Apple travaille à bloquer les systèmes comme la GrayKey, Réactions à la publication du 14/06/2018

[Lionel]

Apple a annoncé son intention de tout mettre en œuvre pour rendre inefficaces les systèmes comme la GrayKey qui permettent des attaques en force brute sur des appareils iOS.
Ces nouvelles protections seront activées sous iOS12 et 11.4.1 et bloqueront toute connexion réseau via le Lightning si un appareil n'a pas été débloqué dans l'heure.
C'est une mesure dure qui ne va pas attirer à Apple les sympathies des autorités judiciaires.

Nous vous avons déjà donné notre opinion sur ces problématiques placées entre sécurité des données et application de la loi.

Lien vers le billet original

[malloc]

Nous vous avons déjà donné notre opinion sur ces problématiques placées entre sécurité des données et application de la loi.

Merci pour la news Lionel.

Une petite réaction sur la dernière ligne (dont je comprends bien le sens, mais qui rappelle une tournure journalistique actuelle qui oppose protection des données et respect de la loi): le secret des correspondances est un droit fondamental. Il est d'ailleurs traité par l'article 8 de la Convention Européenne des droits de l'Homme, entre la légalité des peines et la liberté de religion.

Donc oui, ces problématiques font intervenir sécurité des données ET application de la loi, mais, précisons-le, en aucun cas en opposition. La loi nous donne le droit de protéger nos données.

[yponomeute]

Une petite réaction sur la dernière ligne (dont je comprends bien le sens, mais qui rappelle une tournure journalistique actuelle qui oppose protection des données et respect de la loi): le secret des correspondances est un droit fondamental. Il est d'ailleurs traité par l'article 8 de la Convention Européenne des droits de l'Homme, entre la légalité des peines et la liberté de religion.

Donc oui, ces problématiques font intervenir sécurité des données ET application de la loi, mais, précisons-le, en aucun cas en opposition. La loi nous donne le droit de protéger nos données.

Article 8 qui précise bien qu'il peut y avoir ingérence d'une autorité publique si nécessaire pour assurer la sécurité nationale. Le problème actuel c'est que la protection par chiffrement des données numériques ne permet plus cette ingérence en cas de nécessité.

['Ztyk]

Je me demandais quand Apple allait s'y coller ! Laisser la porte ouverte a la justice sous des prétextes de sécurité nationale n'est clairement pas une solution, c'est plus facile que d'interdire la libre circulation des armes évidement, mais entre les deux il me semble qu'il y a une solution plus logique qu'une autre...

Fut un temps où je n'aurai pas compris pourquoi Apple n'y avait pas pensé avant.

[Paolo]

Je vais me faire incendier, probablement à juste raison, mais si ma famille avait été anéantie par un malfaisant et que la police, la justice aient besoin d'accéder aux données de son smartphone pour le confondre, trouver ses complices, le juger, et bien je pense que je maudirais le fabricant de ce smartphone de les empêcher de le faire.
Serait-il possible d'autoriser l'accès à ces données uniquement à un juge qui devrait justifier sa demande dans le cadre d'une enquête ?

[kenzo05000]

Je vais me faire incendier, probablement à juste raison, mais si ma famille avait été anéantie par un malfaisant et que la police, la justice aient besoin d'accéder aux données de son smartphone pour le confondre, trouver ses complices, le juger, et bien je pense que je maudirais le fabricant de ce smartphone de les empêcher de le faire.
Serait-il possible d'autoriser l'accès à ces données uniquement à un juge qui devrait justifier sa demande dans le cadre d'une enquête ?

Cela se comprends.
Mais, il y a toujours un Mais..... les autorités, quelles qu'elles soient, ont toujours cette sale manie de voyeur malsain, de contrôleur et de censeur, pour soit disant "notre bien".
Autoriser l'accès aux données implique une porte, et aussi petite soit elle et aussi verrouillée qu'elle puisse être, c'est une porte.
Que certains services gouvernementaux se feront un plaisir de fracturer, pour "voir" si on est "comme il faut", tout comme certains pirates mafieux pour essayer d'en tirer profit.
Donc c'est loin d'être évident.

