Au moins un gouvernement a r\u00e9cemment propos\u00e9, afin de faciliter l\u2019acc\u00e8s \u00e0 des messages chiffr\u00e9s de bout en bout, une modification des technologies, afin qu\u2019un tiers puisse \u00e9couter des conversations chiffr\u00e9es, sans \u00eatre rep\u00e9r\u00e9. Les partisans de cette mesure affirment qu\u2019elle peut r\u00e9pondre \u00e0 des besoins policiers ou de s\u00e9curit\u00e9 nationale sans affaiblir le chiffrement utilis\u00e9 pour les messages. Cependant, cette proposition du fant\u00f4me cr\u00e9erait des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 syst\u00e9miques dans les services de communication confidentielle, et alt\u00e9rerait fondamentalement la relation de confiance entre les utilisateurs et les fournisseurs de services.<\/p>\n
Le terme de\u00a0\u00ab\u2009proposition du fant\u00f4me\u2009\u00bb fait r\u00e9f\u00e9rence \u00e0 une proposition dans laquelle les fournisseurs d\u2019applications de messagerie \u00e0 chiffrement de bout en bout disposent d\u2019un moyen d\u2019ajouter un tiers dans des \u00e9changes chiffr\u00e9s \u00e0 l\u2019insu des autres parties. Cela requiert la coop\u00e9ration du fournisseur du service de communication. En tirant parti des fonctionnalit\u00e9s de messagerie de groupe de nombreux services, un utilisateur serait ajout\u00e9 \u00ab\u2009silencieusement\u2009\u00bb \u00e0 une conversation, en supprimant la notification habituelle en cas d\u2019ajout d\u2019un nouvel utilisateur \u00e0 un groupe.<\/p>\n
La s\u00e9curit\u00e9 d\u2019un service de communication chiffr\u00e9e est bas\u00e9e sur la gestion efficace et transparente des cl\u00e9s de chiffrement (qui garantit que seuls les destinataires souhait\u00e9s d\u00e9tiennent les cl\u00e9s permettant de d\u00e9chiffrer les messages). Pour que le chiffrement assure le niveau de confidentialit\u00e9 attendu par les utilisateurs, la totalit\u00e9 du syst\u00e8me doit veiller \u00e0 ce que\u00a0seuls<\/u>\u00a0les destinataires souhait\u00e9s aient acc\u00e8s aux cl\u00e9s n\u00e9cessaires (qui permettent le d\u00e9chiffrement des donn\u00e9es).<\/p>\n
Les partisans de la proposition du fant\u00f4me soutiennent que le fait d\u2019inclure un tiers \u00e0 une conversation de fa\u00e7on dissimul\u00e9e est pr\u00e9f\u00e9rable aux autres moyens permettant d\u2019obtenir un acc\u00e8s exceptionnel, car cette m\u00e9thode ne remet pas en cause les m\u00e9canismes de chiffrement. Cependant, m\u00eame si la cryptographie utilis\u00e9e pour chiffrer les donn\u00e9es des messages n\u2019est pas affect\u00e9e, cela introduirait une faille de s\u00e9curit\u00e9 dans l\u2019application de messagerie utilis\u00e9e par tous les utilisateurs, \u00e0 savoir, la compromission de la gestion des cl\u00e9s de chiffrement qui permettrait \u00e0 des utilisateurs non-autoris\u00e9s d\u2019acc\u00e9der aux donn\u00e9es de communications chiffr\u00e9es.<\/p>\n
De plus, en ce qui concerne la fiabilit\u00e9 d\u2019un service, si un syst\u00e8me de messagerie ne tient pas ses promesses en mati\u00e8re de confidentialit\u00e9, l\u2019aspect sp\u00e9cifique des services qui a \u00e9t\u00e9 modifi\u00e9 n\u2019a pas d\u2019importance. Le syst\u00e8me n\u2019assure simplement pas la protection qu\u2019en attend l\u2019utilisateur.<\/p>\n
Dans un syst\u00e8me de messagerie de groupe \u00e0 chiffrement de bout en bout (E2E), le fournisseur de services g\u00e8re la distribution des cl\u00e9s aux utilisateurs. Ce service est dissimul\u00e9 aux utilisateurs finaux dans une vaste mesure, afin de simplifier l\u2019exp\u00e9rience utilisateur\u2009; toutefois, si quelqu\u2019un est ajout\u00e9 dans une discussion de groupe, les utilisateurs en sont inform\u00e9s. La messagerie de groupe en E2E se base sur ce service pour veiller \u00e0 ce que les utilisateurs souhait\u00e9s soient ajout\u00e9s dans un message de groupe, et qu\u2019aucun utilisateur non souhait\u00e9 ou inconnu, pas m\u00eame le fournisseur de services lui-m\u00eame, ne soit en mesure de d\u00e9chiffrer les communications.<\/p>\n
