Categories
Cryptage Renforcer l'Internet

Le dernier projet de loi américain ” Anti-cryptage ” menace la sécurité de millions de personnes

La loi sur l’accès légal aux données cryptées, récemment présentée au Congrès américain, pourrait être la pire d’une récente série d’attaques contre le cryptage, notre outil de sécurité numérique en ligne le plus puissant.

Alors que la loi EARN IT récemment modifiée ferait reposer un cryptage fort sur un terrain instable si elle était adoptée, la loi sur l’accès légal aux données cryptées (LAEDA) est une attaque directe contre l’outil sur lequel des millions de personnes comptent chaque jour pour leur sécurité personnelle et nationale.

LAEDA faciliterait la mort du cryptage de bout en bout en obligeant les entreprises à fournir une “assistance technique” pour accéder aux données cryptées à la demande des enquêtes des services répressifs.

Le problème est que la seule façon pour les entreprises de se conformer à la loi serait d’intégrer des portes dérobées dans leurs produits et services, ou de ne pas utiliser de cryptage du tout, ce qui rendrait tout le monde plus vulnérable au crime même que nous essayons tous de prévenir. En clair, il s’agit du même cryptage que celui utilisé pour sécuriser des activités telles que la banque en ligne, le travail à domicile, les services de télésanté et les conversations avec des amis.

L’Internet Society a fait part de ses préoccupations dans une lettre ouverte aux co-parrains de la LAEDA au Sénat, signée par plus de 75 experts mondiaux de la cybersécurité, des organisations de la société civile, des entreprises et des associations commerciales. Selon les signataires, le projet de loi “est trop imparfait sur le plan technique pour être efficace et obligera les entreprises à rendre leurs produits moins sûrs”.

Pire encore, la proposition de LAEDA n’est que la plus récente attaque contre le cryptage de bout en bout de la part d’un membre de l’alliance Five Eyes (États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande).

Les partisans américains des “portes d’accès dérobées” suivent les traces de l'”Investigatory Powers Act” du Royaume-Uni et de l'”Assistance and Access” ou TOLA Act de l’Australie. À l’instar de ces lois, dont il s’inspire clairement, le LAEDA exigerait des entreprises ou de leurs employés qu’ils se conforment aux demandes gouvernementales d'”assistance technique” dans le cadre des enquêtes des forces de l’ordre. Ces exigences obligeraient inévitablement les entreprises à mettre en place des portes dérobées dans leur système de cryptage.

Nous l’avons déjà dit, et cela vaut la peine de le répéter :

Il n’existe aucun moyen de fournir un accès par porte dérobée à des données cryptées de bout en bout sans affaiblir la sécurité de tous les utilisateurs.

La loi sur l’accès légal aux données cryptées ne rendrait pas seulement les Américains plus vulnérables au crime qu’elle tente de prévenir, mais aussi tous ceux qui, dans le monde entier, dépendent de produits et de services américains utilisant le cryptage pour assurer leur sécurité en ligne.


Image de Matthew T Rader via Unsplash

Categories
Cryptage Renforcer l'Internet

L’Internet “fonctionne tout simplement” : La loi EARN IT constitue une menace en la matière notamment

Lorsque la loi EARN IT a été introduite en mars 2020, des technologues, des organisations de la société civile, des universitaires et même un ancien avocat général du FBI ont dénoncé le projet de loi comme une tentative à peine voilée d’empêcher les plateformes de sécuriser les informations des utilisateurs grâce à un cryptage fort. Le projet de loi a eu des implications sur la responsabilité des intermédiaires, bien sûr, mais il s’agissait clairement d’un jeu visant à faire tomber l’outil de sécurité numérique le plus puissant que nous ayons en ligne.

La loi EARN IT est maintenant une version monstrueuse de ce qu’elle était auparavant. Non seulement elle affaiblirait la capacité des plateformes à protéger les utilisateurs par le biais du cryptage, mais elle modifierait fondamentalement le mode de fonctionnement de celles-ci, ce qui aurait des conséquences dangereuses pour les utilisateurs et l’Internet mondial.

Alors que la nouvelle version du projet de loi empêcherait le gouvernement fédéral de forcer les plateformes à affaiblir le cryptage pour maintenir leur protection en matière de responsabilité des intermédiaires (un aspect fondamental des plans stratégiques de la plupart des entreprises), elle permettrait essentiellement aux États d’adopter leur propre version de la loi EARN IT originale. Il en résulterait un patchwork chaotique de lois au niveau des États, menaçant la sécurité des utilisateurs dans tout le pays et créant des frontières pour un système de réseau qui n’a jamais été censé les admettre. Ce projet de loi affaiblirait non seulement la capacité des plateformes à protéger les utilisateurs par le biais du cryptage, mais modifierait fondamentalement le fonctionnement de celles-ci, ce qui aurait des conséquences dangereuses pour les utilisateurs et pour l’Internet mondial.

EARN IT : Comment ne pas résoudre un problème en en créant 1 000 autres

La plupart d’entre nous utilisent Internet dans presque tous les domaines de notre vie quotidienne : banque, travail, loisirs, éducation – et nous l’utilisons pour communiquer avec nos amis et notre famille sur certaines des questions les plus importantes auxquelles notre pays est confronté.

Nous tenons souvent pour acquis son “bon fonctionnement”. Mais l’avenir est loin d’être assuré.

La loi EARN IT – et de nombreux autres projets de loi qui ont été présentés au cours des semaines, des mois et des années passées pour tenter de réglementer les contenus et les mesures de sécurité – menace de saper le fonctionnement fondamental de l’internet et notre capacité à continuer à l’utiliser avec les libertés dont nous jouissons aujourd’hui.

À vrai dire, ces plateformes ne sont pas toujours à la hauteur lorsqu’il s’agit de déterminer quels types de contenus devraient ou ne devraient pas être autorisés à être diffusés en ligne. Mais l’avantage de laisser aux plateformes la responsabilité de faire de leur mieux est que nous pouvons les quitter si les choses ne fonctionnent pas comme nous le souhaitons ou comme nous l’attendons. Par exemple, rien que la semaine dernière, des dizaines de grands annonceurs ont retiré leurs publicités de Facebook parce que la plateforme ne répondait pas aux attentes de la communauté quant à la nature des discours qui devraient être autorisés.

Et c’est ainsi que cela devrait se passer. Les gouvernements ne devraient pas dicter le type de contenu qui doit exister en ligne. Internet ne connaît pas de frontières, ce qui signifie que des obligations légales contradictoires de différents pays obligeraient les plateformes à choisir les réglementations à suivre ou à créer une expérience Internet différente dans chaque pays. La loi EARN IT transférerait la responsabilité de la propriété des contenus qui ne devraient pas être autorisés en ligne des individus vers les plateformes et rendrait toutes les communications des utilisateurs moins sûres par la même occasion.

Comment la nouvelle loi EARN IT menace-t-elle Internet ?

Les nouveaux amendements à la loi EARN IT corrigent certaines choses – surtout, sa commission d’experts sur la prévention de l’exploitation sexuelle des enfants en ligne créerait un ensemble de pratiques volontaires que le Congrès n’aurait plus à approuver. Cela signifie que les experts peuvent travailler ensemble pour créer un ensemble de normes que les entreprises peuvent adapter à leurs propres plateformes.