[yponomeute]

Je vais me faire incendier, probablement à juste raison, mais si ma famille avait été anéantie par un malfaisant et que la police, la justice aient besoin d'accéder aux données de son smartphone pour le confondre, trouver ses complices, le juger, et bien je pense que je maudirais le fabricant de ce smartphone de les empêcher de le faire.
Serait-il possible d'autoriser l'accès à ces données uniquement à un juge qui devrait justifier sa demande dans le cadre d'une enquête ?

Oui c'est possible en affaiblissant la sécurité du smartphone et en acceptant le risque qu'un malfaisant puisse également accéder au données des smartphones s'il parvient à mettre la main sur le système qui permet au juge d'accéder aux données.
Maintenant on peut modifier ta question : si ta famille a été anéantie par un malfaisant qui a pu arriver à planifier cet acte criminel en accédant à des informations privées qu'il a réussi à obtenir parce que la sécurité des données privées à été affaiblie, tu maudirais aussi le fabricant de ce smartphone mais pour la raison opposée.

[ekami]

Apple va bloquer le port lightning au bout d'un certain nombre de tentatives ou au bout d'un certain temps et basta.
Le pb du chiffrage est binaire, pas trinaire: soit c'est chiffré sans backdoor, soit pas.
Et qu'on le croie ou non, on a ou on aura tous un jour "qqe chose à cacher".
Quoi qu'il en soit, tout ce qui transite par les réseaux cellulaires et systématiquement écouté et enregistré par la NSA, alors…

[malloc]

Une petite réaction sur la dernière ligne (dont je comprends bien le sens, mais qui rappelle une tournure journalistique actuelle qui oppose protection des données et respect de la loi): le secret des correspondances est un droit fondamental. Il est d'ailleurs traité par l'article 8 de la Convention Européenne des droits de l'Homme, entre la légalité des peines et la liberté de religion.

Donc oui, ces problématiques font intervenir sécurité des données ET application de la loi, mais, précisons-le, en aucun cas en opposition. La loi nous donne le droit de protéger nos données.

Article 8 qui précise bien qu'il peut y avoir ingérence d'une autorité publique si nécessaire pour assurer la sécurité nationale. Le problème actuel c'est que la protection par chiffrement des données numériques ne permet plus cette ingérence en cas de nécessité.

C'est vrai, aussi. Il ne fait aucun doute que les mesures de protection des libertés entravent nécessairement le travail de la justice. Avec plus ou moins d'effet : une porte blindée empêche la police de rentrer pendant 30 secondes, un cryptage de smartphone deux jours? deux semaines? deux mois?
Cela ne veut pas dire que les mesures de protections de la vie privée n'ont pas lieu d'être.

Accepterions nous de ne plus avoir le droit de mettre des portes blindées chez soi parce que cela rend les perquisitions trop difficiles?

[raoulito]

Nous vous avons déjà donné notre opinion sur ces problématiques placées entre sécurité des données et application de la loi.

de mémoire, l'opinion en question est "il faudrait trouver un bon compromis"
c'est en effet une opinion...

[Lionel]

Je vais me faire incendier, probablement à juste raison, mais si ma famille avait été anéantie par un malfaisant et que la police, la justice aient besoin d'accéder aux données de son smartphone pour le confondre, trouver ses complices, le juger, et bien je pense que je maudirais le fabricant de ce smartphone de les empêcher de le faire.
Serait-il possible d'autoriser l'accès à ces données uniquement à un juge qui devrait justifier sa demande dans le cadre d'une enquête ?

Cela se comprends.
Mais, il y a toujours un Mais..... les autorités, quelles qu'elles soient, ont toujours cette sale manie de voyeur malsain, de contrôleur et de censeur, pour soit disant "notre bien".
Autoriser l'accès aux données implique une porte, et aussi petite soit elle et aussi verrouillée qu'elle puisse être, c'est une porte.
Que certains services gouvernementaux se feront un plaisir de fracturer, pour "voir" si on est "comme il faut", tout comme certains pirates mafieux pour essayer d'en tirer profit.
Donc c'est loin d'être évident.

