Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

USA : le nouveau projet de loi EARN IT menace toujours le chiffrement et la liberté d'expression,
Malgré les amendements, selon l'EFF

Le , par Stan Adkens

63PARTAGES

8  0 
EARN IT Act (Eliminating Abusive and Rampant Neglect of Interactive Technologies) est un projet de loi du Sénat américain qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne. Dès le départ, des organisations de la protection de vie privée et des libertés civiles sur Internet, comme l’EFF et l’ACLU, ainsi que des sociétés de l’Internet, comme Signal, s’opposent au projet de loi, arguant qu’il donnera un pouvoir démesuré aux autorités gouvernementales afin de miner sérieusement le chiffrement fort, mettant ainsi les informations des utilisateurs en danger. La Fondation Mozilla se joint à ce groupe et appelle également à s'opposer à cette loi, selon un billet de blog publié par l’organisation.

Pendant le mois de juin, les Américains étaient nombreux dans la rue pour exprimer leur indignation face à la brutalité policière. Mais plutôt que d'envisager des propositions de réforme, une commission du Sénat s'attache à donner des pouvoirs sans précédent aux forces de l'ordre – y compris la possibilité de s'introduire dans les messages privés grâce à un affaiblissement du chiffrement – via la nouvelle loi des autorités américaines, selon l’EFF, une organisation américaine de protection des libertés sur Internet.


Selon l'organisation, la loi EARN IT permettrait au gouvernement de scanner chaque message envoyé en ligne. Ce projet de loi crée une commission non élue de 19 personnes, qui serait dominée par les forces de l'ordre, avec le procureur général des États-Unis William Barr à la tête. Cette commission sera autorisée à établir de nouvelles règles sur les "meilleures pratiques" que les sites Internet devront suivre. Toute plateforme Internet qui ne se conformera pas à cette liste de souhaits en matière d'application de la loi perdra les protections juridiques de l'article 230.

L'article 230 protège les médias sociaux et les grandes sociétés Internet, mais aussi les propriétaires de petits forums en ligne, de sites Web et de blogs comportant des sections de commentaires, contre toute sanction pour les propos d'autrui. Sans les protections de l'article 230, les propriétaires de plateformes et les modérateurs en ligne auront tout intérêt à sur-censurer les discours, puisqu'ils pourraient potentiellement être poursuivis en justice sur la base des déclarations de quelqu'un d'autre.

Si elle est adoptée, la loi EARN IT pourrait mettre fin à la vie privée des utilisateurs telle que nous la connaissons aujourd’hui. Les entreprises technologiques qui fournissent des services de messagerie chiffrés privés pourraient devoir réécrire leur logiciel pour permettre à la police d'avoir un accès spécial aux messages de leurs utilisateurs. « Une fois que les sites Web auront perdu les protections de l'article 230, ils prendront des mesures drastiques pour réduire leur exposition. Cela limitera la liberté d'expression sur Internet. Ils fermeront les forums et les sections de commentaires, et céderont aux fausses allégations selon lesquelles certains utilisateurs enfreignent les règles, sans procéder à une enquête en bonne et due forme », a écrit l’EFF dans un article publié jeudi. L’EFF appelle les Américains à exhorter leur sénateur à rejeter à la loi.

La Fondation Mozilla appelle à « s'opposer à la loi EARN IT »

Dans un billet de blog publié sur son site Web, la Fondation Mozilla a déclaré : « Le Sénat américain propose une loi qui menace le chiffrement fort, le fondement de la sécurité numérique. Si les sénateurs qui défendent ce projet de loi, qu'ils ont baptisé "Eliminating Abusive and Rampant Neglect of Interactive Technologies Act" (EARN IT Act), peuvent avoir de bonnes intentions, ils se trompent lourdement sur l'impact de leur proposition ».

« Le chiffrement garantit la protection de nos informations, qu'il s'agisse de nos données financières et médicales sensibles, de nos courriels ou de nos SMS. Mais la loi EARN IT créera une large voie pour les acteurs gouvernementaux afin de miner sérieusement un chiffrement fort, mettant nos informations en danger. C'est pourquoi Mozilla se joint à des dizaines d'autres organisations de défense et de la société civile sur Internet pour demander au Congrès américain de voter non à la loi EARN IT », a ajouté l’organisation.