C’est une grande amélioration par rapport à la version précédente du projet de loi, car elle tient compte du fait que les grandes plateformes disposent d’un personnel important pour traiter les exigences complexes qui peuvent se présenter. Les petites plateformes, les nouveaux arrivants et les magasins familiaux ont la chance d’avoir un ou deux employés qui s’occupent de toutes leurs questions techniques.

Malheureusement, les problèmes posés par la loi EARN IT Act éclipsent ses bonnes intentions. Les lacunes en matière de protection du cryptage menacent de rendre tous les utilisateurs plus vulnérables au crime auquel la loi tente de remédier. Elle met également en danger l’économie numérique en supprimant une caractéristique essentielle au succès de l’internet : la protection en matière de responsabilité.

Bien qu’un amendement ait été ajouté au projet de loi afin de prévoir des protections pour le cryptage, ces dernières sont loin d’être assez efficaces. Les protections prévues par l’amendement seraient mises à l’épreuve dans les tribunaux d’État de tout le pays, rendant instable un cryptage rigoureux. Les entreprises devront faire un choix, risquer leur avenir en mettant en œuvre un cryptage de bout en bout alors même qu’il règne une grande incertitude quant à la légalité de la technologie quelque soit l’État où elles opèrent, ou ne pas prendre le risque et utiliser un cryptage moins sûr. Dans un environnement juridique incertain, les entreprises s’abstiendront de mettre en œuvre un cryptage de bout en bout, réduisant ainsi notre sécurité à tous.

En ce qui concerne la protection de la responsabilité des intermédiaires, ce projet de loi entraînerait une incertitude incroyable, notamment parce qu’il ne crée pas une base solide en matière de référence auxnormes de “connaissance“. Les plateformes seront-elles tenues responsables des contenus qui ont transité sur leur site par des canaux sécurisés invisibles pour la plateforme ? Seront-elles tenues responsables uniquement lorsque le contenu est signalé ? Ou la “connaissance” se situera-t-elle quelque part entre les deux ? Ce sont là des zones d’ombre assez importantes concernant la législation et il convient d’y répondre avant qu’un projet de loi ne soit adopté, et non après.

D’après notre lecture, il semble que le projet de loi autorise un large éventail de plaintes contre les plateformes qui ne parviennent pas à empêcher la distribution de matériel pédopornographique, même si la plateforme ne savait pas que le contenu existait ou était partagé. En fin de compte, cela conduira probablement les plateformes à être beaucoup plus strictes en ce qui concerne les téléchargements sur leur site, ce qui étouffera l’innovation, la communication et la capacité des utilisateurs à partager des messages importants en ligne.

Comme nous l’avons vu ces dernières semaines, ce genre de filtres proactifs se trompent souvent – comme lorsque des sites de réseaux sociaux ont retiré des photos d’esclaves hagardes des années 1800 pour cause de “nudité”, ne reconnaissant pas le contexte plus large et le message important que ces photos présentaient.

Cela pourrait également verrouiller le marché concurrentiel limité dont nous bénéficions aujourd’hui en ligne, car la recherche et le filtrage de tout le contenu publié chaque jour sur une plateforme seraient beaucoup trop coûteux et prendraient trop de temps pour les nouvelles ou petites entreprises. L’Internet est encore relativement jeune sur le plan technologique. Ne nous inclinons pas avant de savoir ce que nous pourrions vraiment créer.

Trop compliquée pour être adoptée

La loi EARN IT est une tentative des décideurs politiques visant à imposer un résultat, mais ils le font d’une manière qui pourrait nuire gravement aux utilisateurs quotidiens au fil du temps. L’exploitation sexuelle des enfants est un crime horrible et bouleversant. Mais le fait de rompre les protections juridiques et de sécurité essentielles au fonctionnement d’Internet ne résout pas ce problème. Cela ne fait que rendre tout le monde plus vulnérable au crime et à la haine que nous essayons de prévenir en ligne.

Nous avons besoin de solutions techniques neutres et adaptées pour résoudre les problèmes actuels sans compromettre nos outils les plus puissants pour assurer la sécurité en ligne des personnes, y compris des enfants. Nous avons besoin que les décideurs politiques soient réfléchis et prennent en compte les implications de leurs actions. Ce n’est pas le cas de la loi EARN IT, proposée à la hâte.


Image de JJ Ying via Unsplash

Categories
Cryptage Renforcer l'Internet

Rendre les intermédiaires responsables des contenus cryptés compromet la confiance et la sécurité

En décembre 2018, le ministère indien de l’électronique et des technologies de l’information (MeitY) a proposé une modification importante de ses réglementations relatives aux intermédiaires. Le projet de directives sur les technologies de l’information [Intermediaries Guidelines (Amendment) Rules] 2018 vise à subordonner la protection des plateformes technologiques (par exemple, les réseaux sociaux) à l’obligation de surveiller et de filtrer le contenu de leurs utilisateurs. L’une des obligations proposées consiste à assurer la traçabilité des messages, même si un service est crypté de bout en bout.

L’Inde n’est qu’un pays parmi tant d’autres à étudier la question de savoir si les intermédiaires d’Internet – en particulier les sociétés de réseaux sociaux, comme Facebook et Twitter – devraient arrêter de bénéficier d’une immunité de responsabilité pour le contenu partagé par leurs utilisateurs. Parmi les autres exemples, citons la loi américaine de 2020 sur l’élimination des abus et de la négligence généralisée des technologies interactives (EARN IT Act), et le récent décret américain sur la prévention de la censure en ligne.

Les motivations pour changer le statu quo varient, allant de la volonté d’assurer la traçabilité des messages pour contrer la diffusion de la désinformation ou CSEM, à l’arrêt de la diffusion de contenus répréhensibles sur les réseaux sociaux, en passant par la prévention de l’étiquetage des messages politiques (par exemple, comme “infox“). De même, les approches envisagées pour y parvenir varient, allant de la suppression pure et simple de l’immunité, à l’immunité conditionnelle (c’est-à-dire l’immunité acquise), en passant par un “devoir de diligence” positif. Mais, quelle que soit la motivation ou l’approche, les conséquences pour l’avenir de l’internet et sa sécurité restent les mêmes.

Ne vous méprenez pas, les propositions visant à modifier la responsabilité des intermédiaires pour imposer le contrôle ou la traçabilité du contenu des services cryptés de bout en bout vont compromettre la sécurité sur Internet. C’est pourquoi nous avons élaboré une fiche d’information, intitulée “Intermédiaires et cryptage, expliquant les raisons pour lesquelles il est néfaste – et contre-productif – de faire pression sur les intermédiaires pour qu’ils diminuent la sécurité en faisant appel à la responsabilité.

Décret de Trump sur les réseaux sociaux : Légal, éthique, intelligent ?
Dans la foulée du décret américain sur la prévention de la censure en ligne, l’Internet Society organisera un événement virtuel axé sur la question plus large de la responsabilité des intermédiaires. Rejoignez les experts pour discuter de ce que cela signifie pour l’avenir de la liberté d’expression et des plateformes en ligne. Inscrivez-vous à l’événement, qui aura lieu le mardi 9 juin à 14 h UTC !

Nous devons nous opposer aux approches qui obligent les fournisseurs de services à passer outre la protection des informations et des interactions des personnes. Ce faisant, les individus et les organisations courent un plus grand risque – sans aucune garantie d’atteindre le résultat escompté.

