C'est juste pour le terrorisme

Par SwissTengu @SwissTengu @SwissTengu — 01.07.2015
De plus en plus, on entend des sorties "c'est contre le terrorisme", "c'est pour la sécurité des citoyens", etc.
De plus en plus, on entend aussi des choses dans le genre "il faut forcer les développeurs à donner les clefs de chiffrement".

On entend aussi des personnes qui mettent les deux ensemble : "dans le cadre de la lutte contre le terrorisme, il faut qu'on puisse obliger les entités à fournir les clefs de chiffrement" (bon, ok, comme toujours ils disent "de décryptage"… mais passons).

Arrêtons-nous deux minutes et réfléchissons à tout cela. On se rend compte en moins de 30 secondes que cette idée implique donc un cas d'exception. "Pour lutter contre le terrorisme". Et dans ces cas d'exceptions, on demande des mesures d'exception. "Fournir les clefs de chiffrement".

Mis à part le fait que du moment qu'une exception est créée, des personnes à l'esprit très brillant vont aussitôt s'engouffrer pour proposer d'appliquer cette exception à un autre cas, puis un autre, ce jusqu'à ce que l'exception devienne norme — cela, de toutes façons, on va nous sortir que non, le cadre légal est précis. Et blah-blah-blah. Bref.

Non, ce qui est intéressant, c'est d'imaginer comment une entité mettra à disposition des clefs de chiffrement. Des exemples comme Threema ont été cités. Le fond de commerce de cette application étant le chiffrement asymétrique1 et le fait que les clefs de chiffrement sont sur les appareils, je les vois mal commencer à vouloir récolter les clefs "à des fins de possible enquête et déchiffrement ultérieur". Ou créer une backdoor pour que les clefs puissent être rappatriées (encore que…).
En cas de soupçon de ce genre de pratique, Threema pourra mettre la clef sous la porte.

Une application dont le code est ouvert, dans le genre de Telegram par exemple, ne pourra simplement pas implémenter cela sans s'attirer les foudres de la communauté.
Et, dans le cas où l'application utilise une autre technique de chiffrement (OTR2, à tous hasards), ça devient encore plus drôle : les clefs changent, et la clef "actuelle" ne permet pas de déchiffrer les messages précédents, et ne permettra pas de déchiffrer les messages suivants.

Bref… La transmission elle-même n'est de loin pas assurée, ni assurable. Ça détruira le modèle économique de pas mal d'entreprises, avec les conséquences qu'on peut imaginer. Ouep, je vous ressort le discours d'Economiesuisse ;). Des fois il peut avoir du bon.

Bon, admettons, pafff, coup de baguette magique, y a une solution. La police (et, ne nous voilons pas la face, les services de renseignements divers et (a)variés) peuvent demander (ou s'octroyer) l'accès aux clefs de chiffrement et de déchiffrement. On sait pas comment, mais ça marche ;). Bref.

Comment ces clefs seront-elles stockées ? Je ne sais pas pour vous, mais j'ai pas mal de raisons de douter de la capacité tant du SRC3 que des autres, Fedpol4 comprise, pour conserver des données confidentielles sans la moindre fuite.

Résumons vite-fait : les clefs peuvent difficilement être transmises par les entités fournissant les services de messagerie chiffrées, et le stockage de ces clefs est lui-même des plus incertains.

Ajoutons à cela le fait que les exceptions sont faites pour devenir des normes par la force des choses ("pensez aux enfants", "pensez à l'espionnage industriel", etc), les outils crpytographiques (du moins ceux à bases de clefs statiques) ne serviront plus à rien. Ni pour les vilains, ni pour les gentils.
Le problème étant : les vilains, ils ne sont pas complètement stupides — du moins pas tous. Ils ont des capacités, entre autres financières, pour obtenir des systèmes de communication sécurisés, décentralisés. Des moyens qui les mettront donc hors de portée des services de renseignement et de la police. Laissant les gentils à la portée du premier hacker venu ayant assez de baloches pour hacker fedpol ou toute autre entité à la sécurité vaseuse. Et la sécurité générale ne sera pas meilleure, mais, bien au contraire, encore plus mauvaise, du moins pour les citoyens — on pourra compter sur les États pour se fournir en applications et systèmes, aux frais des citoyens.

En somme, vous l'aurez compris, ces propositions sont dangereuses, et n'apportent rien au niveau sécurité. Un peu comme les projets de lois sur le renseignement, en somme : accumulation de données, pour rien, représentant une masse tellement énorme qu'elles ne seront pas traitées.
Un peu comme en France5, où des dossiers complets sont ignorés, des dangers dé-fichés, des données passant dans l'angle mort…

La surveillance globale telle que préconisée par la plupart des services ne sert à rien — les USA sont en avance à ce niveau… Boston n'a pas pu être évité, et le nombre d'attentats "annulés" change à chaque audition.


Commentaires (0)

Ajouter un commentaire