IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Installer des portes dérobées sur des produits, est-ce une bonne idée ?
Deux cas de dérives policières suggèrent une réponse négative

Le , par Stéphane le calme
17 commentaires

5PARTAGES

13  0 
Deux rapports publiés la semaine passée ont révélé que des forces de l’ordre, indépendamment des pays, ont déjà abusé de leur pouvoir à accéder aux informations sensibles de personnes qui n’ont pas commis de crime ou alors n’ont pas été officiellement inculpées.

L’un des deux cas nous vient de Associated Press qui a cité un rapport publié par une agence indépendante d’audit de la police de Denver. Selon le rapport, durant les dix années écoulées, 25 officiers de police ont été surpris en train d’utiliser la base de données de la National Crime Information Center (NCIC) mise à leur disposition pour des raisons personnelles comme obtenir le numéro d’une femme.

Pour rappel, la NCIC garde des informations sur les citoyens américains. Elle est utilisée par des milliers d’agences/organismes d’application de la loi dans le pays pour attraper des criminels, retrouver des propriétés volées, identifier des suspects de terrorisme, etc. Les agents qui s’en servent recherchent par exemple des informations sur des vols d’armes et de voitures, sur des fugitifs, sur des criminels sexuels et bien d’autres sujets.

Depuis 2006, 25 agents ont été pris en train d’utiliser NCIC à d’autres fins que des besoins d’enquêtes et pourtant ils ont reçu des punitions légères. Même si la police de Denver maintient qu’un usage inapproprié de cette base de données se traduit par un renvoi de l’agent qui s’est rendu coupable de l’infraction, le rapport affirme que la punition maximale qui a été donnée était une suspension de trois jours. Parmi ces 25 officiers, l’un d’eux a recherché le numéro d’une femme, employée d’hôpital avec laquelle il avait discuté durant une enquête de crime sexuel, et l’a appelée chez elle contre sa volonté. Un autre a fait une recherche relative à la plaque d’immatriculation d’un véhicule pour un ami, ce dernier s’est alors rendu au domicile de la personne et l’a menacée.

Le second cas nous vient cette fois-ci du côté de la Grande-Bretagne dans un rapport publié par le Biometrics Commissioner. Il s’agit d’un rapport fait sur l’année 2015 relatif à la rétention et à l’utilisation de matériel biométrique et qui a été présenté au Parlement ce mois-ci. Le commissaire a noté entre autres que la police britannique ne suit pas les procédures normales en ce qui concerne les données biométriques comme les empreintes digitales ou l’ADN.

Par exemple, lorsqu’un suspect est relâché par la police, les normes de la police anglaise voudraient que les données biométriques prises sur lui soient détruites. Même si le suspect fait toujours partie de l’enquête, si aucune charge n’a été retenue, ces données doivent être détruites. Dans le cas où les officiers de police souhaitent garder ces données, ils doivent suivre une certaine procédure pour y parvenir.

Pourtant, le commissaire va certifier que les officiers de police britanniques ne suivent pas cette procédure et ont conçu une base de données de ces informations biométriques qui sont donc considérées comme étant illégales. Ils continuent de s’en servir pour mener leurs enquêtes. Étant donné que la base de données a été conçue pour détruire automatiquement les données biométriques, le commissaire affirme que les agents ont trafiqué leur système afin de retenir l’information.

Pourquoi est-ce important ? Avec le débat opposant Apple au FBI qui fait rage et certaines autorités dans le monde, aussi bien aux États-Unis qu’en France, qui pensent à exiger les portes dérobées sur des produits, ces rapports viennent mettre en exergue les dangers qui peuvent en découler. De plus, il suffit qu’un pirate s’empare de la clé de chiffrement qui sera remise aux forces de l’ordre pour que tout le canal chiffré soit mis en péril.

Ces deux rapports mettent en lumière un facteur qui n’a pas été pris en compte depuis le début dans les échanges : le facteur humain. Avec une porte dérobée fournie aux forces de l’ordre, rien n’empêche un officier d’abuser de son autorité.