Franchement vous délirez les gars. On en est à faire plus confiance à une société commerciale qu'à nos gouvernements ?
Alors Apple vous protège des dérives de la police et de l'état, mais qui vous protégera d'Apple ?

[vlady]

Je vais me faire incendier, probablement à juste raison, mais si ma famille avait été anéantie par un malfaisant et que la police, la justice aient besoin d'accéder aux données de son smartphone pour le confondre, trouver ses complices, le juger, et bien je pense que je maudirais le fabricant de ce smartphone de les empêcher de le faire.
Serait-il possible d'autoriser l'accès à ces données uniquement à un juge qui devrait justifier sa demande dans le cadre d'une enquête ?

Cela se comprends.
Mais, il y a toujours un Mais..... les autorités, quelles qu'elles soient, ont toujours cette sale manie de voyeur malsain, de contrôleur et de censeur, pour soit disant "notre bien".
Autoriser l'accès aux données implique une porte, et aussi petite soit elle et aussi verrouillée qu'elle puisse être, c'est une porte.
Que certains services gouvernementaux se feront un plaisir de fracturer, pour "voir" si on est "comme il faut", tout comme certains pirates mafieux pour essayer d'en tirer profit.
Donc c'est loin d'être évident.

Franchement vous délirez les gars. On en est à faire plus confiance à une société commerciale qu'à nos gouvernements ?
Alors Apple vous protège des dérives de la police et de l'état, mais qui vous protégera d'Apple ?

Surtout je commence à soupçonner que cette défense acharnée "de la vie privée" des clients n'est qu'une habile pirouette commerciale qui a pour but de masquer le retard (que je suppose jamais rattrapable) d'Apple dans certain nombre de domaines (iCloud, Maps, AI, Siri, ...). Et surtout cette manière de régler le souci de la GrayKey (qui les ridiculise, carrément): Toujours plus de "Security By Obscurity".

Ce message a été modifié par vlady - 14 Jun 2018, 13:17.

[labulette]

Vaste fumisterie que le concept de vie privée, quand on a une vie numérique !!

Vous voulez avoir une vie privée ??? alors bannissez internet de la votre !

Ah oui c'est vrai.... maintenant même pour déclarer ses impôts il faut le faire sur internet..... hé bin tant pis......

aaaarghh 15ème message en 14 ans de présence..... j'ai sauvagement craqué mon ratio d'un message par an !

Ce message a été modifié par labulette - 14 Jun 2018, 12:50.

[kwak-kwak]

Je vais me faire incendier, probablement à juste raison, mais si ma famille avait été anéantie par un malfaisant et que la police, la justice aient besoin d'accéder aux données de son smartphone pour le confondre, trouver ses complices, le juger, et bien je pense que je maudirais le fabricant de ce smartphone de les empêcher de le faire.
Serait-il possible d'autoriser l'accès à ces données uniquement à un juge qui devrait justifier sa demande dans le cadre d'une enquête ?

Les faits semblent surtout montrer que laisser des failles de sécurités et le libre accès à nos appareils aident bien plus les "malfaisants" à commettre leur méfait qu'elles ne les dissuadent de le faire de peur de se faire chopper un jour par la justice qui pourrait consulter leurs appareils.

En matière d'appareils mobiles connectés, laisser ces failles ouvertes ouvre surtout la voie au vol des appareil (avec les agressions à la personne pour subtiliser l'iPhone à 1000 boules) et surtout nous expose au vol de données de la part d'attaquants du monde entier. Le piratage de certains outils (comme une boite mail) ont pu changer le cours d'élection présidentielle, modifier le choix d'une entreprise dans un appel d'offre à plusieurs milliards d'Euros, permettre à des groupes de pirater des millions de cartes de crédits, ...

Et non, en matière de chiffrage il n'est pas possible d'ouvrir l'accès à un intermédiaire. Un bon algorithme de chiffrement n'est pas déchiffrable par l'entreprise qui le fournit, ni par son créateur. Un bon algorithme de chiffrement est d'ailleurs obligatoirement open source (dont le principe de fonctionnement est libre d'être consulté par quiconque) !
Cela va même plus loin, dans le cadre d'un chiffrement à clef asymétrique (comme il y a sur tous les sites web "https://"), l'émetteur du message chiffré est incapable de déchiffrer ce qu'il a lui même envoyé : seul le receveur désigné peut déchiffrer le message.

