Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ce n’est pas le moment de mettre la sécurité de tout le monde en jeu

avril 2020 par Jeff Wilbur, Senior Director, Online Trust chez Internet Society

Avec l’éloignement social qui est la norme aujourd’hui, nous passons plus de temps sur Internet à faire des choses plus importantes que jamais - par exemple, travailler, apprendre, faire des opérations bancaires, du commerce, des achats, voir le médecin et passer du temps en famille - ainsi que jouer et interagir avec nos enceintes connectées.

Ne devrions-nous pas être certains, surtout maintenant, que personne ne nous écoute, ne vole ou ne modifie nos données ?

Le cryptage est le principal moyen d’atteindre cet objectif. Grâce au cryptage, les données sont brouillées de manière à ce que seules les personnes auxquelles elles sont destinées puissent les consulter. Ces données se trouvent la plupart du temps cachées lorsque vous êtes en Wi-Fi, Bluetooth, 4G et que vous naviguez sur la plupart des sites web.

Malheureusement, la plupart des services en ligne d’aujourd’hui continuent de crypter les données de manière fragmentée. Certaines sections du chemin sont cryptées, mais il y a généralement des points sur le chemin où les données sont non cryptées et traitées d’une manière ou d’une autre avant d’être cryptées à nouveau et envoyées.

La bonne nouvelle est que de nombreux services de messagerie - par exemple, WhatsApp, Telegram et Signal - offrent un cryptage intégral, où seuls l’expéditeur et le destinataire peuvent "voir" le message. Tous les autres intervenants - même la société qui fournit le service - ne peuvent pas avoir accès aux données des utilisateurs. Plus cela se produit, mieux nos données sont protégées.

Mais la protection des données des consommateurs est néanmoins menacée, principalement par les gouvernements qui veulent accéder aux données à des fins répressives ou de renseignement, mais aussi par les entreprises qui veulent monétiser leurs données. La demande va dans ce sens : "Nous croyons fermement au cryptage pour protéger les données de chacun. Nous y croyons même au sein du gouvernement. Et nous ne voulons pas de portes dérobées qui permettraient à des criminels de s’introduire. Nous avons juste besoin de voir les données de certaines personnes qui utilisent votre service. Et nous ne les demanderons que lorsqu’il s’agît d’un crime grave et que nous avons un mandat".

Création d’un mot de passe principale

À première vue, cela semble être une requête raisonnable. Il ne s’agit que des données d’une seule personne, il y a une bonne raison de la vouloir, et la demande est assortie d’une autorité appropriée. Le mécanisme permettant d’accéder aux données d’un individu sur un service met tout le monde, dans le même service, en danger. C’est comme si on créait un mot de passe pour l’ensemble du système. Bien sûr, ce mot de passe sera long et complexe, presque impossible à deviner, et seules quelques personnes y auront accès, et il ne sera utilisé que dans les circonstances les plus extrêmes.

Mais voulez-vous que ce mot de passe existe ? Les employés de l’entreprise pourraient en abuser, et les gouvernements aussi ; même si vous avez confiance en leurs intentions, regardez leur bilan en matière de sécurité des données au cours des dernières années - des dizaines de milliers de violations de données impliquant des milliards d’enregistrements (et d’ailleurs, pourquoi ces bases de données n’étaient-elles pas mieux cryptées, ce qui aurait protégé les données personnelles des individus contre toute exposition). Plus important encore, avez-vous la conviction que les cybercriminels du monde entier ne découvriront pas ce mot de passe principal ? Si c’est le cas, les paris sont ouverts pour tous les utilisateurs du service. Si les utilisateurs ne peuvent pas être sûrs que leurs communications sont correctement protégées, ils limiteront leur utilisation d’Internet.

Des débats sur ce sujet ont lieu dans le monde entier.

La plupart des arguments en faveur de ce soi-disant "accès exceptionnel" tournent autour de l’exploitation des enfants et du terrorisme ou d’autres crimes graves. Par exemple, la loi EARN IT aux Etats-Unis, qui a été présentée au Congrès au début du mois dernier, ne mentionne même pas le cryptage - elle implique simplement que les entreprises fournissant les services sur lesquels nous comptons tous doivent fournir l’accès aux données pertinentes sous une forme non cryptée, sous peine d’amendes et de poursuites. Pourtant, ce sont ces mêmes services qui protègent les communautés vulnérables comme les victimes de violences domestiques, les journalistes et les militants aux côtés des familles, des militaires et des forces de l’ordre.

Ce que vous pouvez faire

La lutte contre la cybercriminalité est une tâche importante, mais nous ne pouvons pas y parvenir en affaiblissant la sécurité de pratiquement tout le monde en ligne. Assurez-vous que votre représentant protège votre droit à un cryptage fort. Trouvez leur identifiant Twitter et partagez les nouvelles fiches d’information de l’Internet Society qui expliquent les différentes approches dangereuses que les gouvernements adoptent pour accéder aux données qu’ils souhaitent. Elles vont du balayage des données non cryptées à la réception ou à l’envoi, en passant par le décryptage forcé, jusqu’à l’exploitation du flux en tant que tierce partie. Toutes ces approches représentent des mécanismes qui compromettent la sécurité en brisant le concept de protection intégrale.

Unissons nos efforts pour protéger le cryptage. Battons-nous pour notre droit à assurer la sécurité de nos communications. Si les gouvernements peuvent insister sur le fait qu’ils sacrifient la sécurité d’une personne pour le bien de tous, en réalité, ils imposent le sacrifice de la sécurité pour nous tous.




Voir les articles précédents

    

Voir les articles suivants