Les partisans du projet de loi affirment que le projet de loi ne concerne pas le chiffrement ou la protection de la vie privée. La loi consiste à amener les fournisseurs de services interactifs en ligne (par exemple, Facebook et Twitter) à mettre les bonnes pratiques de la commission du Sénat en œuvre afin de prévenir l'exploitation sexuelle des enfants en ligne. Mais, selon l’EFF, les priorités des promoteurs sont parfaitement claires, dans la mesure où le sénateur Lindsay Graham, l'un des parrains d'EARN IT, a présenté un autre projet de loi qui est une attaque directe contre les messages chiffrés, et que M. Barr a répété à maintes reprises que les services chiffrés devraient être contraints d'offrir un accès spécial à la police.

Le chiffrement et la liberté d'expression toujours menacés, selon l’EFF

Selon un article publié par l’EFF jeudi, alors que le projet va faire l’objet de vote à la commission sur la loi EARN IT, les promoteurs de la loi ont apporté des modifications au texte. Dans la version amendée, « au lieu de donner à une commission fédérale de 19 personnes, dominée par les forces de l'ordre, le pouvoir de réglementer l'Internet, le projet de loi donne maintenant effectivement ce pouvoir aux assemblées législatives des États », a rapporté l’EFF.

Aussi, alors que la version précédente du projet de loi suggérait que les plateformes en ligne pourraient conserver leur immunité en vertu de l'article 230 si elles suivent les directives de la commission gouvernementale, la version modifiée ne leur donne pas cette chance. « Les propriétaires de sites Web - en particulier ceux qui permettent le chiffrement - ne peuvent pas "gagner" leur immunité de responsabilité pour le contenu des utilisateurs selon le nouveau projet de loi. Ils devront simplement se défendre au tribunal, dès qu'un seul procureur, ou même un simple avocat exerçant en privé, décidera que le fait d'offrir un chiffrement de bout en bout était un signe d'indifférence à l'égard des crimes contre les enfants », a écrit l’organisation.

L’EFF dit avoir envoyé jeudi une lettre à la commission judiciaire du Sénat pour s'opposer au projet de loi EARN IT modifié. Selon l’EFF, malgré les attaques politisées contre l'article 230, la loi fonctionne bien. Pour lui, cet article n'est pas « un bouclier pour la Big Tech, mais plutôt pour tous ceux qui hébergent des conversations en ligne. Elle protège les petits services de messagerie et de courrier électronique, ainsi que la section des commentaires de chaque blog ». Selon l’EFF, malgré ces changements, cette loi menace toujours le chiffrement, car l'amendement approuvé par la commission jeudi n'élimine pas le problème. « Il permet simplement à plus de 50 juridictions de suivre l'exemple de Barr en interdisant le chiffrement », a écrit l’EFF.

Toutefois, selon l’EFF, un amendement du sénateur Patrick Leahy, également voté dans le projet de loi, vise à empêcher que le chiffrement ne soit l'objectif des États. L'amendement du sénateur Leahy interdit la responsabilité des sociétés parce qu'elles utilisent « le chiffrement de bout en bout, le chiffrement par dispositif ou d'autres services de chiffrement ».

Cependant, le projet de loi encourage encore les législateurs des États à chercher des failles pour attaquer le chiffrement de bout en bout, comme exiger que les messages soient scannés sur un appareil local, avant d'être chiffrés et envoyés à leur destinataire, a écrit l’EFF. « Nous pensons que cela serait contraire à l'esprit de l'amendement du sénateur Leahy », a déclaré l’organisation.

Sources : Mozilla, EFF

Et vous ?

Que pensez-vous des craintes de Mozilla ? Les partagez-vous ?
Que pensez-vous des amendements apportés au projet de loi ?
Selon l’EFF, le chiffrement est toujours menacé, malgré les amendements. Qu’en pensez-vous ?

Voir aussi :

USA : l'EFF encourage les internautes à faire entendre leurs voix contre le projet de loi EARN IT, qui pourrait donner aux autorités la possibilité d'exiger un affaiblissement du chiffrement
Les politiciens US veulent interdire le chiffrement de bout en bout sur les services de messagerie tels que Telegram et Whatsapp à travers le projet de loi EARN IT
Signal, une plateforme de messagerie chiffrée, menace de se retirer du marché américain, si le projet de loi anti-chiffrement EARN IT est adopté
Le Congrès US pourrait adopter EARN IT, le projet de loi qui met fin au chiffrement en ligne, malgré l'opposition des entreprises technologiques

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Neckara
Inactif https://www.developpez.com
Le 06/07/2020 à 16:41
Citation Envoyé par el_slapper Voir le message
Tous les experts en sécurité m'ont dit la même chose :

  1. une porte dérobée, c'est une porte
  2. une porte, pour un hacker, c'est toujours une porte ouverte


Et j'ai tendance à les croire.
Mmmm.... je serais un peu plus nuancé, c'est juste mon esprit de contradiction et de pinaillage.