Source : AFP, rapport annuel du Biometric Commissionner (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

« Amendement Apple » : le député Éric Ciotti veut forcer les constructeurs à déchiffrer leurs dispositifs dans le cadre d'enquêtes terroristes

Adi Shamir, l'un des pères de l'algorithme RSA, se range du côté du FBI et explique pourquoi Apple devrait coopérer

Apple vs FBI : dans sa dernière déposition, Apple estime que la demande du gouvernement pourrait « forcer un artiste à peindre une affiche »

Une erreur dans cette actualité ? Signalez-nous-la !

17 commentaires
Commenter Signaler un problème
LSMetag
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 17/03/2016 à 12:55
S'il n'y avait que ça, ce serait encore sympa. Je vois 3 problèmes bien plus graves.

-Le plus grave, c'est la création volontaire de failles de sécurité qui finiront obligatoirement exploitées par des personnes mal-intentionnées autres que les forces de l'ordre. Vols de données sensibles, rançonwares, virus,... Les hackers repèrent même les failles non intentionnelles.

-Le deuxième problème, c'est que ça n'incite pas les services secrets, qui devraient être au top, à acquérir les compétences et les moyens pour faire leur travail sans mettre en danger le citoyen ou empiéter de façon injustifiée sur sa vie privée (surveillance de masse). Ca peut même être dangereux pour la sécurité nationale si des personnes haut placées utilisent les dispositifs backdoorés.

-Le dernier problème est un problème démocratique. Condamner judiciairement quelqu'un qui protège ses applications, est-ce considéré comme démocratique ? La Chine le fait pour ceux qui utilisent des applications autres que celles autorisées ou contournent les blacklists des FAI (Amnesty International par exemple).
12  0 
LSMetag
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 17/03/2016 à 23:45
Citation Envoyé par TheLastShot Voir le message
J'en ai un peu marre qu'on nous ressorte la sacro-sainte démocratie à toutes les sauces comme si c'était le contre-argument suprême à tout ce qui nous déplaît...
"Démocratie" signifie "le pouvoir au peuple", à partir de là je ne vois pas en quoi une décision judiciaire, quelle qu'elle soit, pourrait ne pas être considéré par nature anti-démocratique. Si la décision était prise à la majorité des votants faisant un vote acceptable (car c'est comme ça que fonctionne notre "si belle" démocratie, qui essuie rejette d'un coup de baguette magique les votes blancs et les abstentions (car les absents ont toujours tord, peut importe qu'ils aient des arguments valables, de toute façon on ne les écoutent pas...)) elle serait, de fait, totalement démocratique (même si celle-ci impliquerait une privation total de droit, une interdiction de culte, ou une entrave à la loi).

Pour ce qui est de ton deuxième argument, j'ai un peu de mal à comprendre... Quelque soit la manière de procéder, ils feraient un même usage des données, quelque soit leurs compétences (si je cherche à aller dans un magasin, une fois arriver à destination je ferais mes courses, quelque soit le chemin que j'aurais pris...), donc installer une backdoor ne changera rien à la surveillance de masse ou autre... La seule différence c'est qu'on facilite l'accès, mais ça malheureusement, la plupart des gens s'en charge d'eux-même (avec parfois l'aide des services qu'ils utilisent et qui ose prétendre qu'un mot de masse compliqué de 10 caractères est plus sécurisé que "jaimelesponeysrosequisurfsurunarcenciel" (ou qui autorise encore les mots de passe du genre "password" ou "123456").

Et enfin pour ton premier argument... Bah de toute façon, les "hackers" qui travaillent pour le gouvernement sont les même (je parle en terme de compétence) que se qui travaillent pour leur pomme... Donc faille officiel ou non, à partir du moment où l'un peut un utiliser une, l'autre le peu aussi (à ceci prêt que, en théorie, les "méchants" hackers n'ont pas les contraintes légales ce qui leur donne un avantage (théorique) par rapport aux autres...)
Je vais essayer d'être plus clair.