Il est particulièrement important à présent que nous contribuions à assurer la sécurité des personnes, des infrastructures et des pays en ligne. Et nous devons protéger l’internet en tant que vecteur mondial d’innovation, d’éducation et de progrès social et économique. Nous pouvons y parvenir grâce à des politiques et des pratiques de cryptage solides.

Lisez notre fiche d’information, Intermédiaires et cryptagepour en savoir plus sur les conséquences involontaires que la réforme de la responsabilité des intermédiaires pourrait avoir sur la sécurité de l’internet.

Si vous souhaitez en savoir plus sur la manière dont le cryptage est mis à mal, lisez nos autres fiches d’information.

Categories
Cryptage Renforcer l'Internet

Sans cryptage fort, le devoir de digilence n’existe pas

Le 15 mai, le Telegraph a rapporté que l’alliance de renseignements Five Eyes prévoyait de se réunir pour explorer les options juridiques permettant de bloquer les projets de mise en œuvre d’un cryptage de bout en bout sur Facebook Messenger.. Selon le journal britannique, les discussions entre les gouvernements des États-Unis, du Royaume-Uni, de l’Australie, du Canada et de la Nouvelle-Zélande porteraient sur la manière dont le “devoir de diligence”, un concept de base du droit de la responsabilité civile, pourrait être étendu pour forcer les plateformes en ligne à supprimer ou à s’abstenir de mettre en œuvre un cryptage de bout en bout. (Le devoir de diligence est la responsabilité légale d’une personne ou d’une organisation d’éviter tout comportement ou omission dont on pourrait raisonnablement prévoir qu’il causera un préjudice à autrui).

Si tel est le cas, il s’agit d’une tentative de légitimer leurs désirs de création de portes dérobées pour outrepasser le cryptage.

Il est facile de prévoir à quoi pourrait ressembler une telle stratégie – la tactique est bien connue. Dans ce cas, si le devoir de diligence devient la justification de l’interdiction du cryptage de bout en bout, il pourrait être utilisé comme cadre pour interdire de futurs déploiements. En outre, comme dans le cas d’autres législations, y compris Le Livre blanc sur les méfaits en ligne, l’argument selon lequel les entreprises de réseaux sociaux ont un devoir de diligence particulier pour protéger les groupes vulnérables sera avancé. Ce n’est rien d’autre que de la poudre aux yeux. S’il y avait un devoir de diligence particulier de protection des utilisateurs de réseaux sociaux, il faudrait renforcer les mesures de sécurité et de protection de la vie privée, et non les affaiblir. Le cryptage de bout en bout peut fournir de telles protections, et les gouvernements devraient encourager les plateformes à protéger leurs utilisateurs, et non à les rendre plus vulnérables.

Un véritable devoir de diligence nécessite un cryptage rigoureux.

Les gouvernements s’opposent à ce que les entreprises de réseaux sociaux appliquent un cryptage de bout en bout, en affirmant que les services chargés de l’application de la loi devraient être en mesure de surveiller certaines formes de communication afin de protéger les groupes vulnérables. Cependant, les experts, y compris ceux de la communauté de la cybersécurité, conviennent qu’il n’y a aucun moyen de faciliter l’accès aux communications cryptées à certains sans affaiblir la sécurité de tous les utilisateurs du service. Toute méthode qui permettrait aux forces de l’ordre ou à un fournisseur de services d’accéder à des contenus cryptés peut être découverte et exploitée par des cybercriminels ou d’autres acteurs malveillants, ce qui expose tous les utilisateurs à un risque accru. C’est pourquoi les entreprises technologiques ajoutent un cryptage de bout en bout à leurs services.

Pour les journalistes, les dénonciateurs, les victimes de violence domestique, la communauté LGBTQ+ et de nombreuses autres personnes appartenant à des communautés à haut risque, les communications cryptées de bout en bout jouent un rôle crucial pour assurer leur sécurité personnelle. Cela est particulièrement vrai aujourd’hui, alors que les communications doivent principalement avoir lieu en ligne de par les restrictions dues au COVID-19. Pour ces communautés, la confidentialité des communications peut être une question de vie ou de mort. Mais les communautés à haut risque ne sont pas les seules concernées. Tous les utilisateurs bénéficient du renforcement de la sécurité offert par le cryptage de bout en bout. Par exemple, un cryptage fort rend plus difficile l’accès aux communications et aux informations par les escrocs, les maîtres chanteurs et autres criminels, ce qui rend leurs attaques beaucoup plus efficaces.

Les gouvernements ont un devoir de diligence envers nous tous, que nous soyons issus d’une communauté vulnérable ou non. Cela fait partie de leur responsabilité sociale et politique. Dans le cadre de cette diligence, les gouvernements ne devraient pas implémenter de politiques qui compromettraient le déploiement et l’utilisation du cryptage de bout en bout dans les réseaux sociaux ou d’autres services en ligne. Ils devraient plutôt encourager son adoption.

Après que le scandale de Cambridge Analytica a mis à nu les pratiques de collecte de données de Facebook, beaucoup ont pris conscience du désir de certains géants de la technologie d’exploiter et de vendre nos données. Le scandale a été condamné par les gouvernements, y compris le Royaume-Uni et les États-Unis, ce qui a donné lieu à des enquêtes parlementaires et du Congrès. Un cryptage de bout en bout soigneusement implémenté empêcherait Facebook de collecter le contenu des messages Facebook pour les vendre à des tiers, ce qui contribuerait à réduire certaines des campagnes de désinformation ciblées auxquelles sont confrontées les démocraties du monde entier. Si seul l’utilisateur peut accéder à ses propres données, Facebook n’aura pas la possibilité de vendre lesdites données. Comme l’ont déclaré l’Internet Society et plus de 100 organisations de la société civile dans une lettre ouverte à Facebook l’année dernière, “garantir une sécurité de bout en bout par défaut constituera une véritable avancée en matière de liberté de communication dans le monde, de sécurité publique et de valeurs démocratiques”.

Alors que les Five Eyes continuent de discuter de la législation sur le devoir de diligence pour les plateformes en ligne, soutenir le cryptage de bout en bout doit être une priorité. Tel est leur véritable devoir de diligence.

Rejoignez un mouvement mondial de personnes qui œuvrent pour que les gouvernements ne nous privent pas de nos outils numériques les plus puissants afin de garantir notre sécurité et celle de nos enfants en ligne. Devenez membre de l’Internet Society dès aujourd’hui.


Image par Meghan Schiereck via Unsplash

Categories
Cryptage Renforcer l'Internet

Annonce du lancement de la Global Encryption Coalition

Aujourd’hui, plus de 30 organisations de la société civile se sont unies pour lancer la Global Encryption Coalition (la coalition mondiale de cryptage), afin de promouvoir et de défendre le cryptage dans les pays clés et les rassemblements multilatéraux où il est menacé. La nouvelle coalition est dirigée par un comité directeur composé du Center for Democracy & Technology (CDT), de l’Internet Society et de Global Partners Digital.

“La propagation du COVID-19 a souligné le caractère indispensable de communications internet sécurisées et privées. Les personnes qui ont la chance de disposer de connexions Internet fiables partagent probablement des quantités croissantes de données sensibles en ligne. Parallèlement, les gouvernements du monde entier envisagent des politiques qui mettent en danger la sécurité même de ces données”, a déclaré Greg Nojeim, conseiller principal du CDT et directeur du projet Freedom, Security and Technology. “Le cryptage permet aux internautes de disposer d’une vie numérique privée et sécurisée”.