La distribution des cl\u00e9s est complexe. Par exemple, un service de discussion chiffr\u00e9 doit \u00e9galement mettre \u00e0 jour de mani\u00e8re s\u00e9curis\u00e9e les cl\u00e9s d\u2019un utilisateur lorsque celui-ci r\u00e9installe l\u2019application ou change d\u2019appareil, s\u2019il souhaite rester dans les m\u00eames groupes.<\/p>\n
La proposition du fant\u00f4me modifie le processus de distribution des cl\u00e9s en distribuant secr\u00e8tement des cl\u00e9s \u00e0 des personnes ne faisant pas partie de la discussion de groupe, permettant ainsi \u00e0 des membres du groupe non-autoris\u00e9s de suivre la conversation. La proposition du fant\u00f4me n\u00e9cessiterait \u00e9galement que les fournisseurs de service suppriment les notifications aux utilisateurs signalant que de nouvelles parties non- autoris\u00e9es ont acc\u00e8s \u00e0 leurs communications.<\/p>\n
Cette proposition compromet la mission du chiffrement\u00a0E2E\u00a0:<\/strong> les syst\u00e8mes de communication \u00ab\u2009s\u00e9curis\u00e9s\u2009\u00bb sont compos\u00e9s de nombreux \u00e9l\u00e9ments interd\u00e9pendants, dont le chiffrement, qui est un \u00e9l\u00e9ment essentiel mais qui n\u2019est pas le seul \u00e9l\u00e9ment important. La gestion des cl\u00e9s de chiffrement et la fiabilit\u00e9 globale du syst\u00e8me sont des aspects cruciaux d\u2019un syst\u00e8me de communication\u00a0E2E. Bien que\u00a0la proposition du fant\u00f4me ne modifierait pas les algorithmes utilis\u00e9s par les applications de\u00a0messagerie\u00a0\u00e0 chiffrement de bout en bout pour chiffrer et d\u00e9chiffrer les messages, elle introduirait une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 syst\u00e9mique dans ces services, qui aurait des cons\u00e9quences n\u00e9gatives pour tous les utilisateurs, y compris les utilisateurs commerciaux et gouvernementaux. Cette proposition nuit \u00e0 la gestion des cl\u00e9s et \u00e0 la fiabilit\u00e9 du syst\u00e8me\u2009; par cons\u00e9quent, les communications suppos\u00e9es \u00eatre confidentielles entre l\u2019\u00e9metteur et le destinataire peuvent ne plus l\u2019\u00eatre, et sont moins s\u00e9curis\u00e9es.<\/p>\n Cette proposition cr\u00e9e une vuln\u00e9rabilit\u00e9 que peuvent exploiter des criminels\u00a0: <\/strong>pour que des tiers puissent \u00eatre ajout\u00e9s secr\u00e8tement \u00e0 des communications, m\u00eame s\u2019il ne s\u2019agissait d\u2019atteindre qu\u2019une seule cible, un fournisseur de services devrait modifier l\u2019int\u00e9gralit\u00e9 du service pour tous les utilisateurs afin de pouvoir activer cette fonctionnalit\u00e9. Cela introduit une vuln\u00e9rabilit\u00e9 intentionnelle dans le syst\u00e8me qui, si elle est d\u00e9couverte, exploit\u00e9e ou copi\u00e9e, peut \u00eatre utilis\u00e9e par des tiers auxquels elle n\u2019est pas destin\u00e9e (notamment des criminels, des employ\u00e9s mal intentionn\u00e9s ou des gouvernements hostiles) dans le but d\u2019espionner des conversations.[1]<\/a> Les communications \u00e0 chiffrement\u00a0E2E \u00e9tant essentielles \u00e0 tous les aspects de notre soci\u00e9t\u00e9, notamment pour la s\u00e9curit\u00e9 nationale, les forces de l\u2019ordre et l\u2019activit\u00e9 \u00e9conomique, le risque cr\u00e9\u00e9 est inacceptable et inutile.<\/p>\n Cette\u00a0proposition cr\u00e9e de nouveaux d\u00e9fis techniques et proc\u00e9duraux\u00a0: <\/strong>l\u2019ajout d\u2019une complexit\u00e9 technique suppl\u00e9mentaire au processus d\u00e9j\u00e0 complexe de gestion des cl\u00e9s de s\u00e9curit\u00e9 risque d\u2019engendrer des vuln\u00e9rabilit\u00e9s non souhait\u00e9es, qui pourraient \u00eatre exploit\u00e9es par des acteurs malveillants. La gestion efficace et s\u00e9curis\u00e9e d\u2019un acc\u00e8s dissimul\u00e9 aux communications est une t\u00e2che\u00a0tr\u00e8s compliqu\u00e9e et potentiellement probl\u00e9matique. Des organisations, notamment des gouvernements, ont eu des difficult\u00e9s \u00e0 s\u2019assurer que des donn\u00e9es sensibles restaient s\u00e9curis\u00e9es et confidentielles. Ces capacit\u00e9s devraient \u00eatre s\u00e9curis\u00e9es, non seulement contre des criminels qui chercheraient \u00e0 les exploiter, mais aussi contre des employ\u00e9s malveillants ou des puissances \u00e9trang\u00e8res.