1) Les hackers qui travaillent pour les gouvernements occidentaux ne sont pas ceux qui travaillent pour leur pomme. Ce ne sont pas des jeunes de 14 ans qui ont ça dans la peau, sont autodidactes, qui fument des bedos en travaillant et feraient passer un Ingénieur pour un débutant. En Russie, ils les prennent ces gens-là, qui eux savent cracker un IPhone. L'espionnage industriel va bon train avec ces pratiques.

2) Ok les failles de sécurité sont souvent entre le clavier et la chaise. Mais ce n'est pas une raison pour volontairement ouvrir les smartphone du monde entier aux pirates. Tu te sens mal après quand ta backdoor est exploitée pour balancer un raçonware dans un hopital à travers le bluetooth. Un hopital n'a rien d'un terroriste. Apple accepte déjà de déverrouiller un Iphone sur injonction d'un juge et de restituer les données. Ca me semble suffisant. Mais le FBI voudrait fouiller partout sans avoir à demander. Le dispositif qui les embête, c'est surtout celui qui empêche l'utilisation d'un smartphone volé.

Quand tu dois traverser les lignes ennemies pour tuer le général adverse, tu ne demandes pas aux trouffions de te faire une haie d'honneur. Tu te mets en condition pour défoncer ou contourner l'ennemi.

3) Le mot "démocratie" j'avais un peu hésité à le mettre car j'imaginais ce genre de réaction. En tout cas ça revient à faire comme la Corée du Nord ou la Chine. Tu es condamnable si tu utilises d'autres outils que ceux indiqués. Pour le bien commun, tu protèges le peuple et "diminue" le pouvoir des autorités. Un peu comme quand Kennedy s'est fait assassiner parce qu'il voulait restreindre les pouvoirs de la CIA...

Je dis toujours que j'accepte d'être trouvé, mais seulement si on me cherche.
7  0 
Avatar de
https://www.developpez.com
Le 18/03/2016 à 16:06
Citation Envoyé par Artemus24 Voir le message
Et il a environ 10.000 personnes en France qui sont fichés.
Essentiellement des terroristes !
Je ne pense pas qu'il parlait des fiches S en particulier. Il existe beaucoup d'autres fichiers : https://fr.wikipedia.org/wiki/Fichage_en_France
À ma connaissance, personne ne sait qui est fiché et combien de personnes sont fichées. L'histoire nous a montré à de nombreuses reprises que, dans le doute, mieux vaut se méfier
7  0 
MichaelREMY
Avatar de MichaelREMY
Membre éclairé https://www.developpez.com
Le 18/03/2016 à 9:44
Citation Envoyé par LSMetag Voir le message
Juste par principe, mon téléphone utilise un VPN.
juste par principe, les gens qui utilisent un VPN sont fichés car suspects. ok , ils dorment tranquillement car les données sont cryptés, mais hélas jusqu'2016, personne n'a inventé un VPN dont l'utilisation est masqué ou furtive.
utiliser un VPN, c'est comme rentrer dans une collectivité avec une cagoule : on ne sait pas ce que tu as comme intention ni ton visage, mais on sait que tu es louche, donc on te regarde.
et pire encore, car utiliser un VPN utilise plus de ressources (25% je crois), c'est comme trimbaler un boulet.
et qui t'assure que ton VPN (gratuit ) n'a pas été codé par des gens qui ont mis un backdoor ou qui ont laissé volontairement un 'bug' ou un truc bizarre dedans.
5  1 
LSMetag
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 18/03/2016 à 16:10
Citation Envoyé par MichaelREMY Voir le message
c'est facile et évident de dire cela, quand tu achètes une voiture, tu acceptes aussi d'être immatriculé, fichés..Etc....Bun pour un téléphone/ordi ça devrait être pareil.