En collaborant avec un nombre de membres qui augmentera rapidement pour inclure des entreprises et des technologues, le CDT et la Coalition aideront les militants sur le terrain dans les pays clés où il est menacé, comme le Canada, l’Australie, l’Inde et le Brésil, à repousser les propositions qui affaibliraient le cryptage “La Coalition alertera les technologues des menaces de cryptage dans le monde entier, et créera des mécanismes par lesquels ils pourront fournir des analyses d’experts pour atténuer les conséquences desdites menaces”, a déclaré Mallory Knodel, directrice de la technologie du CDT.

“Le CDT est ravi d’avoir l’occasion de fournir une analyse d’expert, un engagement mondial et un porte-voix pour soutenir les efforts locaux visant à protéger le cryptage”, a ajouté M. Nojeim.

“L’Internet Society est fière de s’associer au Center for Democracy and Technology et à Global Partners Digital pour former la Global Encryption Coalition”, a déclaré Jeff Wilbur, directeur principal de l’Online Trust pour l’Internet Society. “Avec une pandémie sanitaire mondiale qui entraîne une augmentation de nos activités quotidiennes et de nos communications en ligne, le cryptage est plus important que jamais pour contribuer à la sécurité des personnes et des pays. Nous nous réjouissons de travailler avec un mouvement mondial de membres de la coalition qui se concentre sur la promotion et la défense de l’utilisation de politiques et de pratiques de cryptage rigoureuses dans le monde entier”.

Nous lançons la Global Encryption Coalition avec une série de webinaires gratuits le 14 mai dans cinq endroits du globe.Ces événements illustrent comment le cryptage aide les gens à faire face aux défis que la crise sanitaire mondiale actuelle a créés.

Membres du comité directeur
Center for Democracy and Technology
Internet Society
Global Partners Digital

Membres (voir la liste complète des membres.)
American Civil Liberties Union
ARTICLE 19
Association for Progressive Communications (APC)
Canadian Civil Liberties Association
CETYS
Citizen Lab, Munk School of Global Affairs & Public Affairs
Coalizão Direitos na Rede
Coding Rights
Committee to Protect Journalists
DataPrivacy.br
Derechos Digitales
Digital Empowerment Foundation
Digital Rights Watch
Electronic Frontier Foundation
Fundación Karisma
Hiperderecho
The Institute for Technology & Society of Rio
Instituto Nupef
InternetNZ
Intervozes – Coletivo Brasil de Comunicação Social
IP.rec – Instituto de Pesquisa em Direito e Tecnologia do Recife
IRIS – Instituto de Referência em Internet e Sociedade
LGBT Technology Partnership & Institute
New America’s Open Technology Institute
Open Media
Open Rights Group
Paradigm Initiative
Prostasia Foundation
Red en Defensa de los Derechos Digitales
Small Media
SFLC.in
Software Freedom Law Center
Stiftung Neue Verantwortung
WITNESS

Categories
Cryptage Renforcer l'Internet

Ce n’est pas le moment de mettre la sécurité de tout un chacun en jeu

Cet article a été initialement publié dans SC Magazine.

La distanciation sociale étant la norme, nous passons plus de temps sur Internet à réaliser des choses plus importantes que jamais – par exemple, travailler, apprendre, effectuer des opérations bancaires, faire des achats, consulter le médecin et passer du temps en famille – ainsi qu’à regarder des vidéos en streaming, à jouer et à interagir avec nos haut-parleurs connectés.

Ne devrions-nous pas nous assurer, plus que jamais, que personne n’écoute, ne dérobe ni ne modifie nos données ?

Le cryptage est le principal outil permettant d’atteindre cet objectif. Grâce au cryptage, les données sont chiffrées de manière à ce que seules les personnes visées puissent les voir. La plupart du temps, lorsque vous naviguez par le biais du Wi-Fi, du Bluetooth, de la 4G et sur la plupart des sites web, vos données sont cryptées.

Malheureusement, la plupart des services en ligne d’aujourd’hui continuent de crypter les données de manière fragmentaire. Certes, certaines sections sont chiffrées. Malheureusement, en règle générale, il arrive qu’à un moment donné du parcours, les données restent en clair et soient traitées d’une manière ou d’une autre avant d’être rechiffrées et envoyées.

La bonne nouvelle est que de nombreux services de messagerie – par exemple WhatsApp, Telegram et Signal – offrent un cryptage de bout en bout, où seuls l’expéditeur et le destinataire peuvent “voir” le message. Tous les autres intervenants, même l’entreprise qui fournit le service, ne peuvent pas en consulter le contenu. Plus il en est ainsi, mieux nos données sont protégées.

Néanmoins, la protection des données des consommateurs est menacée, principalement par les gouvernements qui veulent accéder aux données à des fins répressives ou de renseignement, mais aussi par les entreprises qui veulent monétiser leurs données. Voici la teneur générale de la demande : “Nous croyons fermement au cryptage pour protéger les données de chacun. Nous y croyons même au sein du gouvernement. Et nous ne voulons pas de portes dérobées qui permettraient à des criminels de s’introduire. Nous avons juste besoin de voir les données de certaines personnes qui utilisent votre service. Et nous ne les demanderons que lorsqu’il s’agit d’un crime grave et que nous avons un mandat”.

Créer un mot de passe maître est dangereux

À première vue, la demande semble raisonnable. Il ne s’agit que des données d’une seule personne, la demande semble légitime et s’accompagne d’une autorisation appropriée. Et qui ne veut pas mettre fin à des crimes horribles ou appréhender leurs auteurs ? Mais voici ce que l’on ne dit pas : le mécanisme qui permet de donner accès aux données d’un individu sur ce service met en danger tous les utilisateurs de ce service. C’est comme créer un mot de passe maître pour l’ensemble du système. Bien sûr, ce mot de passe sera long et complexe et presque impossible à deviner. Seules quelques personnes y auront accès et il ne sera utilisé que dans les circonstances les plus extrêmes.

Mais souhaitez-vous réellement qu’un tel mot de passe maître existe ? Les employés de l’entreprise pourraient en abuser, et les gouvernements aussi. Et même si les intentions semblent honorables, il suffit de faire le bilan des graves incidents survenus en matière de sécurité des données au cours des dernières années : des dizaines de milliers de violations de données impliquant des milliards d’enregistrements (et d’ailleurs, pourquoi ces bases de données n’étaient-elles pas mieux cryptées, ce qui aurait protégé les données personnelles des individus contre toute divulgation ?). Ou, plus important encore, pensez-vous réellement que les pirates informatiques du monde entier ne découvriront, ne trouveront ni ne voleront ce mot de passe maître ? Si tel est le cas, tous les utilisateurs du service sont à risque. Si les internautes ne sont pas certains que leurs communications sont suffisamment protégées, ils limiteront leur utilisation de l’internet.

Des débats sur ce sujet ont lieu partout dans le monde.

La plupart des arguments en faveur de cet “accès exceptionnel” tournent autour de la lutte contre l’exploitation des enfants et le terrorisme ou d’autres crimes graves. Par exemple, aux États-Unis, la loi EARN IT, qui a été présentée au Congrès américain en mars, ne mentionne même pas le cryptage – elle implique simplement que les entreprises fournissant les services sur lesquels nous comptons tous doivent donner accès aux données pertinentes sous une forme non cryptée, sous peine d’amendes et de poursuites. Pourtant, ce sont ces mêmes services qui protègent les communautés vulnérables comme les victimes de violences domestiques, les journalistes et les militants aux côtés de nos familles, des militaires et des forces de l’ordre.

