Brève histoire des tentatives des États-Unis d’installer des portes dérobées dans les données chiffrées (2016)

 (atlasobscura.com)
1 points par GN⁺ 2024-02-04 | 1 commentaires | Partager sur WhatsApp

Brève histoire des tentatives d’ajout de portes dérobées aux données chiffrées aux États-Unis

  • Le gouvernement américain a récemment connu un épisode dramatique dans son long affrontement autour de la protection des données technologiques des consommateurs et du droit du gouvernement à accéder aux informations.
  • En 2015, des responsables politiques américains et des agences de maintien de l’ordre ont publiquement fait pression pour insérer des « portes dérobées » cryptographiques dans les logiciels et le matériel afin de permettre aux forces de l’ordre de contourner l’authentification et d’accéder discrètement aux données des suspects.
  • Les experts en cybersécurité s’accordent à dire que ces portes dérobées pourraient fondamentalement affaiblir le chiffrement et être exploitées par des criminels.

Histoire des portes dérobées et avancées majeures du chiffrement

  • Pendant la Seconde Guerre mondiale, la machine Enigma, utilisée pour chiffrer les communications nazies, a marqué une avancée majeure en cryptographie.
  • Des rumeurs ont circulé selon lesquelles une porte dérobée avait été installée dans la machine Enigma, mais selon une enquête de la BBC, il n’y en avait pas ; en revanche, Crypto AG avait conclu un « gentleman’s agreement » pour fournir aux services de renseignement américains et britanniques les spécifications techniques de ses machines ainsi que des informations sur les pays acheteurs.
  • En 1993, la NSA a promu la « Clipper Chip », mais après la découverte en 1994 d’une faille par le chercheur Matt Blaze, elle est tombée en désuétude en 1996.

Tentatives récentes de portes dérobées et réactions des gouvernements

  • Il a été révélé que la NSA avait inséré une porte dérobée dans l’algorithme Dual_EC_DRBG, publié en 2007 comme standard officiel pour les générateurs de nombres aléatoires.
  • Le gouvernement néerlandais a décidé de refuser l’usage de portes dérobées et de soutenir des standards de chiffrement ouverts, et la France a elle aussi rejeté l’obligation d’en imposer une en réaction aux attentats de Paris.
  • Alors que l’affaire Apple v. FBI suit son cours devant les tribunaux, les efforts secrets de la NSA pour neutraliser le chiffrement devraient se poursuivre.

Avis de GN⁺

  • Cet article offre une vue d’ensemble de l’histoire des tentatives du gouvernement américain d’installer des portes dérobées dans les données chiffrées, et met en lumière la tension persistante entre vie privée individuelle et sécurité nationale.
  • Il apporte un éclairage sur la manière dont les experts en cybersécurité et l’industrie technologique s’opposent à ces portes dérobées, ainsi que sur le fait qu’elles peuvent en réalité affaiblir le chiffrement.
  • Il suggère que de grandes affaires juridiques comme Apple v. FBI continueront à jouer un rôle important dans le débat sur la vie privée individuelle et la sécurité des données.

À lire aussi

1 commentaires

 
GN⁺ 2024-02-04
Avis sur Hacker News

  • Mention de la réglementation ITAR :

    • La réglementation ITAR a empêché Phil Zimmerman d’exporter la technologie de chiffrement PGP en 128 bits.
    • Zimmerman et MIT Press ont publié le code source sous forme de livre, le plaçant ainsi sous la protection du Premier amendement, ce qui a permis son OCR et sa recompilation à l’étranger.
    • Grâce à l’ITAR, la société sud-africaine Thawte a monopolisé la vente de certificats SSL 128 bits hors des États-Unis.
    • Thawte a été rachetée par Verizon pour 600 millions de dollars, et son fondateur Mark Shuttleworth a utilisé cet argent pour devenir astronaute et lancer Ubuntu.

  • Nouvelles informations sur Crypto AG :

    • Le 11 février 2020, le Washington Post, la ZDF et la SRF ont révélé que Crypto AG appartenait à un partenariat secret entre la CIA et les services de renseignement ouest-allemands, ce qui permettait à ces agences de déchiffrer facilement les messages chiffrés.

  • Contexte de l’article de 2016 :

    • Après l’attaque de San Bernardino en 2015, le FBI a tenté d’accéder à l’iPhone de l’assaillant, et Apple a résisté à la demande du FBI, qui voulait un certificat lui permettant d’installer un firmware, une app ou un OS arbitraire sur n’importe quel iPhone.

  • Curiosité sur l’origine de l’algorithme SHA :

    • Un utilisateur a déposé une demande FOIA auprès de la NSA pour obtenir des informations sur SHA-0.
    • Après avoir reçu de la NSA une réponse approximative indiquant que cela coûterait cher, son accès au site web de la NSA a été bloqué.

  • Vulnérabilités de sécurité d’Intel ME et d’AMD :

    • Les utilisateurs de puces récentes ont un énorme trou de sécurité à cause d’Intel ME (ou de l’équivalent chez AMD), et l’OS ne peut pas le corriger par patch.
    • puri.sm prend des mesures pour résoudre ce problème, mais on ne sait pas clairement dans quelle mesure elles sont efficaces.

  • Les algorithmes de chiffrement speck et simon que la NSA a tenté d’introduire dans le noyau Linux :

    • La NSA a essayé d’inclure les algorithmes de chiffrement speck et simon dans le noyau Linux, mais ils ont finalement été retirés après les critiques d’experts comme Schneier.

  • Politique américaine d’exportation des algorithmes de chiffrement :

    • Pendant longtemps, les États-Unis ont considéré les algorithmes de chiffrement comme des armes, et leur exportation nécessitait une licence d’exportation d’armement.
    • Le gouvernement américain soutenait qu’un chiffrement de 56 bits était suffisant et autorisait l’usage de DES pour « protéger » les communications des banques et d’autres institutions.

  • Soupçons concernant le chiffrement sur courbes elliptiques de la NSA :

    • Il existe des soupçons selon lesquels la NSA aurait intégré ses propres « magic numbers » dans les seeds du chiffrement sur courbes elliptiques.

  • Confusion entre Enigma et Crypto AG, et décès de David Kahn :

    • L’article confondait Enigma et Crypto AG, mais peu de gens l’ont relevé.
    • Il semble approprié de partager cette information en hommage à la disparition de David Kahn.