Le problème des backdoors est qu'elles sont généralement très peu sécurisées, et se reposent sur une sécurité par l'obscurité (très nul), ou donnent accès à bien trop de données si jamais elles étaient exploitées.

Par exemple, un compte backdoor sur Windows n'a pas de raison d'être moins sécurisé que votre e.g. mot de passe. Le problème c'est que si on vole votre mot de passe, on n'a accès qu'à votre compte, alors que si on exploite la backdoor, on a accès à tous les ordinateurs Windows.

Les backdoors deviennent alors très attractives, dont les attaquants, sont bien plus motivés et y mettent bien plus de moyens. Par sûr e.g. que la Chine utilise tous ses super-calculateurs pour trouver mon mot de passe Windows... en revanche, pour trouver une backdoor sur l'ensemble des ordinateurs Windows... c'est tout de suite bien plus intéressant.

Après il existe des technologies de fonctions avec trappes, de dés-anonymisations, qui sont un peu comme des backdoors. Mais quand on le fait, c'est pas des guignols de politiciens qui se penchent dessus. C'est pas une clé globale stockée n'importe où qui donne accès à toutes les données, ni même censée être très utilisée.

Par exemple, un cas d'usage est pour les dossiers médicaux. Seul vous et votre médecin devez pouvoir consulter vos données médicales, donc être chiffrées de sorte à ce que celui vous et votre médecin puissiez y accéder. Le problème est... que se passe-t-il si vous vous retrouvez à l'hôpital inconscient dans un cas urgent ? Votre médecin n'est pas là, et vous êtes inconscient. Il y a alors besoin d'une "backdoor", que certains personnels médicaux pourront utiliser... mais en conservant les traces des accès avec tout un cadre protocolaire et juridique.

Si on reprend la problématique, en soit avoir une backdoor sur nos communications chiffrées, ça peut se faire... il faudrait tout un protocole, avec plusieurs personnes possédant une "partie" de clé personnelle, e.g. un juge, un policier, le FAI, avec un enregistrement des accès, une procédure juridique, et sur un ensemble de données limitées, à la fois temporellement, et cibler une personne précise. C'est compliqué, cela fait intervenir des pans de recherches en crypto, c'est loin d'être trivial.

Pas comme ce qu'ils veulent faire et donner une clé à la NSA pour que ce soit la fête du slip.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 07/07/2020 à 9:20
oui, on est d'accord. J'ai donné le principe de base, tu rentres beaucoup plus dans les détails.

D'ailleurs, ton histoire de dossiers médicaux, je connais bien. On appelle ça le "bris de glace". Et c'est soumis à autorisation et audité de partout, en effet. Pour moi, ce n'est pas une backdoor, c'est un accès autorisé aux données. Avec des procédures bien particulières. Une backdoor, c'est donner les clefs de la base à quelqu'un. Un bris de glace, c'est tamponner administrativement le droit, via l'interface utilisateur, le droit à quelques professionnels de santé d'accéder à un dossier médical unique.

En hospitalier, il est interdit de faire des delete. On met à jour les données. Si elles sont obsolètes, voire fausses, le système rajoute une date de fin de validité. Mais jamais de suppression. C'est interdit. Ca (plus d'autres mécanismes) permet d’auditer tout ce qui c'est passé. Effectivement, si tu donnes les clefs de la base à quelqu'un, le Delete devient possible. Outre le fait que ça corromprait méchamment la base (conçue pour que jamais rien ne soit supprimé), ça donnerait le droit de faire des choses qui sont clairement illégales(et pas par hasard).

Donc je fais la différence entre une backdoor et un bris de glace. La seconde est propre et maîtrisée. Evidemment, ces crétins ivres de leur pouvoir veulent la première - qui est catastrophique à tous les points de vue, sauf quand on veut faire du dégât.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 07/07/2020 à 13:19
Citation Envoyé par Neckara Voir le message
Je ne connaissais pas cette terminologie.

Pour une vraie Backdoor sinon, on a les comptes admins sur les ordinateurs professionnels auxquels les sysadmins ont généralement accès. C'est utile, mais c'est vrai que pour le coup faut leur faire confiance.