Ce que vous pouvez faire

La lutte contre la criminalité est une tâche importante, mais nous ne pouvons pas y parvenir en affaiblissant la sécurité de la plupart des internautes. Assurez-vous que votre député protège votre droit à un cryptage fort. Soyez conscient de la diversité des stratégies dangereuses adoptées par les gouvernements pour accéder aux données qu’ils souhaitent. Elles vont de l’analyse de données non cryptées à l’envoi ou la réception, au décryptage forcé quelque part en chemin, en passant par l’exploitation du trafic en tant que tiers silencieux. Toutes ces approches représentent des mécanismes qui compromettent la sécurité en enfreignant le concept de protection de bout en bout.

Unissons-nous tous pour protéger le cryptage. Défendons notre droit à la sécurité de nos communications. Si les gouvernements prétendent qu’ils sacrifient la sécurité d’une personne pour le bien de tous, en réalité ils imposent le sacrifice de la sécurité pour nous tous.

Prenez ces six mesures pour protéger le cryptage et assurer votre propre protection.

Categories
Cryptage Renforcer l'Internet

Les jeunes ont aussi besoin de cryptage

La plupart des pays ayant imposé des mesures de confinement, les enfants passent probablement plus de temps que jamais en ligne. Entre les salles de classe virtuelles et le temps passé avec leurs amis sur les réseaux sociaux, de nombreux enfants dépendent d’Internet pour maintenir un semblant de vie normale en dépit de la crise sanitaire mondiale.

Tandis que les parents s’inquiètent de l’impact que cela pourrait avoir sur le bien-être de leurs enfants, les experts estiment que plus les jeunes passent de temps devant un écran, plus ils risquent également d’être exposés à des situations dangereuses en ligne.

En Asie-Pacifique, un récent rapport de l’UNICEF a révélé que 32 % des enfants âgés de 10 à 17 ans au Bangladesh ont été victimes de cyberintimidation, de violence et de harcèlement en ligne. Par ailleurs, une étude McAfee en Inde a révélé que 70 % des jeunes ont publié leurs données personnelles sur Internet, faisant d’eux une cible facile pour les cybercriminels.

En début de mois, l’Internet Society a organisé un court webinaire intitulé Les enfants, l’Internet et le COVID-19pour montrer aux parents comment ils peuvent protéger la vie privée et la sécurité de leurs enfants en ligne grâce au cryptage.

Le cryptage est un moyen de “brouiller” les informations afin de les rendre illisibles pour les acteurs malveillants qui pourraient vouloir y accéder. Il fonctionne à peu près comme les codes que nous utilisions lorsque nous étions enfants pour nous envoyer des messages secrets – mais en mieux. Le cryptage protège nos e-mails, nos messages en ligne et même nos coordonnées bancaires – une protection essentielle alors que les cyber-attaques se multiplient dans le contexte de la pandémie.

L’une des choses les plus importantes qu’un parent puisse faire pour assurer la sécurité de son ou ses enfants est de choisir uniquement des applications de messagerie qui sont cryptées de bout en bout, comme Signal, WhatsApp et Telegram. Ils doivent également enseigner à leurs enfants à ne visiter que les sites web dont l’URL comporte une icône de verrouillage, qui indique que la page et les informations envoyées et reçues ont été cryptées. Il est tout aussi primordial d’apprendre aux enfants à définir des mots de passe longs et forts – il peut s’agir de phrases combinant lettres, chiffres et symboles – pour leurs comptes en ligne et leurs appareils.

Il y a trois ans, 90 % des jeunes interrogés par l’UNESCO estimaient qu’il fallait leur donner les bons outils pour se protéger sur l’internet. Et pourtant, certains gouvernements menacent de leur retirer l’un de leurs outils les plus puissants pour y parvenir.

Alors que nous élevons la prochaine génération d’internautes compétents et responsables, assurons-nous que les enfants puissent continuer à utiliser le cryptage comme bouclier protecteur pour se protéger en ligne.

Si vous souhaitez obtenir d’autres conseils sur la manière d’assurer la sécurité des enfants en ligne dans le cadre du COVID-19, veuillez regarder notre webinaire, désormais disponible sur nos chaînes Facebook et YouTube.

Envie de vous joindre à un mouvement mondial de personnes qui s’efforcent de faire en sorte que les gouvernements ne nous privent pas de nos outils numériques les plus performants pour assurer notre sécurité et celle de nos enfants en ligne ? Devenez membre de l’Internet Society dès aujourd’hui.

Categories
Cryptage Renforcer l'Internet Renforcer la confiance

Chaque jour devrait être la Journée mondiale pour un Internet plus sûr

La Journée pour un Internet plus sûr est l’occasion pour les personnes et les organisations du monde entier d’unir leurs forces dans le cadre d’une série d’activités et d’événements consacrés à l’amélioration de la sécurité sur Internet. Je suis très heureux de participer aux activités organisées par le centre brésilien de la Journée pour un Internet plus sûr, où le sujet du cryptage en Amérique latine et dans les Caraïbes sera abordé dans l’un des groupes de discussion.

C’est formidable d’avoir une journée consacrée au développement d’un Internet plus sûr pour tous, mais la réalité pour la plupart des personnes qui défendent la sécurité numérique est que chaque jour est une Journée pour un Internet plus sûr. C’est certainement le cas à l’Internet Society. Notre communauté mondiale de personnel, de chapitres, de membres, de partenaires et de sympathisants est profondément engagée en faveur d’un Internet ouvert, connecté au niveau mondial, sûr et digne de confiance pour tous. C’est pourquoi nous avons aligné notre plan d’action 2020 pour nous concentrer sur le développement d’un Internet plus étendu et plus fort pour tous.

La sécurité numérique est le fondement de nos économies et sociétés connectées, et le cryptage est le fondement de la sécurité numérique. Elle protège l’intégrité, la confidentialité et l’authenticité des données et des communications. Et comme le dit toujours un de mes collègues, “quand nous ne protégeons pas les données, nous ne protégeons pas les personnes“. Certains liront cela en mettant l’accent sur les “personnes”. D’autres le feront en mettant l’accent sur les “données”. Mais pour vraiment défendre la sécurité numérique, il est également important de lire entre les lignes : nous devons protéger les éléments structurels qui forment l’écosystème Internet. Cela signifie qu’il faut protéger chaque produit, service ou application qui relie directement ou indirectement les personnes aux flux de données et de communication : le Web, les réseaux sociaux et les applications de messagerie, les banques en ligne, les services gouvernementaux numériques, les places de marché du commerce électronique, les systèmes de cloud computing des entreprises, etc. Il est indéniable que presque tout ce qui touche à notre vie quotidienne dépend des technologies de cryptage.

Il est clair que les entreprises et les consommateurs se soucient de la sécurité de leurs données et de leurs communications privées. Au cours de la dernière décennie, la tendance – croissante – a été aux protocoles et aux services de cryptage, en particulier le cryptage de bout en bout. [add footnote] Le dernier Online Trust Audit réalisé par l’Online Trust Alliance (OTA) a révélé qu’en 2017 52 % des 1 000 sites audités cryptaient entièrement leurs sessions Web, tandis que 93 % le faisaient en 2018. La sécurité numérique est également de plus en plus liée aux décisions d’achat des consommateurs. Une récente enquête menée par le site web InnovationAus, spécialisé dans les politiques publiques et l’innovation commerciale, a révélé que40 % des entreprises qui ont répondu, ont déclaré avoir vu leurs ventes baisser après que l’Australie a adopté une loi obligeant les entreprises à affaiblir la sécurité pour faciliter la surveillance.

Il est de plus en plus fréquent de voir les communications cryptées blâmées comme un obstacle à l’application de la loi, à la sécurité publique et à la sécurité nationale. Mais pirater ou affaiblir le cryptage n’est pas la solution. Bien que ces approches puissent découler d’un sentiment d’urgence et de bonnes intentions, elles menacent la sécurité de l’écosystème numérique dans son ensemble. Cela est particulièrement vrai pour les applications largement utilisées, générales et disponibles sur le marché. Il est important de reconnaître qu’en dépit des bonnes intentions, toute “solution” commerciale, politique ou réglementaire proposée qui implique un affaiblissement du cryptage fera plus de mal que de bien, exposant les utilisateurs à un risque plus important. Un affaiblissement intentionnel de la sécurité peut également avoir des conséquences économiques et politiques négatives qui ne sont pas toujours faciles à comprendre et à prévoir.

En cette Journée pour un Internet plus sûr, montrons tous au monde qu’un cryptage fort est un élément essentiel pour un Internet plus sûr et plus sécurisé pour tous. Si vous souhaitez participer à un événement de la Journée pour un Internet plus sûr, vous pouvez trouver un centre local ou me rejoindre au Brésil (streaming disponible !), où je participerai à un dialogue ouvert avec d’autres experts sur le thème “Sécurité, confidentialité et cryptage”.

En savoir plus sur le cryptage. Explorez ces ressources :

Vous voulez contribuer à faire de chaque jour une Journée pour un Internet plus sûr ? Rejoignez le mouvement mondial des personnes et des organisations qui soutiennent un cryptage fort pour tous : devenez membre de l’Internet Society dès aujourd’hui !

Categories
Cryptage Renforcer l'Internet

Un cryptage fort est essentiel à une bonne sécurité – Les règles d’intermédiation proposées par l’Inde le mettent en danger

Des experts en sécurité et en cryptage du monde entier demandent au ministère indien de l’Électronique et des Technologies de l’information (MeiTy) de reconsidérer les modifications proposées aux règles de responsabilité des intermédiaires qui pourraient affaiblir la sécurité et limiter l’utilisation d’un cryptage fort sur Internet. Sous la coordination de l’Internet Society, près de trente experts en sécurité informatique et en cryptographie du monde entier ont signé une “Lettre ouverte : Préoccupations concernant les modifications apportées aux règles indiennes sur les technologies de l’information (lignes directrices à l’intention des intermédiaires) en vertu de la Loi sur les technologies de l’information”.

Le MeiTy révise actuellement les modifications proposées aux Règles sur les technologies de l’information (lignes directrices à l’intention des intermédiaires). Les modifications proposées obligeraient les intermédiaires, comme les plateformes de contenu, les fournisseurs de services Internet, les cybercafés et autres, à respecter des exigences strictes et onéreuses afin de ne pas être tenus responsables du contenu envoyé ou affiché par leurs utilisateurs. L’absence de responsabilité des intermédiaires est un aspect important des communications sur lnternet. Sans elle, les gens ne peuvent pas développer et maintenir des plateformes et des services qui ont la capacité de traiter facilement des milliards de personnes.

La lettre souligne les préoccupations que suscitent ces nouvelles règles, notamment les exigences selon lesquelles les intermédiaires doivent surveiller et filtrer les contenus de leurs utilisateurs. Comme le disent ces experts en sécurité, “en associant la protection des intermédiaires en matière de responsabilité à leur capacité de surveiller les communications envoyées à travers leurs plateformes ou systèmes, les modifications limiteraient l’utilisation du cryptage de bout en bout et encourageraient les autres à affaiblir les mesures de sécurité existantes.”

Le cryptage de bout en bout est l’un des outils les plus puissants pour la sécurité numérique en ligne. Avec le cryptage de bout en bout, seuls l’expéditeur et les destinataires ont accès au contenu non crypté, ce qui assure une sérieuse confidentialité et une intégrité à leurs communications. Comme le nombre de menaces qui pèsent sur les technologies informatisées et en réseau augmente, la confidentialité et l’intégrité sont plus que jamais essentielles. Étant donné qu’aucune tierce partie, y compris le fournisseur de la plateforme, n’a accès au contenu des utilisateurs dans un système crypté de bout en bout, la surveillance ou le filtrage du contenu est impossible. Comme le souligne la lettre, “Il n’existe aucun moyen de créer un “accès exceptionnel” pour certains sans affaiblir la sécurité du système pour tous.”

Qu’elles soient destinées à filtrer la désinformation en ligne ou à fournir un accès à des fins d’application de la loi, des lois ou des politiques comme celles qui sont proposées en Inde rendraient l’Internet moins sûr, en permettant involontairement l’accès aux communications en ligne à des pirates informatiques et à des criminels malveillants.

Il est impératif que la sécurité numérique ne soit pas compromise pour des centaines de millions de personnes dans le but de forcer la conservation générale des données et l’observabilité du réseau. La sécurité numérique est le fondement de nos économies et sociétés connectées. Il incombe aux gouvernements de prendre la bonne décision et de soutenir une sécurité numérique solide, et il nous incombe à tous de leur demander des comptes.


Image: Guna city, Inde. © Atul Loke/Panos for Internet Society

Categories
Cryptage Renforcer la confiance

Qu’est-ce qu’une attaque de l’Homme du milieu (MITM) ?

En bref, une MITM est une attaque par laquelle une tierce partie accède aux communications entre deux autres parties, sans qu’aucune de ces deux parties ne s’en rende compte. La tierce partie peut lire le contenu de la communication et dans certains cas, parfois la manipuler. Ainsi, par exemple, si Gerald envoie un message à Leila, qu’il souhaite privé, et que Max intercepte le message, le lit et le transmet à Leila, c’est une attaque MITM. Si Gerald veut transférer 100 € sur le compte bancaire de Leila, et que Max intercepte la transaction et remplace le numéro de compte de Leila par le sien, c’est aussi une attaque du MITM (dans ce cas, Max se met « au milieu » entre Gerald et sa banque).

Pourquoi devrais-je m’en soucier ?

En partie parce que les attaques MITM peuvent saboter une grande partie de notre mode de vie moderne. Dans une vie connectée, nous dépendons de la fiabilité et de la sécurité de chaque connexion. Il ne s’agit pas seulement de vos conversations, de vos messages et de vos e-mails. Si vous ne pouvez pas faire confiance aux connexions que vous établissez à des sites Web et à des services en ligne, vous pouvez être vulnérable à la fraude ou à l’usurpation d’identité, et si vos appareils et objets connectés ne peuvent communiquer de façon sûre et fiable, ils peuvent vous mettre en danger ainsi que votre foyer.

Les exemples dans ce billet de blog sont basés sur le trafic crypté entre humains, mais les attaques MITM peuvent affecter n’importe quel échange de communication, y compris celles entre appareils et celles avec les objets connectés (IdO). Les attaques MITM portent atteinte à la confidentialité et à l’intégrité des communications et, ce faisant, elles peuvent exposer les données, les appareils et les objets à une exploitation malveillante.

Imaginez le danger si un pirate informatique pouvait déclencher les airbags d’une voiture connectée ou déverrouiller à distance une serrure électronique de porte. Le fait que les objets connectés peuvent désormais affecter le monde physique introduit de nouveaux facteurs dans l’évaluation des risques, en particulier dans les cas où l’infrastructure physique (transport, énergie, industrie) est automatisée ou contrôlée à distance. Une attaque MITM sur les protocoles de contrôle de ces systèmes, où un attaquant s’interpose entre le contrôleur et l’appareil, pourrait avoir des effets dévastateurs.

Est-ce quelque chose de nouveau ?

En principe non : les attaques MITM existent depuis aussi longtemps que nous avons dû compter sur les autres pour transmettre nos messages. Quand les gens scellaient leurs lettres avec de la cire et un sceau personnalisé, c’était pour se protéger contre les attaques MITM. La cire à cacheter n’empêchait pas un tiers de briser la cire et d’ouvrir la lettre : elle devait permettre de savoir facilement s’il l’avait fait, car il lui serait alors difficile de la remplacer et d’imiter l’empreinte laissée par le sceau personnalisé de l’expéditeur. Ce type de protection est appelé « preuve d’inviolabilité », et nous le voyons aussi dans les produits de consommation, comme l’opercule sous le bouchon d’une bouteille de pilules ou la cellophane qui entoure un paquet de cigarettes.

Si quelqu’un voulait non seulement savoir si sa lettre avait été falsifiée, mais voulait aussi que son contenu reste confidentiel, il devait généralement écrire la lettre dans un code que seul le destinataire serait capable de déchiffrer.

Dans un contexte numérique, nous pouvons voir des équivalents pour tous ces cas. Par exemple, si vous envoyez des e-mails non cryptés, le contenu est visible par tous les intermédiaires et nœuds du réseau à travers lesquels le trafic passe. Un e-mail non crypté peut être comparé à l’envoi d’une carte postale : le facteur ou n’importe qui au bureau de tri et toute personne ayant accès à la boîte aux lettres du destinataire peut, si elle le souhaite, en lire le contenu. Si vous voulez que seul le destinataire puisse lire le contenu d’un e-mail, vous devez crypter l’e-mail de telle sorte qu’il soit le seul à pouvoir le décrypter, et si vous voulez que personne ne puisse modifier le contenu sans que le destinataire le sache, vous devez appliquer au message un contrôle d’intégrité, par exemple une signature numérique.

Ainsi, pour le trafic non crypté, une « attaque » MITM consiste à s’assurer que vous avez accès au flux de messages entre Gerald et Leila.

Pour le trafic crypté, ce n’est pas suffisant ; vous verrez probablement que Gerald écrit à Leila, car cette information doit être claire pour que le message soit correctement acheminé. Mais vous ne pourrez pas voir le contenu : pour cela, vous aurez besoin d’accéder à la clé utilisée pour crypter le message. Dans le type de cryptage normalement utilisé pour sécuriser les messages, le message est crypté et décrypté à l’aide de deux copies de la même clé, tout comme l’envoi d’un message dans une boîte fermée à clé. Pour que cela fonctionne, Gerald et Leila doivent évidemment échanger une copie de la clé. Donc, dans ce cas, une attaque MITM commencerait par intercepter ce trafic, ce qui donnerait à un attaquant (Max) les moyens de déverrouiller le message après que Gerald l’a envoyé, le lire, le ré-encrypter et le renvoyer à Leila, qui n’y verra que du feu.

Ici, nous avons deux « versions » d’attaque MITM. La première est d’intercepter le contenu du message lui-même ; la seconde est d’intercepter la clé utilisée pour protéger le trafic. Sous cet angle, l’interception de messages pourrait simplement consister à s’asseoir entre les deux parties en communication et à lire le trafic ; l’interception de la clé nécessitera probablement l’usurpation active de l’identité des parties en communication. C’est pourquoi les attaques MITM réussies vous exposent au risque d’être trompé… parce que, pour qu’elles fonctionnent, vous devez croire que vous parlez à votre partenaire prévu, même si ce n’est pas le cas.

Que puis-je faire alors ?

Une attaque MITM réussie ne donnera aux utilisateurs à chaque extrémité aucune idée de ce qui se passe – surtout si elle a été conçue dans l’infrastructure elle-même. La sécurité de ce type de système, dans son ensemble, dépend de la sécurité d’un grand nombre d’éléments, qui doivent tous fonctionner correctement. Certains de ces éléments sont entre les mains de l’utilisateur, mais d’autres sont détenus et exploités par des tiers (tels que les fabricants de navigateurs et les autorités de certification).

En tant qu’utilisateur, il est important de comprendre les signes disponibles qui vous indiquent si le système fonctionne comme prévu :

  • Distinguer une session de navigation sécurisée d’une session non sécurisée
  • Reconnaître une signature numérique valide
  • Savoir réagir de manière appropriée à l’avertissement d’un certificat

Il est également important de pratiquer une bonne hygiène de sécurité avec vos mots de passe et vos clés. Bien sûr, des systèmes bien conçus vous faciliteront la tâche, mais malheureusement, tous les systèmes ne sont pas développés à cette fin.

Vous voulez en savoir plus ?

En 2015, un groupe d’experts en cryptographie, en sécurité informatique, en informatique, en ingénierie de la sécurité et en politique publique a produit un document dans lequel ils exposaient les implications de l’accès (par des tiers) aux communications cryptées. Cela est pertinent parce que lorsque les gouvernements demandent ou exigent l’accès à des communications cryptées, ils demandent essentiellement, dans la plupart des cas, qu’une option d’homme du milieu soit intégrée aux produits, services et/ou infrastructures dont dépendent leurs citoyens.

Lecture recommandée : « Keys under Doormats » – Rapport technique, MIT Computer Science and Artificial Intelligence Laboratory, 2015

Categories
Cryptage Qui sommes nous Renforcer la confiance Sécurité Technologie

L’Internet Security Research Group a décerné à Rachel Player le prix Radiant

Le succès de l’Internet Security est assuré par de nombreux héros méconnus. Des gens qui mettent leur talent et leur passion au service de l’amélioration de l’Internet, ce qui le rend sûr et digne de confiance. La sécurité est une caractéristique de l’Internet : elle n’est pas le fruit d’un mandat central, mais d’un travail acharné et de la ténacité de personnes travaillant à travers le monde.

Rachel Player, une chercheuse en cryptographie, est l’une de ces héroïnes méconnues. Elle vient de recevoir le prix Radiant décerné par l’Internet Security Research Group, l’équipe qui se cache derrière Let’s Encrypt, pour son travail en cryptographie post-quantique et en cryptage homomorphe. Le cryptage homomorphe permet de faire des calculs sur des données cryptées, afin que l’information reste privée tout en pouvant être utilisée. Il s’agit d’un domaine très pertinent pour tous les secteurs qui traitent des données sensibles et personnelles, comme la médecine et les finances. Player s’intéresse également à l’abaissement des barrières qui empêchent les jeunes, en particulier les jeunes femmes, de travailler professionnellement sur des sujets tels que la cryptographie.

