utilisateurs. »

 

 

« le chiffrement s'il complique les enquêtes ne constitue pas un obstacle insurmontable »

Bref selon les auteurs de cette tribune, on obtiendrait l'effet contraire à la mesure recherchée. Dans cette tribune, les co-signataires rappellent que le chiffrement s'il complique les enquêtes ne constitue pas un obstacle insurmontable : «  On ne peut raisonnablement affirmer que le chiffrement soit une barrière infranchissable pour les enquêteurs, même si on ne peut nier qu’il puisse compliquer l’accès à certaines informations. D’une part, il est souvent possible de contourner le chiffrement, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. D’autre part, si le contenu des communications est chiffré, les métadonnées, elles, restent le plus souvent en clair : qui échange avec qui ? Quand et combien de temps ? Où était-il ou elle localisé(e) ? Ces données répondent aux questions les plus importantes sur nos habitudes, nos fréquentations, nos centres d’intérêts, nos opinions. Elles sont donc extrêmement sensibles et c’est d’ailleurs la raison pour laquelle les dernières lois antiterroristes, qui en organisent une collecte massive, ont été largement critiquées. Avant d’envisager de se doter de nouveaux instruments législatifs, peut-être serait-il judicieux de s’assurer que les services de sécurité exploitent pleinement les nombreuses possibilités qui leur ont été offertes par le législateur. »

Les signataires de la tribune qui semble également avoir obtenu le soutien d'Axelle Lemaire, secrétaire d'État au Numérique rappelle : «  Seize lois antiterroristes ont été adoptées au cours des trente dernières années – nombre d'entre elles comportant des implications numériques majeures » et dont certaines « ne sont pas encore pleinement mises en œuvre ».

  

Diversité des solutions de "crypto", vente de « 0Day » et vulnérabilités des éditeurs

Étrangement absentes officiellement des débats, d'autres « pistes » existent pour comprendre cette problématique complexe. Ainsi comment "gérer" le nombre important de solutions de mécanismes de chiffrement pas toujours « coordonnées » entre elles ? Laquelle retenir ? Par ailleurs, l'exploitation de failles dites « 0Day » (inconnues des éditeurs mais proposées au black market sur Internet aux plus offrants) permet « d'entrer » dans les systèmes y compris ceux des "cyber-terroristes" et autres attaquants en n'étant pas toujours "gên" par le chiffrement. Enfin, le vol de « cyber-armes » à des services plus ou moins officiels comme ceux de la NSA aux Etats-Unis pose aussi un sérieux problème de « sécurité intérieure ». On vient de le voir encore cet été avec la mise aux enchères « d'outils » dérobés par le groupe "Shadow Broker" (version officielle) aux experts du groupe pirate "Equation" réputé proche de la NSA (cf Section BONUS en fin d'article, l'article dans WIRED et le billet des chercheurs de Kaspersky). n y découvre entre autres les méthodes employées pour intercepter les données comme celle bien connue : Man-in-the-Middle évoquée par The Intercept (cf Section BONUS en fin d'article).

Dernier point, la responsabilité des éditeurs n'est pas neutre dans un telle histoire. Un chercheur réputé affirme à propos de ce vol « que la NSA avait la capacité d’extraire à distance des clés confidentielles des VPN de Cisco depuis plus d’une décennie ». Du coup, Cisco « officialise » un certain nombre d’éléments sur son blog (cf Section BONUS en fin d'article) tout comme d'autres éditeurs : Juniper, Fortinet... Les éditeurs se trouvent en première ligne mais pas toujours en matière d'information. Ainsi, les failles "0Days" connues par certrains services comme ceux de la NSA via le département VEP (Vulnerabilities equities process) ne sont pas toujours transmises aux éditeurs concernés (cf. section BONUS en fin d'article). 

Et si tout cela n'était que de la poudre aux yeux ? En 2013, déjà des révélations de Snowden laissaient entendre que la NSA avait infecté plus de 50 000 machines via un « malware » spécifique (Cf Section BONUS en fin d'article). « l'histoire ne se répète pas » écrivait l'historien Michelet « mais elle bégaie »

Bref, en 2016, en matière de cybersécurité, au delà des discours, si les convictions demeurent, les certitudes s'envolent progressivement.

@ Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Autres information sur cet article réservées aux

abonnés de Cyberisques News

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  

 

BONUS :

http://www.assemblee-nationale.fr/14/cr-cdef/15-16/c1516047.asp

http://cnnumerique.fr/tribune-chiffrement/

https://www.wired.com/2016/08/shadow-brokers-mess-happens-nsa-hoards-zero-days/

https://theintercept.com/2016/08/19/the-nsa-was-hacked-snowden-documents-confirm/

https://securelist.com/blog/incidents/75812/the-equation-giveaway/

https://blogs.cisco.com/security/shadow-brokers

 

http://www.symantec.com/connect/blogs/equation-has-secretive-cyberespionage-group-been-breached

http://www.nrc.nl/nieuws/2013/11/23/nsa-infected-50000-computer-networks-with-malicious-software-a1429487

https://www.techdirt.com/articles/20151108/18345332759/nsa-pats-self-back-disclosing-vulnerabilities-90-time-doesnt-specify-how-long-it-uses-them-before-doing-so.shtml

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires