Vendredi 20 octobre 2017
NASDAQ : 6629.0786 24.4297   nasdaq0.37 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Cryptographie : vers un retour en arrière ?

Imprimer Envoyer à un ami Contacter la rédaction
Par Burçin Gerçek le 09/10/2002 - indexel.net
 

Les éditeurs de logiciels de cryptage devront-ils aider les services de police à lire les messages suspects ? La nouvelle réglementation dans ce domaine les oblige à fournir les clés de cryptage. Réactions des professionnels qui n´apprécient guère...

 

Vous tenez à la protection de vos données et les logiciels de cryptage font partie de vos meilleurs amis ? Mauvaise nouvelle : vous ne pourrez plus entièrement faire confiance aux outils de chiffrement. La nouvelle réglementation sur la cryptographie permet aux autorités d´intercepter et de décoder les messages chiffrés. Un nouveau décret, qui crée un "centre de décodage" et qui oblige les éditeurs de logiciels à fournir les clés pour lire les messages suspects, vient d´être publié.

Selon le décret - qui s´inscrit dans la continuité de la loi sur la sécurité quotidienne (LSQ) - les fournisseurs de services de cryptage devront "collaborer avec les services de l´Etat pour déchiffrer les messages" s´ils ne veulent pas être punis "de deux ans d´emprisonnement et de 30 000 euros d´amende". En d´autres termes, ils devront soit installer "une porte dérobée" dans leurs produits ou devenir des "tiers de confiance", donc garder un double des clés utilisées par leurs clients pour crypter les messages. Le décret permet aux services de police d´intercepter les e-mails sans le contrôle des juges, sur simple suspicion et sans aucune possibilité de recours.

Toutes les entreprises sont concernées

"Ce genre de mesure vise les réseaux mafieux ou terroristes. Mais il a souvent plus d´impact sur les utilisateurs qui n´ont rien à voir avec les réseaux criminels et qui ont juste besoin de protéger leurs données, comme les entreprises dans le secteur bancaire ou financier", explique Alexandre Stervinou (photo), ingénieur chez RSA Security. "Cela pose un problème pour toutes les entreprises utilisatrices des systèmes de chiffrement. Premièrement, le fait que le gouvernement puisse avoir un droit de regard sur leurs messages va à l´encontre du principe de la protection des données. Deuxièmement, les systèmes utilisés n´ont peut-être pas prévu l´archivage des clés. Les entreprises seront donc incapables de fournir les clés de cryptage si elles sont sollicitées dans le cadre d´une enquête".Selon la Fédération Informatique et libertés, qui regroupe plusieurs ONG de défense de la vie privée, le problème concerne tous les métiers tenus au secret professionnel, comme les médecins, les avocats, les journalistes ou les ministres du culte. Pour ces secteurs, il y a donc des sérieuses raisons pour s´inquiéter. Mais quid des éditeurs de logiciels, qui sont clairement visés par le décret ? Changeront-ils leurs méthodes de travail pour inclure des portes dérobées ou pour devenir des tiers de confiance ? S´ils n´apprécient guère la nouvelle réglementation, ils s´accordent à dire qu´elle est difficilement applicable.

"Il est hors de question de mettre des portes dérobées dans nos produits. La confiance des utilisateurs dans les logiciels ne doit pas être mise en cause", souligne Alexandre Stervinou, de RSA. "Quant aux clés de cryptage, nous ne sommes pas concernés directement car nous ne fournissons que la technologie. Ce sont les utilisateurs finaux qui gèrent les clés". Même son de cloche chez Pascal Janer, de MSI : "Nous serons incapables de fournir les clés aux autorités s´ils nous en font la demande, car tout simplement nous ne les avons pas. Ce sont nos clients qui les génèrent avec le logiciel".

Une loi inapplicable

"C´est sûr que ça complique notre façon de travailler. Nous ne pourrons pas aider les autorités car nous n´avons pas les moyens de déchiffrer un message crypté", déclare de son côté Nicolas de Pomereu, de Safelogic. "Ce genre de mesure est inutile car ceux qui ont vraiment quelque chose à cacher trouveront de toute façon des moyens pour les contourner. Ils n´utiliseront pas des logiciels légaux. C´est une loi inapplicable". Jean-Yves Faurois, directeur sécurité de CertPlus est catégorique : "C´est un retour en arrière en matière de libéralisation du cryptage. Le précédent gouvernement avait supprimé le système de tiers de confiance obligatoire. Le décret veut le restaurer, mais il y aura plusieurs difficultés : nous ne gardons les clés de chiffrement que si nos clients nous font la demande. Mais le stockage n´est pas systématique : nous ne pourrons pas décrypter le message d´une entreprise qui n´a pas fait cette demande".Pour l´instant, aucun éditeur n´envisage de changer son fonctionnement. Au moins, jusqu´à ce qu´ils soient confrontés à une demande des services de police, ce qui n´est pas arrivé jusqu´à présent. "La nouvelle réglementation considère le cryptage comme une arme de guerre. Or il y a eu énormément de progrès dans ce domaine ces dernières années. L´usage de ces outils était considéré comme normal pour protéger sa vie privée, comme on trouve normal de fermer sa maison à clé. Mais aujourd´hui on revient en arrière", regrette Alexandre Stervinou. Le climat hypersécuritaire de l´après 11 septembre continue à porter atteinte à la protection des données.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages