Tout comme avec la Suède, Signal refuse de rester dans un territoire qui sape sa stratégie de cryptage, faisant valoir qu’une porte dérobée en France saperait les protections pour les utilisateurs du monde entier.
Le signal est debout pour protéger la sécurité de son application, menaçant mercredi de quitter la France si les exigences de porte dérobée de cryptage sont promulguées, tout comme elle l’a dit en Suède.
«Ceux qui ont excité cette mauvaise loi se sont précipités pour garantir aux politiciens français que la proposition ne casse pas le cryptage. Leurs arguments sont aussi fastidieux que périmés, car ils sont risibles. Pour ceux qui rattrapent, passons en revue les bases: fin à la fin du cryptage ne doit avoir que deux extrémités.
« Quelle que soit la méthode conçue pour ajouter une troisième extrémité – d’un PRNG perverti dans un protocole cryptographique, à un logiciel gouvernemental fourni par le fournisseur greffé sur le côté des communications sécurisées qui permettent au gouvernement de s’ajouter à vos discussions – il déchire un trou dans la coque des communications privées et est une détromation. »
Le PDG de Signal a ajouté: « C’est pourquoi, comme toujours, Signal quitterait le marché français avant qu’il ne respecte cette loi telle qu’elle est écrite. En ce moment, surtout, il y a tout simplement trop de conduite sur le signal, sur la possibilité de forger un avenir dans lequel la communication privée persiste, pour permettre une telle minceur pernicieuse. »
Whittaker a partagé des réflexions similaires lorsque des représentants du gouvernement en Suède ont tenté le mois dernier d’une fin de fin de cryptage.
Comme tous les organes législatifs, les législateurs français débattent de diverses approches du chiffrement et il n’est pas encore clair s’ils finiront par exiger une porte dérobée de cryptage.
Mais même en mettant de côté la décision ultime des autorités françaises, l’argument de Whittaker sur la catastrophe de la cybersécurité qui résultera de la saper le cryptage est valide.
« Les communications ne restent pas dans les limites juridictionnelles, ce qui signifie qu’un trou créé en France devient un vecteur pour quiconque souhaite saper les garanties de confidentialité robustes de Signal partout », a écrit Whittaker. «Au lieu de affronter des mathématiques incassables, ils n’ont qu’à compromettre un employé du gouvernement français, ou le logiciel fourni par les fournisseurs utilisés pour étendre les agents du gouvernement dans vos conversations privées.»
Cet argument de porte dérobée de cryptage frappe également de nombreux autres gouvernements dans le monde. Apple, par exemple, fait actuellement appel à une demande de porte dérobée de cryptage du Royaume-Uni, et les États-Unis rédigent ces mêmes responsables britanniques pour exiger une porte dérobée de chiffrement.
La question sous-jacente ici ne se limite pas aux délais de cryptage du gouvernement. Si chaque côté d’une conversation cryptée est interceptée, le même problème se produit. L’armée ukrainienne, par exemple, combat maintenant une campagne de phishing agressive qui plante malveillante, souvent un keylogger, qui contourne le chiffrement encore plus efficacement qu’une porte dérobée.
L’interception des points de terminaison s’est également retournée et a mordu les cyber-escrocs eux-mêmes. Les responsables d’Europol en décembre ont trébuché sur un cyberthief qui a intelligemment utilisé une application qui a fait disparaître les messages quelques minutes après avoir été lue. Mais, étant donné que les voleurs expérimentés en savent suffisamment pour ne pas faire confiance à d’autres voleurs, l’un des destinataires a accumulé une discussion sur le partage d’argent avec ses collègues. Cet acte a rendu tous ses messages cryptés lisibles pour les forces de l’ordre.
De nombreux problèmes avec les dérives, disent les analystes
Les analystes sont préoccupés par les demandes croissantes de déambulations. Aisling Dawson, digital security industry analyst at ABI Research, saw Whittaker’s post and said that many government encryption proposals “fail to display an understanding of the technical implications of such a backdoor” and that these governments “face the prospect of increasing numbers of organizations exiting their marketspace, triggering economic losses and reducing the number of security vendors within the ecosystem, or creating the potential for legal and judicial challenges to proposed action réglementaire. »
Dawson a également considéré les tentatives de porte dérobée du cryptage comme dangereuses.
«L’utilisation de termes comme« numérisation par client latérale »dans ces propositions complique et peut-être à parcourir délibérément les intentions des gouvernements en ce qui concerne ces nouvelles propositions qui sont, à la base, un désir de plus de délais dans les communications sécurisées des fournisseurs», a déclaré Dawson. «Le perçage du mur cryptographique des vendeurs pour créer une porte dérobée gouvernementale crée un trou, et il semble fantastique de croire que les cybercriminels et les attaquants malveillants n’essaieront pas également d’exploiter ce trou.»
Dawson a également fait valoir qu’il y a des questions juridiques soulevées par les délais, au-delà et au-delà des problèmes de cybersécurité et de confidentialité.
« La proposition de la France soulève des défis en ce qui concerne les défendeurs potentiels contestant toute preuve obtenue par le biais d’une porte dérobée de cryptage, étant donné que le projet de loi inhibe la divulgation de toute opération de surveillance aux défendeurs », a déclaré Dawson. «Cela se comporte fondamentalement contre le droit des défendeurs d’entendre et de contester les preuves qui leur sont placées conformément à leur ECH (Convention européenne sur les droits de l’homme) 6 droits du procès.»
D’autres analystes ont partagé des préoccupations similaires.
Fred Chagnon, directeur de la recherche principale du groupe de recherche Info-Tech, a déclaré que l’approche de porte dérobée du cryptage débattue par les législateurs en France est quelque peu différente de ce que certains autres gouvernements envisagent.
« La France veut adopter une approche différente avec un » participant fantôme « , ce qui permettrait aux entités gouvernementales de rejoindre silencieusement les conversations cryptées, créant essentiellement une porte dérobée en temps réel », a déclaré Chagnon. «Les gouvernements doivent s’engager avec ces prestataires (de chiffrement) pour trouver une solution qui n’affaiblit pas fondamentalement la sécurité au lieu de faire pression pour que des réglementations obligent les entreprises à briser leur propre cryptage.»
Et Anshel Sag, analyste principal de Moor Insights & Strategy, a des préoccupations plus générales concernant les activités gouvernementales à travers l’Europe autour du chiffrement.
« Je pense que c’est une tendance troublante que nous commençons à voir parmi les gouvernements européens, la demande d’Apple du Royaume-Uni étant un problème similaire. Les déambulations sont intrinsèquement problématiques car elles offrent simplement aux mauvais acteurs des opportunités de profiter également de ces déambulations », a déclaré Sag. « De plus, ils créent un faux sentiment de sécurité et de sécurité qui n’est plus là à cause de la porte dérobée. Les déambulations sont tout simplement antithétiques à la sécurité et à la sécurité sur lesquelles tant de ces entreprises ont construit leur réputation. »