L'immatriculation est un principe de sécurité, pas juste une paperasse. Tout ce qui est potentiellement nuisible est sérialisé et suivi (armes, médicaments, alimentations, permis, machines spéciales)

moi aussi , j'accepte d'être trouvé, même que mes données soit collectées et même qu'elles soient croisées mais je voudrais comme contrepartie :
- avoir une réduction financière sur mon abonnement internet ou téléphonique (car je fais un don de mes informations)
- avoir un droit de regard sur le backup de mes données
- être averti par LRAR que mes données viennent d'être croisées et que le résultat du croisement me demande d'aller à la gendarmerie justifier qqchose (plutôt que d'être réveillé à 3h du mat pour être mis en garde à vue ou perquisitionné et d'apprendre la raison après.).
C'est l'équivalent d'avoir un PC/Téléphone identifié par son adresse IP, répertoriée chez le FAI. On sait à qui il appartient., identifié par sa ligne téléphonique Comme la plaque d'immatriculation et la carte grise de la voiture. Mais est-ce qu'on peut savoir si tu fais l'amour dedans avec ta copine ? Les trajets que tu fais sont-ils signalés par la voiture ? Le verrouillage des portes et du démarreur est-il backdooré ?

J'accepte qu'on identifie ma voiture et qu'on m'associe avec. Je n'apprécie pas que quelqu'un d'autre puisse l'utiliser à ma place, tracer tous mes déplacements (si ça se trouve je vais au "Bois de Boulogne" alors que je suis marié), ou de recevoir dans ma boîte aux lettres parisienne (je n'habite pas Paris) des pubs de McDo parce que je suis passé devant celui de Lyon dans un de mes déplacements.

Par contre, si on me suspecte de quelque chose, on peut très bien saisir ma voiture, défoncer la porte, analyser l'intérieur, demander des témoignages, utiliser le bornage de mon téléphone (ce que je trouve déjà limite, mais bon...) et les caméras de surveillance,... Je me demande d'ailleurs si les GPS intégrés ne sont pas backdoorés.
4  0 
Zirak
Avatar de Zirak
Inactif https://www.developpez.com
Le 21/03/2016 à 10:11
Citation Envoyé par Artemus24 Voir le message

Tu essayes de faire peur ou quoi ?

De quelles fiches parles-tu ?
Des fiches "S" sont émises par la Direction générale de la sécurité intérieure (DGSI), une des branches du renseignement français.
Crois-tu que le hacker tout boutonneux de moins de 16 ans soit fiché parce qu'il utilise un VPN ?
En quoi est-ce un déli de faire l'usage d'un VPN ?
Dans ce cas-ci, ce sont des centaines de milliers de personnes qui seraient sous surveillances.
Et il a environ 10.000 personnes en France qui sont fichés.
Essentiellement des terroristes !
Comme l'a dit Conan Lord, il n'existe pas que les fiches S, et il n'y a pas que la DGSI qui fiche les gens.

A l'époque où j'étais au lycée, pendant les manifestations lycéennes fin 90, je faisais parti des représentants des lycées de St-Brieuc, et c'est nous qui organisions les manifestations, avec le trajet, les horaires, etc etc.

Bah outre le fait qu'il fallait bien entendu prévenir les forces de l'ordre concernant l'organisation, on avait régulièrement un mec des RG qui venait aux réunions, et qui notait le nom de tout le monde (et qui prenait une bonne partie des participants (organisateurs ou pas) en photo lors des manifs elles-mêmes).

Rien que le fait de participer à une manifestation peut faire de toi quelqu'un de fiché, donc qu'il n'y ait que 10 000 personnes en France qui soient fichées, j'en doute fortement... Il n'y a que 10 000 fiches S peut-être, ça oui, c'est plus probable.
4  0 
MichaelREMY
Avatar de MichaelREMY
Membre éclairé https://www.developpez.com
Le 18/03/2016 à 9:50
Citation Envoyé par LSMetag Voir le message
Je dis toujours que j'accepte d'être trouvé, mais seulement si on me cherche.
c'est facile et évident de dire cela, quand tu achètes une voiture, tu acceptes aussi d'être immatriculé, fichés..Etc....Bun pour un téléphone/ordi ça devrait être pareil.

