Quand on a épuisé toutes les solutions pour casser un chiffrement et qu'on n'a plus de moyen de pression pour empêcher les gens de l'utiliser, qu'est ce qu'on fait ?

Et bien on demande gentiment... C'est en tout cas ce que vient de faire le FBI qui à force de s'épuiser a décidé, par la voix de son Directeur, James Comey, mercredi dernier au Sénat américain, de demander aux sociétés tech de reconsidérer leur business model et d'arrêter de fournir des solutions de chiffrement de bout en bout (end to end).

Du chiffrement end-to-end, ça signifie qu'il n'y a que vous et votre correspondant qui êtes capable de déchiffrer les messages. Avant de partir, le message est chiffré sur votre ordinateur puis il est déchiffré sur l'ordinateur de votre correspondant. Le service au milieu ne possède pas vos clés et il lui est impossible à lui, au pirate ou à la police de déchiffrer quoi que ce soit sans que vous leur ayez donné la clé.

Ayant oublié l'idée d'implanter une backdoor (porte dérobée) dans tous les services en ligne américain, le FBI aimerait donc que les fournisseurs de solutions technologies utilisent des méthodes de chiffrement qui soient déchiffrables par eux en cas de requête d'un juge. (Oui ce n’est pas la NSA-au-dessus-de-la-justice apparemment)

"Il y des tas de sociétés aujourd'hui qui fournissent des services sécurisés à leurs clients et qui se plient aux ordres de la justice. Il y a des tas de sociétés qui font de bons téléphones et qui sont capables de les déverrouiller pour répondre à une demande de la justice."

On peut comprendre son besoin, mais il est clair que dans cette époque post-révélations-Snowden, la plupart des gens considèrent qu'une société qui peut lire leurs données personnelles à tout moment, accéder à leur téléphone ou leur boite mail, ou laisser la NSA le faire, n'est pas une société qui propose un service dit "sécurisé". Le chiffrement end-to-end devient la norme, pèse dans l'argument commercial et c'est tant mieux.

J'espère que les sociétés tech vont continuer à suivre ce mouvement qui permet de garantir le respect de la vie privée de leurs utilisateurs.

Source