Peut-être devraient-ils eux aussi avoir une procédure "bris de glace", pour déverrouiller l'accès à ce compte admin.
C'est une terminologie médicale, je ne sais pas si ça existe ailleurs. Et c'est complètement contrôlé par l'application. Un admin (au sens fonctionnel, souvent un cadre de santé, pas forcément un admin technique) donne à l'utilisateur des droits bris de glace sur un patient, et le docteur/infirmier/pharmacien a soudain accès aux données concernant le patient en question. Un équivalent pourrait être intéressant en effet, mais il nécessite d'abord d'identifier les besoins réels, et de mettre en place une interface et des procédures qui permettent d'agir sur le domaine ou l'urgence l'exige. Ce n'est pas ça qu'ils veulent. Ce qu'ils veulent, c'est les pleins pouvoirs sur les données.
2  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 06/07/2020 à 14:53
Bonjour

Que pensez-vous des craintes de Mozilla ? Les partagez-vous ?
Tout a fait. A cause d'une minorité qui utilisent de manière peu ragoûtante des messageries cryptées, les utilisateurs de bonnes n'ont pas à pâtir d'un risque de sécurité ... en cassant le chiffrement. Cela reviendrait à exiger que la poste fasse transiter chaque colis et lettre dans des emballages translucides au motif que des petits malins font transiter des choses illicites. On se rend bien compte que pour la sécurité de ce qui est légitime on crée des incendies strictement inutiles ...

Que pensez-vous des amendements apportés au projet de loi ?
Les portes "dérobées légales" n'existent pas . Le jour ou l'on ordonne des portes dérobées pour la police et que la porte est exploitée par des truands qui pompent la data en open bar on fait quoi ? On dit a si on avait su ?

J'espère vraiment que ceux qui essayent de faire passer si type de loi vont se rendre compte que cela concerne aussi des flux de types bancaire/médicaux/financier/judiciaire ... bah oui on peut aussi interagir via MP sur des sites web avec des organismes légitimes ... Cela tombe aussi sous le coup de la loi.

Selon l’EFF, le chiffrement est toujours menacé, malgré les amendements. Qu’en pensez-vous ?
Oui toujours , car on parle d'une porte dérobée "que pour le police". Le jour ou une taupe interne à une administration exploite le filon ou revend l'information ... le mal est déjà fait ... Et il sera trop tard pour dire "si on avait su" car des méconnaissant auront ordonné et voté comme des moutons sur un sujet qu'ils ne maîtrisent pas. Au moins ils sont prévenu. Et le jour ou il y a un problème j’espère qu'ils répondront de leur fautes devant des tribunaux ... et non des informaticiens exécutants ... C'est un peu fort de café de faire porter le chapeau aux autres.
1  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 06/07/2020 à 15:34
Tous les experts en sécurité m'ont dit la même chose :

  1. une porte dérobée, c'est une porte
  2. une porte, pour un hacker, c'est toujours une porte ouverte


Et j'ai tendance à les croire.
1  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 07/07/2020 à 9:48
Citation Envoyé par el_slapper Voir le message
Donc je fais la différence entre une backdoor et un bris de glace.
Je ne connaissais pas cette terminologie.

Pour une vraie Backdoor sinon, on a les comptes admins sur les ordinateurs professionnels auxquels les sysadmins ont généralement accès. C'est utile, mais c'est vrai que pour le coup faut leur faire confiance.

Peut-être devraient-ils eux aussi avoir une procédure "bris de glace", pour déverrouiller l'accès à ce compte admin.
0  0 
Avatar de darklinux
Membre éclairé https://www.developpez.com
Le 08/07/2020 à 4:12
Citation Envoyé par el_slapper Voir le message
C'est une terminologie médicale, je ne sais pas si ça existe ailleurs. Et c'est complètement contrôlé par l'application. Un admin (au sens fonctionnel, souvent un cadre de santé, pas forcément un admin technique) donne à l'utilisateur des droits bris de glace sur un patient, et le docteur/infirmier/pharmacien a soudain accès aux données concernant le patient en question. Un équivalent pourrait être intéressant en effet, mais il nécessite d'abord d'identifier les besoins réels, et de mettre en place une interface et des procédures qui permettent d'agir sur le domaine ou l'urgence l'exige. Ce n'est pas ça qu'ils veulent. Ce qu'ils veulent, c'est les pleins pouvoirs sur les données.
Moi non plus j ' ignorais cette terminologie , merci de l ' avoir enseigné
0  0