Chiffrement intégral d’internet : un véritable défit à relever !

Protection de la vie privéeBackdoorChiffrementCryptographieSécurité
chiffrement

Chiffrement intégral d’internet : un véritable défit à relever !

Le chiffrement n’est pas seulement une belle option à avoir pour les internautes soucieux de la protection de la vie privée, il est aussi essentiel à la croissance de l’économie en ligne, et devrait être utilisé sur internet dans sa globalité, telle une pratique standard. C’est le point de vue d’Internet Society, une organisation à but non lucratif internationale qui se concentre sur la réglementation d’internet, et qui déclare que les services de police qui s’inquiètent des difficultés à poursuivre les “bads guys” vont devoir faire avec.

Dans une publication diffusée sur un article intitulé Securing Our Digital Economy, la présidente de l’ISOC, Kathryn Brown, plaide pour un chiffrement universel sur internet pour préserver la croissance de l’économie en ligne. Elle avertit :

Cela ne peut se faire sans un engagement sérieux de toutes les parties en présence vis-à-vis de la sécurité et de la protection de la vie privée. La vérité est que les économies en général ne peuvent fonctionner que dans un environnement fiable et sécurisé.

En tant que tel, un chiffrement robuste est crucial, et l’ISOC veut que ce dernier devienne la norme pour toutes les transactions en ligne. “Il doit être renforcé et universel, et pas affaibli”, poursuit-elle.

Le principal sujet de discussion, et l’obstacle majeur d’ailleurs, est bien sûr la criminalité et du terrorisme en ligne. Les services de police et les politiciens demandent systématiquement des portes dérobées contournant le chiffrement, et qui leur permettraient d’accéder aux données privées, en justifiant qu’ils doivent savoir ce que font les “bads guys”.

Brown reconnaît cela et soutient que nous devons “déconstruire les problèmes auxquels sont confrontés les services de police et les législateurs et convenir ensemble de la façon dont nous pouvons bâtir une économie numérique sécurisée soutenue par le chiffrement”. Elle ne propose pas nécessairement des solutions aux préoccupations des services de police.

Brown propose trois mesures pour les pays du G20. Tout d’abord, reconnaître que le chiffrement est une base technique importante pour la confiance, et amener tout le monde à l’utiliser. Deuxièmement, collaborer à la sécurisation de l’économie numérique, et enfin, mettre les droits des utilisateurs au cœur du processus de décision. Tout doit être fait dans leur intérêt.

À cette fin, l’ISOC appelle “un chiffrement omniprésent pour internet“. Comment cela fonctionnera-t-il alors ?

Chiffrement d’internet

Il y a déjà eu des mouvements vers un chiffrement d’internet, sous la forme de la connexion HTTPS. Cette version sécurisée du protocole de transfert hypertexte, le language qui permet aux serveurs web de vous envoyer des pages, est basée sur le chiffrement standard TLS. Lorsque vous naviguez à l’aide de HTTPS, les petits curieux  peuvent encore trouver le nom de domaine auquel vous accédez, mais les données que vous échangez avec le site (y compris les URL spécifiques, le contenu et vos identifiants de connexion) sont chiffrés.

Les entreprises technologiques ont incité activement tout le monde à utiliser la connexion sécurisée HTTPS. En septembre dernier, Google a commencé à émettre des avertissements concernant des sites n’utilisant pas le protocole HTTPS, et Apple a promis l’année dernière d’exiger l’accès à ses applications via la connexion HTTPS. Il s’agit vraiment d’un sujet crucial, compte tenu de l’augmentation du trafic mobile que nous avons vu sur le web. WordPress, l’une des piliers du web, a également ajouté un chiffrement pour tous les sites de ses clients, ce qui contribue largement à normaliser le chiffrement.

Les efforts visant à encourager le chiffrement de bout en bout semblent fonctionner. En octobre, Mozilla a repéré que les utilisateurs, qui fournissaient des données à l’entreprise, au sujet de leurs habitudes de navigation, avaient chargé plus de 50% de leurs pages via le protocole HTTPS, ce qui a été une première !

Pourtant, cela ne fait pas du chiffrement une véritable norme à suivre. Il existe encore beaucoup de sites qui ne l’offrent pas. Il y a eu un certain espoir au sujet de la création d’une norme obligatoire sous la forme de HTTP/2, une mise à jour de la norme HTTP existante. Il y a eu un effort concerté pour créer un chiffrement par défaut, mais il n’est déjà plus d’actualité !

Il existe maintenant un effort pour construire ce que l’on appelle le chiffrement opportuniste au sein de HTTP/2. Cette mise à niveau automatique des connexions HTTP utilise le TLS par défaut, si les deux parties le supportent. Sinon, la connexion utilise plutôt des communications en clair. Les serveurs de messagerie ont déjà une commande spéciale appelée STARTTLS qui a le même rôle pour les communications SMTP (Simple Mail Transfer Protocol).

Bien que le chiffrement ne soit pas obligatoire dans la définition du HTTP/2, les éditeurs de navigateurs peuvent très bien finir par imposer ce que les organismes de régulation n’imposent pas. En effet, à l’heure actuelle, ils exigent que les implantations du HTTP/2 soient utilisées via un lien chiffré, et ce bien que personne ne pousse pour l’utilisation du HTTP/2 en tant que protocole de communication.

Les gouvernements ne vont pas apprécier !

La signification de tout cela au niveau d’un État n’est pas encore claire. Au Royaume-Uni, l’Investigatory Powers Act, souvent appelée la “charte des espions”, donne théoriquement au gouvernement le droit d’exiger des fournisseurs d’accès Internet que des possibilités de déchiffrement soient intégrées dans leurs services. En France, le candidat à la présidence Emmanuel Macron pousse dans la même direction. Mais obliger délibérément les fournisseurs à construire des fonctionnalités de surveillance “in-the-middle” au sein de ce qui est supposé être un chiffrement de bout en bout, est tout simplement peine perdue pour les raisons que nous avons décrites précédemment.

L’ISOC a été un partisan régulier du chiffrement. Il a d’ailleurs écrit sur le fait qu’affaiblir délibérément le chiffrement diminuait la confiance sur internet, sans dissuader réellement les “bad guys”, qui utiliseront probablement leurs propres méthodes de chiffrement, plutôt que de s’appuyer sur l’existant au sein de leurs équipements. Comme beaucoup de défenseurs de la vie privée, l’ISOC souligne que les personnes en charge de faire respecter la loi ne seront pas les seuls à bénéficier d’un chiffrement affaibli. C’est Internet, et n’importe qui d’autre pourra trouver et exploiter une faille introduite délibérément.

NB : Sophos, d’ailleurs, est fermement convaincu que vous ne pouvez pas renforcer la sécurité en l’affaiblissant !

Pour résumé, il existe déjà des normes pour chiffrer internet, et il sera difficile pour les gouvernements de forcer les points de surveillance s’ils sont utilisés correctement. Mais cela signifie qu’internet les utilisera, et il s’agit là du plus grand défi à relever !

//platform.twitter.com/widgets.js
Billet inspiré de Priorities clash over the call to encrypt the whole internet, par Danny Bradbury, Sophos NakedSecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.