Les dernières actualités de la techLes ExpertsTECH

Chiffrement: pourquoi Apple a raison de résister

Dans un précédent, la firme américaine a publié une lettre sur son site à l’attention de ses utilisateurs dans laquelle elle a rendu public un message qu’elle a reçu de la part du F.B.I. lui demandant de mettre en place un Backdoor permettant à l’agence de renseignements américaines de contourner les mécanismes de chiffrement et d’accéder ainsi aux données.

Cette affaire remet au devant de la scène l’éternelle polémique Chiffrement Vs Lutte contre le terrorisme. En effet les institutions gouvernementales n’ont de cesse d’avancer l’argument de «lutte contre le terrorisme» pour justifier leur demande auprès des entreprises. Cette affaire révèle aussi ce que je nomme le choc des Souverainetés numériques. Mais avant de détailler tout cela, attardons-nous sur ce qu’on entend par Backdoor pour bien comprendre les enjeux de cette affaire.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée.

La newsletter hebdo

Recevez chaque lundi l'actualité de notre écosystème

Les Backdoors, cette fausse bonne idée

Un Backdoor ou «porte dérobée» est une vulnérabilité volontaire permettant d’accéder à un système à l’insu de son utilisateur. Cela peut prendre plusieurs formes et dépend fortement de la typologie du système ciblé. Par exemple, une paire de login/mot de passe codés en dur dans le BIOS (Basic Input Output System, en français : « système élémentaire d'entrée /sortie », ndlr), ou encore un composant permettant à un opérateur de télécommunication d’accès à distance à la machine infectée et d’effectuer toute sorte d’opérations.

Dans le cas du chiffrement asymétrique, l’utilisateur dispose souvent d’un jeu de clés qui est au coeur du mécanisme permettant de chiffrer ses données et/ou ses communications comme expliqué dans Wikipédia.

Première étape : Alice génère deux clés. La clé publique (verte) qu'elle envoie à Bob et la clé privée (rouge) qu'elle conserve précieusement sans la divulguer à quiconque.

Deuxième et troisième étapes : Bob chiffre le message avec la clé publique d'Alice et envoie le texte chiffré. Alice déchiffre le message grâce à sa clé privée. Un Backdoor permettra, par exemple, d’accéder aux dites clés et par conséquent, d'accéder aux données non chiffrées ou encore déchiffrer les communications.

Le danger avec cette technique c’est qu’elle est exploitable par n’importe quelle personne qui réussit à en découvrir l’existence. Si monsieur tout le monde n’a pas les compétences pour le faire, les cybercriminels ou les gouvernements ennemis peuvent avoir les compétences pour détecter ce type de faille et ainsi l’exploiter. Pire, les terroristes qui ont, de plus en plus, au sein de leurs membres des cybercriminels, pourraient exploiter ces failles.

Dans un long article rédigé par John McAfee, le sulfureux P.D.G de l’entreprise éditant l’antivirus McAfee, ce dernier propose ses services et les services de ses hackers pour déchiffrer les communications de l’Iphone gratuitement et à la demande, ainsi Apple ne sera pas obligé d’implémenter un Backdoor sur ses devices ce qui serait selon John McAfee «le début de la fin des Etats-Unis d’Amérique».  

D’autres grands acteurs comme Google ou l’Electronic Frontier Foundation ont apporté leur soutien à Apple.

Dans le cas de l’affaire qui nous intéresse, et selon cet article, le FBI demande à Apple de désactiver trois options :

  • Une première option qui permet de supprimer le contenu de l’Iphone si l’utilisateur s’est trompé dix fois de mot de passe.
  • Une deuxième option qui exige que le passcode soit entrer à la main via le touch screen. 
  • Une troisième qui crée un temps d’attente entre les fausses tentatives de saisie de mot de passe.

Sans ces trois options, Le FBI serait capable d’effectuer des attaques brutes pour trouver le bon mot de passcode de l’utilisateur ciblé.

Pourquoi Apple refuserait alors une telle demande? Difficile de répondre à la place d’Apple mais il y a de fortes chances de croire que la marque à la pomme a peur de prendre un tel risque qui aura un impact certain sur son cours de bourse le jour où cette affaire se saura.

Le fantôme de l’affaire Juniper et bien d’autres…

Tout le monde devrait se souvenir de l’affaire Juniper. Juniper Networks est une société américaine spécialisée en équipements de télécommunication qui avait annoncé la découverte de deux failles majeures affectant aussi bien des équipements utilisés par des entreprises à travers le monde entier que les équipements utilisés par des institutions.

Or, ces deux failles sont le résultat d’une «porte dérobée» dans le système d’exploitation ScreenOS installé sur les équipements infectés. Ces failles permettent de déchiffrer les communications et de déchiffrer le traffic VPN. Il faut bien mesurer l’ampleur d’une telle affaire. Une entreprise qui produit des solutions de réseau et de sécurité qui équipent les entreprises et les institutions du monde entier se retrouvent.

