Sujets-libres.fr

Informatique, logiciels libres, internet, humeurs et… le reste !

Affaiblir le chiffrement ?

Rédigé par -Fred- Aucun commentaire

Le chiffrement est devenu la cible prioritaire de tous les décideurs politiques dans de nombreux pays alors que dans le même temps, les spécialistes sont unanimes : il est impossible d'affaiblir le chiffrement au seul bénéfice des "Gentils".

Deux visions s'opposent : d'une part, celle des décideurs, qui sont convaincu qu'une solution intermédiaire est trouvable entre le chiffrement actuel et pas de chiffrement du tout. Ces mêmes décideurs qualifiant d'irresponsables, voir de dangereux, ceux qui n'iraient pas dans leur sens. D'autre part, celle des spécialistes qui affirment que cela est tout bonnement impossible.

Où se situe les problèmes principaux ?

Je ne suis pas du tout spécialiste du chiffrement mais pourtant, les problèmes me semblent tout à fait simples à comprendre.

Tout d'abord, introduire volontairement une faille dans un protocole ou une application, ça fait baisser le niveau global de sécurité. Même en sachant que tel protocole ou application dispose d'une porte dérobée contrôlée par X, rien ne permet de dire que Y n'en a pas connaissance et ne l'utilise pas sans que X ne soit au courant.

Aujourd'hui, bien que cela ne se fasse officiellement pas, des failles sont régulièrement trouvées. Cela signifie que certains les cherchent sans même savoir si elles existent. Or, introduire volontairement des faiblesses dans des protocoles ou des applications, ça revient à envoyer un message disant : " Il y a au moins une faille là, elle ne demande qu'à être retrouvée ... ".

Si les outils de chiffrement venaient à être volontairement castrés de la sorte, quelles solutions resterait-il notamment pour les états et dans une moindre mesure, pour les entreprises ? Je passe volontairement outre les particuliers (lambda, journalistes, activistes, avocats...) car la sécurité qu'apporte le vrai chiffrement, ce n'est visiblement pas pour eux dans la mesure où c'est dans cette catégorie que se cachent les "terroristes". Comment les décideurs vont garantir leur propre sécurité et celle de leurs fleurons industriels si seuls des outils moisis sont utilisables ? Va-t-on se tourner vers un droit au chiffrement à deux vitesses ?

Est-ce qu'une application qui introduit une porte dérobée peut encore être libre ? La question n'intéressera pas grand monde à part les libristes mais elle me semble centrale. Si la faille se trouve au niveau de l'application, elle doit théoriquement être trouvable en analysant le code source (je ne prétend pas que ce soit simple mais je signale juste que c'est théoriquement possible) et cette anomalie peut être alors corrigée. Seule solution alors, ne pas fournir les sources des outils de chiffrement mais du coup, c'est moins libre, faut l'avouer.

C'est quoi un gentil ?

Comme ça, et sans trop réfléchir, je dirais que c'est quelqu'un avec qui on est d'accord sur l'essentiel. Au niveau des états, il y a au moins un groupe constitué des pays occidentaux. Sauf que même entre eux, on ne se dit pas tout et le copain veut parfois en savoir plus sur vous que ce que vous voulez bien lui dire. On a beau être amis, on ne peut pas tout se dire. Ceci n'est pas choquant, bien au contraire. Je ne déballerai pas non plus ma vie à mes voisins, même s'ils devenaient instants.

Rajoutons à cela que "Gentil" est un statut temporaire même si certains état on pris l'habitude de le rester entre eux sur de longues périodes. Aurions nous la même vision du monde si des extrêmes venaient à prendre le pouvoir en France ?

Donc en gros, on propose de brider volontairement les outils de chiffrement pour les "Gentils" alors même que la notion de "Gentil" est trouble et instable dans le temps. La seule solution dans ce cas est que chacun casse lui même le chiffrement dans son coin.

Et c'est quoi un terroriste ?

On doit pouvoir trouver une définition précise dans un bon dictionnaire. Toutefois, le mot "terroriste" et tout ce qui va avec est employé largement aujourd'hui dès qu'il a une menace sérieuse de trouble à l'ordre public. Je caricature probablement mais les premiers à faire les frais des premières mesures adoptées dans le cadre de l'état d'urgence sont des manifestants altermondialistes manifestant contre la COP21. "Si vous voulez vous débarrasser d'un chien, dites qu'il a la rage." Encore une fois, c'est caricatural mais l'idée est là à mon sens.

Et si affaiblir le chiffrement servait à autre chose qu'à lutter contre le terrorisme ?

L'affaiblissement du chiffrement ouvre la boîte de pandore. Une fois cela en place, c'est utilisable pour tout, ce n'est qu'une question d'imagination. J'évoquais ci-dessus la possibilité non nulle que des extrêmes (ou du moins leurs idées) arrivent au pouvoir en France prochainement. Ceux au pouvoir aujourd'hui, et intimement convaincu de le faire pour de bonnes raisons, ne seront probablement plus aux commandes une fois ces outils déployés. Les garanties qu'ils peuvent donner même de bonne foi aujourd'hui n'ont pas de valeur au delà des prochaines échéances démocratiques. Que feront les suivants avec un tel pouvoir ? Bien malin qui pourrait le prédire avec précision tant le champ des possibles est grand et tant le contexte peut évoluer. Une question d'imagination encore une fois.

En conclusion

En réponse à un problème bien réel, on propose une solution consistant à casser un outil largement utilisé y compris pour des usages tout à fait légitimes, ce qui en définitive pose plus de problèmes qu'il n'en solutionne.

À garder en tête :

" Si vous croyez que la technologie peut résoudre vos problèmes de sécurité, c’est que vous ne comprenez pas les problèmes et que vous ne comprenez pas la technologie. "
Bruce Schneier

Fil RSS des articles de ce mot clé