[ To read this article in English please click here ]
Pour nos lecteurs : nous testons un nouveau système de traduction par intelligence artificielle. Veuillez excuser toute erreur grammaticale, car le fournisseur procède à des ajustements.
Par :
Eric De Grasse
Directeur de la technologie
20 octobre 2020 (Paris, France) – Cette semaine, le Royaume-Uni a pris une mesure supplémentaire pour tenter de rendre plus difficile la communication sécurisée. Il a rejoint les départements de la justice et des affaires intérieures de l’alliance de partage de renseignements “Five Eyes” (Royaume-Uni, États-Unis, Canada, Australie et Nouvelle-Zélande) demandant une fois de plus aux entreprises technologiques de leur donner un “accès légal” aux communications cryptées.
En d’autres termes, ces gouvernements veulent des portes dérobées vers des applications de messagerie cryptée telles que WhatsApp et Signal. Le terme “backdoor” a été popularisé plus récemment par la campagne de l’administration Trump contre la technologie chinoise, accusant Huawei et d’autres entreprises de laisser des portes dérobées pour l’accès du gouvernement chinois.
Le problème est énorme et beaucoup de gens ne font pas le lien : une mauvaise cyberpolitique intérieure diminue notre capacité à nous défendre contre des adversaires étrangers. Toute forme de surveillance crée un réservoir de données auquel les mauvais acteurs peuvent tenter d’accéder. La rupture du cryptage de bout en bout, en particulier, laisse des vulnérabilités béantes que les pirates peuvent exploiter.
La raison en est la conception par ailleurs très stricte de ces programmes. Une application telle que Signal crypte vos messages de manière à ce qu’ils ne soient accessibles qu’à l’aide d’une clé privée, ou mot de passe, qui est générée sur votre téléphone et y est scellée. Les serveurs et les programmeurs de Signal ne peuvent pas accéder à cette clé et l’utiliser pour décrypter vos messages lorsqu’ils circulent sur Internet. La seule personne qui peut y accéder est la personne qui contrôle le téléphone, le “point final” du message : d’où le terme de cryptage de bout en bout.
L’efficacité du chiffrement de bout en bout signifie que tout le monde, des banques aux sites de commerce électronique en passant par les systèmes de santé, s’y fie pour protéger leurs utilisateurs. Sans accès à la clé privée, le nombre de calculs nécessaires pour ouvrir un message bien chiffré prendrait plus d’une vie.
Par conséquent, les portes dérobées des communications cryptées de bout en bout exigent généralement des concepteurs d’applications qu’ils produisent des clés supplémentaires qui sont remises aux services répressifs. Mais contrairement aux clés stockées sur un appareil, ces clés supplémentaires sont conçues pour être partagées. Leur existence augmente considérablement le risque de fuite d’une clé. Une fois la clé divulguée, tout le contenu des messages cryptés peut être lu.
En général, si une faille de sécurité existe, ce n’est qu’une question de temps avant que quelqu’un ne la trouve. Même les outils conçus par des organismes gouvernementaux comme la NSA ont fini entre les mains de pirates informatiques chinois, nord-coréens et russes. Créer un jeu de clés maître pour accéder à toutes les communications cryptées reviendrait à construire une bombe nucléaire sur Internet sans pouvoir la garder.
En général, si une faille de sécurité existe, ce n’est qu’une question de temps avant que quelqu’un ne la trouve. Les espions étrangers ont abusé des “interceptions légales” par des portes dérobées dans le passé. Un exemple très médiatisé vient de l’industrie des télécoms – le même marché que celui que domine Huawei, au grand dam des gouvernements de Five Eyes. Dans ce qui est devenu le “Watergate grec” ou “l’affaire d’Athènes”, en 2004-05, le premier ministre grec et plus de 100 hauts fonctionnaires et cadres ont vu leurs lignes téléphoniques piratées. Quelqu’un avait profité de la capacité d’interception légale intégrée dans l’équipement Ericsson utilisé par Vodafone. L’épisode a également impliqué le suicide apparent d’un ingénieur de Vodafone.
Une fois que vous avez perdu confiance en la sécurité, il est difficile de la récupérer. Les gens cesseraient de faire des transactions commerciales, par exemple, sur des plateformes dotées de portes dérobées une fois que ces dernières ont été exploitées. Ils se tourneraient ensuite vers les nouvelles plates-formes qui apparaissent – avant que le gouvernement ne les bloque. Et l’application de la loi serait laide : si Facebook continuait à s’opposer à l’installation de portes dérobées, le Royaume-Uni interdirait-il WhatsApp ?
Voilà le combat : rendre nos systèmes robustes face à un monde dans lequel les mauvais acteurs seront toujours une menace.
* * * * * * * * * * * * * * * *
Pour en savoir plus, je vous invite à assister au FIC 2021, le Forum international sur la cybersécurité qui se tient en janvier de chaque année à Lille, en France. La participation à cet événement est gratuite (les vendeurs prennent en charge tous les frais). Vous y verrez des présentations sur les sujets suivants, et vous aurez l’occasion d’assister à des ateliers et des tutoriels et de rencontrer des spécialistes dans ces domaines :
- Social Engineering et réseaux sociaux
- Groupes cybercriminels
- SOCMINT et Threat Intelligence
- Lawfare et cyberdéfense
- Enjeux régionaux
- Doctrines et approches de cyberdéfense
- Enjeux géopolitiques :
- Analyses « pays »
- Focus sur des conflits « cyber »
- Gouvernance de l’espace numérique
L’événement vient d’ouvrir le site d’inscription. Elle se déroulera sur place à Lille et non pas virtuellement. Sur le site, il y a un lien vers le “Protocole Santé FIC 2021” qui décrit les mesures de sécurité pour leur COVID-19. Pour plus d’informations sur le FIC 20201 et les modalités d’enregistrement et le protocole COVID-19, cliquez ici.
Pour notre couverture du FIC 2020, cliquez ici. Le mois prochain, j’aurai un article plus détaillé sur ce à quoi il faut s’attendre au FIC 2021.