Le gouvernement américain cherche un moyen pour accéder aux données des utilisateurs, même quand elles sont chiffrées. L’une des pistes envisagées est de créer des copies de clés, de les fragmenter et de les distribuer à différentes entités, pour éviter une surveillance abusive.

Le chiffrement commence à poser problème aux espions de la NSA. De plus en plus de personnes prennent l’habitude de chiffrer leurs données quand elles sont en transit ou lorsqu’elles sont stockées. Suite aux révélations d’Edward Snowden, les fournisseurs high-tech ont également fait beaucoup d’efforts pour mieux protéger les données de leurs clients, histoire de ne pas les perdre. Face à ce constat, le gouvernement cherche des solutions permettant d’accéder aux données cryptées, sans pour autant affaiblir le niveau de sécurité général.

D’après The Washington Post, plusieurs scénarios sont actuellement à l’étude dans la Maison Blanche. L’un d’entre eux consisterait à effectuer systématiquement une copie de la clé de chiffrement utilisé par l’utilisateur, puis de la couper en plusieurs fragments qui seront alors répartis entre différents acteurs, par exemple le FBI et le fournisseur de service. Cette solution aurait plusieurs avantages. D’une part, elle augmente la difficulté d’un vol de la clé, car un pirate devrait pénétrer dans plusieurs systèmes informatiques pour récupérer la totalité de la clé. D’autre part, l’accord de tous les acteurs impliqués serait nécessaire pour déchiffrer les données, ce qui réduirait le risque d’une surveillance arbitraire et à outrance.

Mais les experts en sécurité interrogés par le Washington Post restent dubitatifs et ne pensent pas qu’un tel système puisse réellement fonctionner. Cette façon de faire serait beaucoup trop complexe : il faudrait imaginer un système capable de distribuer les fragments en toute sécurité, de les reconstituer en cas de besoin, puis d’assurer leur destruction en cas de renouvellement de la clé par l’utilisateur. D’autre part, cette complexité accrue augmenterait le risque d’une panne et, par conséquent, affaiblirait le niveau de sécurité.

Se pose, enfin, une question essentielle : comment faire si l’utilisateur s’appuie sur des logiciels de chiffrement de bout en bout, sans partage de la clé de chiffrement, tels que les outils de communication Silent Circle ou Signal ? Le gouvernement américain peut difficilement avoir une copie des clés si l’acteur est situé à l’étranger ou si le logiciel est open source. Les dispositifs actuellement à l’étude ne pourraient donc concerner que des acteurs présents aux Etats-Unis. Ce qui est déjà beaucoup.

Source : washington post – 01net

Laisser un commentaire