Pour en savoir plus, lisez l’article de l’Internet Security Research Group ainsi que le billet de blog de Rachel Player sur son travail et les raisons pour lesquelles elle désire rendre sa profession plus accessible

Vous voulez en savoir plus sur Let’s Encrypt ? Lisez l’aperçu très complet de l’initiative – de l’inspiration à la mise en œuvre, l’organisation et l’exécution.

Categories
Confidentialité Cryptage Renforcer la confiance Sécurité

Ce que les films d’épouvante peuvent nous enseigner sur la confiance dans Internet

Savants fous. Poupées possédées. Zombies lents. Cette fête d’Halloween sera l’occasion pour nous de voir les clichés des films d’horreur prendre vie. C’est évident qu’on prend plaisir à les regarder, mais quelles leçons pouvons-nous en tirer ? Et si ces films pouvaient nous enseigner ce qu’il ne faut pas faire ? Nous avons étudié cinq films d’épouvante pour découvrir ce qu’ils pourraient nous apprendre sur la confiance accordée à Internet.

L’appel vient de l’intérieur de la maison.

Le téléphone ne cesse de sonner, chaque retentissement est plus effrayant que le précédent. Dring ! « Est-ce que tu es seul (e) à la maison ? » Dring ! « Est-ce que tu as fermé les portes à double-tour ? » Dring ! « Vérifie au sous-sol. » C’est seulement à ce moment-là que vous réalisez que le harceleur a toujours été dans la maison.

Nous verrouillons nos portes pour rendre nos maisons plus sûres, mais nous ne pensons pas toujours à la sécurité des appareils que nous connectons à nos réseaux domestiques. Un appareil connecté, mais non sécurisé, peut exposer l’ensemble de votre réseau ainsi que les autres appareils qui s’y trouvent. Ce qui signifie que la menace à la cybersécurité peut bel et bien venir de l’intérieur de la maison. En protégeant votre réseau domestique, vous limitez l’exposition de vos appareils aux menaces en ligne et contribuez à l’atténuation des risques qu’ils peuvent représenter pour les autres. Vous pouvez renforcer la sécurité de votre réseau en recourant au chiffrement, à un mot de passe fort et à un pare-feu qui protégeront votre réseau WiFi domestique.

Parfois, votre voiture ne démarre pas au moment où vous en avez vraiment, vraiment besoin.

Vous vous êtes échappé d’un hôpital abandonné et êtes parvenu à rejoindre votre voiture. Vous êtes maintenant penché sur le volant. La main tremblotante, vous tournez le contact. Seulement, il y a un problème. La voiture refuse de démarrer. C’est à ce moment-là que vous apercevez l’autocollant sur la fenêtre. La dernière visite de contrôle a eu lieu il y a plus d’un an.

Effectuez régulièrement la maintenance de vos appareils et vos applications de manière à ne pas vous retrouver coincé dans une situation délicate. Si un appareil ou une application possède une fonctionnalité de mise à jour automatique, activez-la ! Aucun système n’est parfaitement sécurisé. Les failles de sécurité sont toujours découvertes et corrigées par des mises à jour. Tout ce qui est connecté à Internet, des ampoules au thermostat, doit être mis à jour.

Construisez une barricade.

Les zombies arrivent. Ils vous ont poursuivi jusque dans la dernière pièce de la maison. Vous poussez la chaise contre la porte, en espérant que cela pourra les retenir le temps que vous vous échappiez. Au moment critique, vous entendez le craquement du panneau de particules et voyez la porte s’ouvrir brutalement. Vous regrettez alors amèrement d’avoir fait vos achats au rayon des articles en solde d’IKEA.

Essayer de sécuriser une porte avec des meubles fragiles est une mauvaise idée, alors pourquoi feriez-vous confiance à un mot de passe faible, du genre « letme1n », pour protéger votre messagerie, vos appareils et tout ce dont vous dépendez ? Peu importe la complexité du cryptage de votre appareil ou de votre application, si quelqu’un arrive à trouver votre mot de passe, il pourra accéder à vos données. Veillez à utiliser des mots de passe forts, pensez à les remplacer régulièrement et activez l’authentification à deux facteurs (2FA) pour vos applications et services. Si vous appliquez ces mesures, il sera difficile pour les personnes mal intentionnées d’accéder à vos données.

Il y a ce vieux livre, pleins d’indices, qui pourrait vous aider.

Le livre semble perdu au milieu des autres. Il est lourd et recouvert de poussière et rédigé dans une langue mystérieuse. Vous l’ignorez d’abord, mais quand vous commencez à voir des apparitions de fantômes, vous réalisez que vous auriez dû y prêter attention dès le début.

La plupart du temps, nous ignorons les textes en petits caractères et survolons avec négligence les accords d’utilisateur et les politiques de confidentialité pour cliquer sur « Accepter ». Il s’agit souvent d’informations sur les données collectées et la façon dont elles sont partagées. Lorsque nous avons connaissance de ces informations, nous pouvons faire des choix plus judicieux en ce qui concerne les applications et les appareils que nous utilisons, la quantité d’informations que nous partageons avec eux et la manière dont nous définissons nos autorisations et nos paramètres de confidentialité.

Des objets, qui semblent à première vue ordinaires, peuvent renfermer des secrets.

Un peu comme un miroir, pas vrai ? Il ne s’agit certainement pas d’un portail vers un monde souterrain sinistre. Le fait de chanter une comptine devant une personne n’invoquera pas de démons. Lorsque vous regardez dans le miroir pour remettre vos cheveux en ordre, vous ne verrez aucun fantôme debout, derrière vous, à la recherche de sa fiancée perdue.

Des cartes de crédit aux téléviseurs intelligents, nous utilisons de nombreux objets dans la vie quotidienne sans nous douter qu’ils pourraient nous causer du tort en mettant en péril notre confidentialité et notre sécurité. Toutefois, il est possible de se protéger de ces objets ordinaires en recourant au cryptage. Certains appareils et services peuvent utiliser le cryptage, mais ne l’activez pas par défaut. Prenez quelques minutes pour vérifier si vos appareils ou services utilisent déjà le cryptage ou si vous devez l’activer. Vous pouvez également basculer vers des applications de messagerie offrant un cryptage de bout en bout.

Le déni est un bon moyen de vous mettre dans le pétrin.

Connaissez-vous ce personnage qui refuse de croire qu’il y a un danger ? Celui qui ignore les coups sur la fenêtre ? C’est le type de personnage qui ne survit pas après la première scène.

Vous n’êtes pas obligé d’être cette personne. En prenant des mesures adéquates pour assurer votre sécurité et protéger votre vie privée, vous devez devenir le héros de votre propre film.

Enfin, ne vous aventurez jamais seul (e) dans des coins inconnus.

Vous campez avec cinq de vos amis, les plus photogéniques et les plus proches, lorsque des événements troublants commencent à se produire. Ce qui est drôle, c’est que vous ne vous rappelez pas avoir laissé les phares de votre voiture allumés. Et quel est ce cri qui provient des bois ? Vous décidez de tirer tout cela au clair. Vous vous trouvez désormais à trois mètres de l’entrée du sentier abandonné lorsque vous réalisez que vous que vous auriez mieux fait de rester avec vos amis.

Qu’il s’agisse de renforcer le routage Internet, d’aider à réduire la fracture numérique mondiale ou de façonner son avenir, nous faisons d’Internet un meilleur endroit pour travailler ensemble.

Rejoignez-nous ! Travaillons ensemble pour construire un Internet ouvert, sécurisé, fiable et accessible à tous.