URL: https://linuxfr.org/users/khivapia/journaux/defective-by-design-backdoors-nsa-le-retour Title: Defective by design : backdoors NSA, le retour ? Authors: khivapia Date: 2010年09月28日T01:19:55+02:00 Tags: firefox Score: 37 [Nota : tout ceci se passe aux USA] Vous n'êtes pas sans connaître l'histoire de la puce Clipper, que la NSA avait voulu imposer officiellement aux équipementiers réseaux et Télécom américains [http://fr.wikipedia.org/wiki/Clipper_chip](http://fr.wikipedia.org/wiki/Clipper_chip) , puce qui intégrait une porte dérobée accessible à la seule NSA par un mécanisme de _key escrow_ et un chiffrement propriétaire, Skipjack [http://fr.wikipedia.org/wiki/Skipjack_%28cryptographie%29](http://fr.wikipedia.org/wiki/Skipjack_%28cryptographie%29) . Ou bien les ennuis sans mesure de Phil Zimmermann, auteur de PGP, le premier logiciel mettant la cryptographie forte à la disposition du grand public. Ennuis qui s'arrêtèrent d'un seul coup mystérieusement sans que quiconque ne sache s'il n'y avait pas eu une négociation - backdoor dans un logiciel à qui beaucoup faisaient confiance contre arrêt des poursuites ? Ou encore la faiblesse avérée de l'algorithme de chiffrement des téléphones portables, A5/1 - contre l'avis de l'Allemagne qui, au plus près de l'Union Soviétique, avait compris l'intérêt de permettre à ses entreprises l'accès à des services facilitant moins l'espionnage industriel. Plus près de nous, les innombrables piégeages de logiciels, dont une illustration est le fameux Workload reduction factor de Lotus [http://en.wikipedia.org/wiki/IBM_Lotus_Notes](http://en.wikipedia.org/wiki/IBM_Lotus_Notes) où une large partie des clefs de chiffrements intégrées au logiciel étaient chiffrées par des clefs détenues par la NSA, permettant ainsi l'espionnage par le gouvernement américain sans pour autant le permettre par les autres. Ne voilà-t-il pas que bon nombre d'entreprises de services internet, pour des questions de coûts avant tout, la technique aidant, n'intègrent pas par défaut un mode d'espionnage dans leurs produits sécurisés ? Blackberry (non recommandé par l'administration française pour des raisons de sécurité - tous les serveurs étant dans des pays anglo-saxons notamment), Skype (bien connu pour son côté _spyware_ à la "je vais regarder votre dossier firefox pour savoir comment configurer le proxy alors que je sais parfaitement traverser le plus retors des firewalls"), et Google (dont personne n'imagine pourtant sérieusement qu'ils ne coopèrent pas avec le gouvernement, fût-il de Chine), pour ne citer qu'eux, ne sont pas soumis aux obligations d'écoute qui s'appliquent aux opérateur de téléphonie [http://www.fcc.gov/calea/](http://www.fcc.gov/calea/) (paraît que Facebook non plus, mais bon on ne va pas tirer sur une ambulance là). Et bien sûr les terroristes (contestataires étudiants aux émirats arabes unis, défenseurs des droits de l'homme en Chine, etc.) utilisent leurs services ! Il faut donc que tous les fournisseurs de service s'équipent pour intégrer l'espionnage au cœur de leur infrastructure. Bien sûr, les écoutes seront uniquement légales, comme nous l'assure un grand conseiller au FBI. Évidemment, par définition les agences d'espionnage comme la NSA et la CIA agissent en dehors de la loi, comment irait-on penser qu'elles en profiteraient ! (n'oublions pas qu'elles ont la possibilité légale de faire de l'espionnage industriel pour les entreprises américaines...) Il est donc nécessaire que les opérateurs gardent la maîtrise de l'utilisation de la cryptologie par leurs clients ! En effet, il est incroyable qu'un client puisse chiffrer quelque chose sans que son fournisseur ne puisse le déchiffrer. Il faut donc que les fournisseurs de service étranger installent un serveur aux États-Unis qui permette l'interception. De même, il est inconcevable que les logiciels permettent des fonctions de sécurité qui marchent vraiment, c'est-à-dire qui sécurise contre tout adversaire raisonnable. Il faut donc que les logiciels de peer-to-peer soient redessinés pour que le trafic puisse être intercepté. Et ne parlons pas des logiciels libres, faits par des volontaires, qualifiés de freeware par le New York Times [http://www.nytimes.com/2010/09/27/us/27wiretap.html?src=ISMR(...)](http://www.nytimes.com/2010/09/27/us/27wiretap.html?src=ISMR_HP_LO_MST_FB) (page 2) qui posent ainsi une menace inconsidérée ! Quelqu'un pourrait compiler le logiciel sans la fonction d'espionnage ? Au goulp le mécréant ! "Personne ne devrait promettre à ses clients qu'ils feront un pied de nez à une ordonnance d'un tribunal des États-Unis" (dit le fameux conseiller du FBI). "Ils peuvent promettre un chiffrement fort. Il faut juste qu'ils se débrouillent pour nous donner le texte clair". À mettre en parallèle de l'adage : "Si la vie privée devient hors-la-loi, seuls les hors-la-loi auront une vie privée.". Vous mettez des rideaux à vos fenêtres, et ce n'est pas pour assassiner votre femme en toute impunité ? Vous êtes soucieux de la protection du savoir-faire de votre entreprise ? Prenez votre sécurité informatique en main : de même qu'avec vos données personnelles, ce n'est pas en des fournisseurs externes que vous pourrez faire confiance. Les solutions existent (gpg, chiffrement de disque transparent, messagerie instantanée sécurisée, réseau peer-to-peer anonymes etc.). Utilisez-les !

AltStyle によって変換されたページ (->オリジナル) /