<\/p>\n Les criminels utiliseront un autre service\u00a0: <\/strong>Il existe des syst\u00e8mes de communications \u00e0 chiffrement\u00a0E2E en dehors de la juridiction de tout gouvernement. Un criminel r\u00e9ellement d\u00e9termin\u00e9 pourrait se passer des services que l\u2019on suspecte d\u2019appliquer la proposition du fant\u00f4me pour \u00e9viter d\u2019\u00eatre rep\u00e9r\u00e9.<\/p>\n Risques de d\u00e9rives et d\u2019utilisation \u00e0 d\u2019autres fins\u00a0: <\/strong>le concept derri\u00e8re la proposition du fant\u00f4me n\u2019est pas s\u00e9lectif. Il introduit des vuln\u00e9rabilit\u00e9s dans les protocoles d\u2019\u00e9changes de cl\u00e9s et de notifications, et pourrait \u00eatre utilis\u00e9 de mani\u00e8res que ces partisans n\u2019ont pas pr\u00e9vues (ex.\u00a0: pour surveiller les journalistes, les partis politiques, etc.).<\/p>\n La proposition du fant\u00f4me requiert la cr\u00e9ation de failles syst\u00e9miques dans des protocoles destin\u00e9s au march\u00e9 de masse et utilis\u00e9s par les particuliers, les entreprises et les gouvernements. Elle augmente la vuln\u00e9rabilit\u00e9 et la complexit\u00e9 des syst\u00e8mes concern\u00e9s, et augmente ainsi le risque que des d\u00e9veloppeurs introduisent accidentellement davantage de failles. Les gouvernements devraient abandonner la proposition du fant\u00f4me visant \u00e0 acc\u00e9der aux communications chiffr\u00e9es, car le risque est trop important.<\/p>\n Notes<\/strong><\/p>\n [1]<\/a> \u00ab\u2009L\u2019affaire d\u2019Ath\u00e8nes\u2009\u00bb en est un exemple. https:\/\/spectrum.ieee.org\/telecom\/security\/the-athens-affair<\/a>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":" Qu\u2019est-ce que la proposition dite \u00ab\u2009du fant\u00f4me\u2009\u00bb, et pourquoi devrions-nous nous en pr\u00e9occuper\u2009? Au moins un gouvernement a r\u00e9cemment propos\u00e9, afin de faciliter l\u2019acc\u00e8s \u00e0 des messages chiffr\u00e9s de bout en bout, une modification des technologies, afin qu\u2019un tiers puisse \u00e9couter des conversations chiffr\u00e9es, sans \u00eatre rep\u00e9r\u00e9. Les partisans de cette mesure affirment qu\u2019elle peut […]<\/p>\n","protected":false},"author":46,"featured_media":0,"template":"","categories":[4316,4909],"tags":[],"region_news_regions":[6029],"content_category":[6105],"ppma_author":[4057],"class_list":["post-113122","resources","type-resources","status-publish","hentry","category-cryptage","category-renforcer-internet","region_news_regions-mondial","resource_types-ressource","content_category-resources-type"],"acf":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false,"square":false,"gform-image-choice-sm":false,"gform-image-choice-md":false,"gform-image-choice-lg":false},"uagb_author_info":{"display_name":"Ivana Trbovic","author_link":"https:\/\/www.internetsociety.org\/fr\/author\/trbovic\/"},"uagb_comment_info":0,"uagb_excerpt":"Qu\u2019est-ce que la proposition dite \u00ab\u2009du fant\u00f4me\u2009\u00bb, et pourquoi devrions-nous nous en pr\u00e9occuper\u2009? Au moins un gouvernement a r\u00e9cemment propos\u00e9, afin de faciliter l\u2019acc\u00e8s \u00e0 des messages chiffr\u00e9s de bout en bout, une modification des technologies, afin qu\u2019un tiers puisse \u00e9couter des conversations chiffr\u00e9es, sans \u00eatre rep\u00e9r\u00e9. Les partisans de cette mesure affirment qu\u2019elle peut\u2026","_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources\/113122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources"}],"about":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/types\/resources"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/users\/46"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/media?parent=113122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/categories?post=113122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/tags?post=113122"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/region_news_regions?post=113122"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/content_category?post=113122"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/ppma_author?post=113122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Conclusions<\/h5>\n
R\u00e9f\u00e9rences pour en savoir plus\u00a0:<\/h5>\n
\n