Ottawa veut le pouvoir de créer des portes dérobées secrètes dans les réseaux à des fins de surveillance

 (theglobeandmail.com)
1 points par GN⁺ 2024-05-30 | 1 commentaires | Partager sur WhatsApp

Les problèmes du projet de loi canadien sur la cybersécurité

Principaux éléments du projet de loi C-26

  • Le projet de loi C-26 accorde au gouvernement canadien le pouvoir d’ordonner secrètement aux opérateurs télécoms d’installer des portes dérobées dans des réseaux chiffrés.
  • Cela pourrait permettre de modifier les normes de chiffrement de la 5G afin de faciliter la surveillance gouvernementale.

Vulnérabilités des réseaux existants

  • Les réseaux actuels comportent déjà de nombreuses vulnérabilités.
  • Par exemple, le système de signalisation No.7, développé en 1975, constitue une faille majeure de la sécurité des téléphones mobiles.
  • Selon un rapport 2023 de Citizen Lab, des vulnérabilités étendues existent au cœur des réseaux mobiles dans le monde entier.

Les problèmes du projet de loi

  • Le gouvernement devrait corriger les vulnérabilités existantes plutôt que d’en créer de nouvelles.
  • Le projet de loi C-26 accorde de vastes pouvoirs permettant d’imposer des modifications techniques susceptibles de compromettre la « confidentialité, l’intégrité et la disponibilité » des services de télécommunications du Canada.
  • Par ce texte, le gouvernement deviendrait l’unique arbitre de la sécurité des communications les plus confidentielles des Canadiens.

Les risques d’un affaiblissement du chiffrement

  • Le chiffrement de la technologie 5G protège les communications mobiles et les données des utilisateurs contre les attaques de l’homme du milieu.
  • Le projet de loi pourrait aussi affecter les appareils intelligents connectés au cloud et les services basés sur satellite.
  • Historiquement, les portes dérobées gouvernementales ont représenté une menace grave pour la cybersécurité.

Les contradictions de la stratégie gouvernementale en cybersécurité

  • Le Canada a bloqué en 2022 les équipements télécoms de Huawei et ZTE, mais le projet de loi C-26 donnerait au Canada le pouvoir d’affaiblir le chiffrement par des ordres secrets.
  • Cela contredit la politique pro-chiffrement du Canada ainsi que les recommandations des experts.

Il n’existe pas de porte dérobée sûre

  • Selon un rapport du GCHQ, la menace représentée par les entreprises commerciales de piratage aura un impact majeur sur l’environnement cyber.
  • Si le gouvernement canadien force les opérateurs télécoms à affaiblir les fonctions de sécurité, les sociétés d’espionnage cyber et d’autres adversaires trouveront davantage de moyens d’accéder aux communications.

L’avis de GN⁺

  • Importance du chiffrement : le chiffrement est au cœur de la cybersécurité, et l’affaiblir menace la sécurité de l’ensemble du système.
  • Politique gouvernementale contradictoire : la politique du gouvernement canadien manque de cohérence, ce qui peut aussi avoir des effets négatifs à l’international.
  • Vulnérabilités techniques : si le projet de loi est adopté, il est probable qu’il crée de nouvelles vulnérabilités techniques.
  • Besoin d’alternatives : le Canada devrait réexaminer sa législation sur la cybersécurité dans le sens de la protection et du renforcement du chiffrement.
  • Impact international : le projet de loi canadien pourrait servir de justification à des législations répressives similaires dans d’autres pays.

À lire aussi

1 commentaires

 
GN⁺ 2024-05-30
Avis sur Hacker News

  • Surveillance des réseaux de télécommunications au Canada : le Canada dispose du pouvoir de surveiller les réseaux de télécommunications via des backdoors. C’est quelque chose de possible dans les infrastructures de tous les pays.

  • Surveillance sans contrôle judiciaire : le Canada semble vouloir mener une surveillance sans passer par les procédures juridiques traditionnelles.

  • Scanners côté client : les scanners côté client permettent la surveillance sans casser le chiffrement de bout en bout (E2EE).

  • NPU et analyse lexicale : il est possible de surveiller les conversations à l’aide des NPU (unités de traitement neuronal) et de technologies d’analyse lexicale.

  • Les leçons de Snowden et Assange : la surveillance menée par l’État n’exige pas toujours un niveau de preuve élevé. En pratique, la surveillance a bien lieu.

  • Obligation légale des opérateurs télécoms : dans la plupart des pays, les opérateurs télécoms ont l’obligation de fournir des capacités de surveillance légale.

  • Cas de piratage : en 2017, il était possible de pirater quelqu’un au Canada avec le seul numéro de téléphone d’un député. La question se pose de savoir si cette attaque est encore possible aujourd’hui.

  • Contrôle politique : ces efforts de surveillance visent le contrôle politique plus que de véritables enjeux de criminalité ou de sécurité.

  • Extension des capacités de surveillance : les gouvernements affirment ne pas vouloir étendre leurs capacités de surveillance, mais dans les faits ils les renforcent.

  • Outils de surveillance légale : certaines agences aux États-Unis et au Canada utilisent des outils de JSI Telecom pour effectuer de l’inspection approfondie de paquets et enregistrer les appels téléphoniques.

  • Démocratie et république : il est possible que la démocratie soit remplacée par une république, ce qui pourrait évoluer vers un système où le gouvernement peut faire ce qu’il veut.

  • Garantie constitutionnelle du chiffrement : il pourrait être nécessaire de garantir constitutionnellement le chiffrement. Cela correspond bien au principe des freins et contrepoids.