33C3 – The Fight for Encryption in 2016 (Kurt Opsahl)

Pierre d'Huy Conférences

Cette conférence était axée sur le sujet de la place de la cryptographie dans les débats de société en 2016. Le conférencier a tout d’abord cherché à établir trois axes:

  • Le positif (Good): La cryptographie a été déployée de manière massive au cours de l’année 2016 avec des résultats impressionnant comme l’utilisation de WhatsApp ou de Signal pour la protection des données personnelles
  • Le négatif (Bad): Les gouvernements cherchent à produire des lois qui veulent empêcher l’usage libre de la cryptographie et forcer les utilisateurs à céder leur clef de chiffrement. De plus la recherche systématique de vulnérabilités à des fins inquisitrices pose des interrogations sur la fonction des états à protéger.
  • Le dangereux (Ugly): De nombreux états ont cherché à faire pression en arrêtant des membres d’entreprise (WhatsApp au Brésil) ou ont coupés les communications chiffrées (Egypte, Turquie…)

Le danger le plus insidieux pour le conférencier est le risque auquel exposent les pratiques légales dans les démocraties cherchant à accéder à des informations en fragilisant les systèmes. Le problème s’est progressivement déplacé de « vie privée contre sécurité » à « sécurité contre sécurité ». Avec des champs lexicaux impliquant l’imminence d’une menace terroriste, les services d’état cherche à affaiblir le soutien envers la sécurité technique, mais un pareil d’affaiblissement aurait des conséquences néfastes dans un monde globalisé où celui qui vous écoute n’est pas forcément celui qui vous protège. Selon le conférencier, le code source devrait être considéré comme de la parole et de ce fait être protégé par le premier amendement.

Dans le cas de l’affaire FBI vs Apple, le conférencier souligne que l’affaire commence tout d’abord à Brooklyn où le FBI a cherché à déchiffrer le téléphone d’un dealer de méthamphétamines. Pour forcer Apple à les aider à déchiffrer le téléphone, ils font alors appel à une loi de 1789, la « All Writs Act », loi qui autorise les mandataires de la Justice (ici le FBI) de demander tout écrit nécessaire pour l’accomplissement de la loi.

La Justice délibère sur le cas, lorsqu’en février 2016, le FBI dépose une requête similaire en Californie mais cette fois pour le téléphone du terroriste de San Bernardino. La demande précise cette fois le besoin de faciliter le bruteforce en enlevant les délais de sécurité et empêcher le formatage automatique en cas de trop nombreuses combinaisons. Cette demande est faite directement au tribunal sans requérir l’aide d’Apple. Cette demande implique la création d’une porte dérobée à usage gouvernementale, ce qu’Apple refuse en demandant la reconsidération par la Cour des faits et en avançant que la véritable volonté du procureur (et du FBI) et de créer « un virus dormant » (lying dormant cyber pathogen).

Le FBI, s’il nie d’abord la volonté de créer un précédent sur le sujet, finit par le reconnaitre plus tard. Finalement, l’affaire tournera dans l’autre sens puisque le juge de Brooklyn conclus par un refus expliquant la non-pertinence de cette loi pour créer une porte dérobée et le danger que celle-ci causerait. Le FBI décidera alors de demander un délai en Californie et achètera un logiciel qui lui permettra de contourner la sécurité des iPhones ne disposant pas de Secure Enclave pour 1 million de dollars. Le FBI abandonnera alors toutes les procédures et ne fera pas appel sur la décision de Brooklyn afin de ne pas créer de précédent.

Apple a alors répondu avec de nouvelle sécurité notamment sur la génération de clefs basée sur la dérivation du passcode, la mise en place de protection hardware et la création d’un Bug Bounty axé sur la protection des données.

Cette affaire est symptomatique d’une pensée plus profonde comme le montre l’évolution politique américaine en partant d’Octobre 2015. Obama déclarait alors son refus d’une loi obligeant la présence d’une Golden Key. En Mars 2016, il déclare ensuite qu’il n’est pas compréhensible de protéger son téléphone devant une vie humaine, choisissant alors le discours populiste utilisé par le FBI. Le président élu Donald Trump semble annoncer bien pire avec ses déclarations fracassantes (mais non suivi d’effet comme le boycott d’Apple) ou ses nominations:

  • le futur procureur général, Jeff Sessions, a ainsi déclaré que Tim Cook n’y comprenait rien
  • le futur directeur de la CIA, Mike Pompeo, a, quant à lui, appelé à retirer les ralentissements à la sécurité nationale comme le chiffrement.

La législation américaine actuelle n’est pas en reste avec la loi Burr-Fernstein qui cherche à sanctionner le non déchiffrement, non seulement dans un cadre pénal, mais aussi criminel, pour les entreprises et les particuliers, et cela malgré les retours de deux commissions du congrès:

  • Homeland Security commitee qui reconnait l’existence d’une problématique sécurité contre sécurité et l’aspect inapproprié de la législation sur le sujet
  • Judiciary Commitee qui souligne que seul l’utilisateur devrait être tenu responsable et non l’entreprise qui fournit le service

En Angleterre, l’UK Snooper Charter a cherché à autoriser l’accès à l’historique des communications des utilisateurs sur un an et le fait de pouvoir accéder instantanément aux communications actives d’un utilisateur en cas de besoin. La Cour de Justice Européenne a dénoncé cette loi en autorisant cependant les attaques ciblées sur les individus. Une autre loi, l’Investigatory Power Act, oblige les créateurs de solutions de sécurité britanniques à informer le gouvernement du niveau de sécurité de leur solution, autoriser les interventions étatiques sur le code et ajouter une porte dérobée.

En Europe en juillet 2016, les ministres de la Justice se sont réunis sur la problématique du chiffrement et la conclusion a été finalement portée par l’initiative européenne ENISA par le refus net de l’utilisation de portes dérobées.

En 2016, l’Australie a également classifié le chiffrement sur la liste des biens Stratégiques et de Défense. L’Inde a finalement abandonné l’obligation d’absence de chiffrement et requiert maintenant l’intégration de son système backdooré de biométrie sur les téléphones et et dans tous les appareils ou il est possible de l’implémenter.

2016 a aussi été une année de progrès et de renouveau. Après le blocage de Signal en Egypte en décembre, Signal a commencé à utiliser les serveurs de google, plus difficile à bloquer. WhatsApp a décidé de passer le chiffrement comme option par défaut et, malgré quelques remous récents, sans porte dérobée, Google Allo et Facebook Messenger intègre également le chiffrement des communications bout-à-bout mais pas par défaut. Enfin, un rapport de l’ONU a apporté un soutien de poids au projet avec une définition de la cryptographie comme une nécessité absolue pour défendre Liberté et Démocratie. Au Pays-Bas, le gouvernement s’est également positionné contre toutes restrictions contre la cryptographie.

Enfin l’arrivée de Letsencrypt sur le marché a permis à 21 million de site d’être protégé par HTTPS, ce qui fait qu’aujourd’hui 1/3 des sites visités sur internet sont en HTTPS et 2/3 du temps passé en chiffré (statistiques via la collecte anonyme de données sur Firefox).

Le conférencier a ensuite proposé ses prévisions pour l’année 2017:

  • Le Mauvais avec l’apparition de plus en plus de loi sur le modèle de l’Investigatory Power Act (assistance law), de plus en plus de pression sur les fournisseurs et des attaques contre eux ou contre les points finaux.
  • Le Bon avec la preuve que le lobby technologique a pu s’opposer au LEA, avec la persistance de la cryptographie FOSS.

En conclusion, Encrypt the World!