L'immatriculation est un principe de sécurité, pas juste une paperasse. Tout ce qui est potentiellement nuisible est sérialisé et suivi (armes, médicaments, alimentations, permis, machines spéciales)

moi aussi , j'accepte d'être trouvé, même que mes données soit collectées et même qu'elles soient croisées mais je voudrais comme contrepartie :
- avoir une réduction financière sur mon abonnement internet ou téléphonique (car je fais un don de mes informations)
- avoir un droit de regard sur le backup de mes données
- être averti par LRAR que mes données viennent d'être croisées et que le résultat du croisement me demande d'aller à la gendarmerie justifier qqchose (plutôt que d'être réveillé à 3h du mat pour être mis en garde à vue ou perquisitionné et d'apprendre la raison après.).
4  1 
Sunchaser
Avatar de Sunchaser
Membre expert https://www.developpez.com
Le 18/03/2016 à 12:00
Bonjour,
J'ai trouvé une porte dérobée !
Regardez bien sous les petits Flamby au caramel, il y a une petite languette cachée ! ...
4  1 
MichaelREMY
Avatar de MichaelREMY
Membre éclairé https://www.developpez.com
Le 21/03/2016 à 13:05
Citation Envoyé par Zirak Voir le message
Comme l'a dit Conan Lord, il n'existe pas que les fiches S, et il n'y a pas que la DGSI qui fiche les gens.

A l'époque où j'étais au lycée, pendant les manifestations lycéennes fin 90, je faisais parti des représentants des lycées de St-Brieuc, et c'est nous qui organisions les manifestations, avec le trajet, les horaires, etc etc.

Bah outre le fait qu'il fallait bien entendu prévenir les forces de l'ordre concernant l'organisation, on avait régulièrement un mec des RG qui venait aux réunions, et qui notait le nom de tout le monde (et qui prenait une bonne partie des participants (organisateurs ou pas) en photo lors des manifs elles-mêmes).

Rien que le fait de participer à une manifestation peut faire de toi quelqu'un de fiché, donc qu'il n'y ait que 10 000 personnes en France qui soient fichées, j'en doute fortement... Il n'y a que 10 000 fiches S peut-être, ça oui, c'est plus probable.
Filtrer/select ou faire une requête de croisement =c-a-d fichage.

Si vous saviez à quel point c'est facile quand on est admin d'un réseau de faire un filtre dans les logs pour savoir qui utilise un vpn. c'est aussi simple que de savoir qui utilise le Protocole ftp. c'est presque la même requête/ligne de commande. je n'arrive pas à croire qu'un responsable politique n'ait pas demandé à Orange (par exemple), de donner mensuellement les coordonnées/identités/horodatages des gens qui utilisent un vpn (qui porte une cagoule donc) ou qui visitent un site "étrange".

Sauf erreur au états-unis, il y a une loi qui obligent ceux qui créer des systèmes de cryptages à déposer l'algo de décryptage à une autorité. Et sachant que 99.9 des VPN sont américains....

La meilleure façon d'être caché ou masqué, c'est de se fondre dans la masse, donc de ne pas porter de cagoule, donc pas de VPN. Le VPN ne permet pas de cacher son utilisation (ouverture session et fermeture), il permet juste de cacher le contenu échangé entre le client et le serveur.
Même utiliser un port non-ordinaire est suspect de toute façon.
3  0 
abriotde
Avatar de abriotde
Membre chevronné https://www.developpez.com
Le 17/03/2016 à 14:55
Il y a 2 choses totalement distinct:
1) Les données privées qui doivent rester privées et donc les applications doivent rester le plus sécuriser possible.
2) Les forces de l'ordre ont le droit en cas de besoin justifié d'exiger les données disponibles chez un privé. Cela ne veux pas dire qu'ils doit y avoir des failles dans les protections de sécurité mais que s'il y a un moyen de récupérer les données tout le monde doit coopérer. Un peu comme la police a le droit d'exiger l'ouverture d'une maison ou d'un coffre, elle doit pouvoir exiger le déverrouillage informatique de la part de l'interpellé ou de tout autre personne en mesure de le faire.

Il faut interdire la pose de backdoor mais autoriser la saisie et la création de base de données avec des données personnels dans la mesure ou des mesure de sécurisation exis.
2  0 
Commenter Signaler un problème