L’affaire Juniper n’est qu’un exemple parmi tant d’autres. Comment alors ne pas faire le parallèle avec l’affaire qui nous intéresse dans cet article et comment continuer de croire que les Backdoors seront utilisés contre le terrorisme? Et supposons même que ces backdoor soient utilisées contre le terrorisme. Comment ne pas être inquiété par le danger que représente le fait d’introduire de telles failles dans des systèmes qui seront utilisés massivement par la suite?

Lutte contre le terrorisme ou guerre économique?

Au risque de se répéter, il y a bel et bien, un avant et un après Snowden. Dans l’après Snowden, toute personne qui a pris soin de lire les différents documents fuités sait à présent que les Etats-Unis d’Amérique utilisent leurs compétences principalement pour de l’espionnage qui relève plus de la guerre économique que d’une quelconque lutte contre le terrorisme.

En plus des arguments avancés plus haut, il est important d’analyser l’argument de la lutte contre le terrorisme à la lumière d’étude terrain, notamment quand on confronte le nombre des victimes liées aux armes à feux au nombre des victimes relatives aux actes de terroristes aux Etats-Unis d’Amérique :

US gun and terrorism death graphic

image illustration – source 

On peut retourner le problème dans tous les sens, ceci ne fait que confirmer cette phase de choc des souverainetés numériques dans laquelle nos sociétés sont entrées.

Le Choc des souverainetés numériques

Au-delà des questions techniques, l’affaire à laquelle nous nous intéressons dans cet article reflète le fait que les «souverainetés numériques» entrent aujourd’hui dans une phase de conflit. Il est intéressant de scruter cette curieuse rencontre des deux termes que sont la «souverainté» et le «numérique».

D’un côté, la Souveraineté qui «désigne le droit exclusif d'exercer l'autorité politique (législative, judiciaire et/ou exécutive) sur une zone géographique ou un groupe de peuples vivant en communauté.». C’est un concept moyenâgeux qui est naît avec celui de l’Etat, mais qui s’en éloigne chaque jour. D’ailleurs, souveraineté n’est ni synonyme de démocratie ni d’un «Etat de droit». Une dictature peut-être parfaitement souveraine.

De l’autre, le Numérique renvoie à la «numérisation» des espaces communs et des échanges. Mais ce qui nous intéresse ici dépasse de loin le «Numérique». En effet, il faut adosser à la souveraineté une autre notion qui couvre un périmètre, une «géographie». C’est en cela que la cybernétique nous semble plus adaptée en ce sens où elle intègre les échanges entre les humains et les machines.

Pour bien cerner la rencontre des deux termes, je propose donc la définition suivante qui ne demande qu’à être améliorée : «La capacité exclusive d’un individu ou d’un groupe d’individus à exercer l’autorité nécessaire sur un périmètre donné du cyber-espace afin d’en maîtriser les composants, le flux de données produites et consommées, ainsi que l’ensemble des acteurs y prenant part».

A la lumière de cette définition, la souveraineté numérique d’un Etat n’est pas forcément compatible avec celle d’une entreprise, ou encore avec celle des citoyens. On peut même aller plus loin en statuant que la «souveraineté numérique» constituera dorénavant un avantage concurrentiel décisif pour une entreprise.

Dans la même veine, la dernière affaire opposant Facebook à un instituteur parisien confirme cette tendance. En effet, la cour d'appel de Paris a validé, vendredi 19 février 2016, la compétence du juge français pour juger Facebook dans l'affaire impliquant le tableau de Courbet.

Dans cet effort de maîtrise de son destin numérique que va chercher à déployer chacun des différents acteurs sociaux, se dessinent de nouvelles zones de tensions. C’est dans ce cadre qu’il faut décrypter cette affaire et l’onde de choc ne fait que commencer.

yassir-kazar-2016Yassir Kazar est un «serial entrepreneur», Certifié Lead Auditor ISO/CEI27001. Il intervient régulièrement lors de conférences et/ou d’ateliers sur les thématiques liées à la Cyber Sécurité. Il a enseigné la Business Intelligence en Master II MIAGe à Paris V. Yassir est le co-fondateur et CEO de la start-up Yogosha, plateforme de Bug Bounty.

 

 

Découvrez WE, le nouveau media d'intelligence économique consacré à l'innovation en europe. Retrouvez les informations de plus de 4500 startups et 600 fonds d'investissements Pour en savoir plus, cliquez ici

Un commentaire

  1. Le chiffrement c’est le plus utile outil pour le moment. J’utilise cet outil.

Bouton retour en haut de la page
Share This