Vaste fumisterie que le concept de vie privée, quand on a une vie numérique !!

Vous voulez avoir une vie privée ??? alors bannissez internet de la votre !

Ah oui c'est vrai.... maintenant même pour déclarer ses impôts il faut le faire sur internet..... hé bin tant pis......

aaaarghh 15ème message en 14 ans de présence..... j'ai sauvagement craqué mon ratio d'un message par an !

J'ai une vie privée, et j'ai internet (mode d'emploi)

[Paolo]

Question que je me pose : si nos données privées sont si précieuses, et je conçois très bien qu'elles le soient pour certains, pourquoi les transporter toujours avec soi dans un petit appareil que l'on peut perdre ou se faire voler ? Avant l'invention des smartphones comment faisait-on ?

[kwak-kwak]

Franchement vous délirez les gars. On en est à faire plus confiance à une société commerciale qu'à nos gouvernements ?
Alors Apple vous protège des dérives de la police et de l'état, mais qui vous protégera d'Apple ?

L'Etat ! L'Etat doit s'assurer qu'Apple est dans l'incapacité de déchiffrer les données qu'on lui a fourni ou que l'on croit avoir chiffré !
En France, la CNIL colle des prunes à qui se fait chopper la main dans le sac et l'ANSSI fournit les certifications ! L'ANSSI ne peut pas certifier un support de stockage qui est déchiffrable par son constructeur.

Cela n'interdit pas à Apple, Facebook, Google et consort de dénoncer les failles de l'Etat, notamment quand ce dernier exige l'adjonction de vulnérabilités !

Donc l'Etat peut et doit dire à Apple : "Vous faîtes de la merde en terme de sécurité en laissant des failles béantes."
Et Apple peut et doit dire à l'état : "Vous me demandez de la merde, en exigeant que je créée (ou laisse) des failles béantes".
Les 2 discours peuvent être tenu simultanément par chaque partie, ce n'est pas incohérent.
Ce que certains ignorent (dont notamment les politiques qui ne comprennent rien à rien à l'informatique), est qu'il est impossible de maintenir des vulnérabilité à destination d'une unique entité sur le long terme. Ces failles vont obligatoirement fuiter un jour ou l'autre.

Vous n'accepteriez jamais de remplacer la serrure de votre porte par un cadenas pompier triangle pour que la police puisse facilement entrer chez vous à votre insu au cas où on vous soupçonnerait d'être un malfrat !

[kwak-kwak]

Question que je me pose : si nos données privées sont si précieuses, et je conçois très bien qu'elles le soient pour certains, pourquoi les transporter toujours avec soi dans un petit appareil que l'on peut perdre ou se faire voler ? Avant l'invention des smartphones comment faisait-on ?

Parce que cela implique une notion de risque acceptable.
Le fait que l'on me vole et/ou publie le contenu de mon téléphone est peu probable mais existant. (Exemple : le Fappening en 2014 (lien wikipedia))

De fait (et n'étant pas (encore) une célébrité):
- J'ai la majorité de mes contacts sur mon téléphone
- J'ai quelques dossier et photos perso (vacances) sur mon téléphones.
- J'ai quelques factures et une photocopie de ma carte d'identité sur Google drive (donc accessible depuis et potentiellement en cache dans mon téléphone)
- J'ai quelques sessions internet ouvertes (et mot de passes pré-enrigistré) dans le navigateur internet de mon téléphone.
Ces éléments sont pratiques et utile à ma vie courante. Je ne souhaite pourtant pas les voir en libre sur internet, mais j'assume les risques de les voir un jour en libre accès en raison des commodités que cela m'amène au quotidien.

En contre partie je n'ai pas sur mon téléphone :
- De photo de moi à poil (et par respect de photo d'autrui à poil)
- Ou quoique ce soit qui puisse être très compromettant à mon encontre
Car ça je n'assume en aucun cas de le voir publier un jour sur internet (et le risque dépasse largement le besoin de disposer de ces éléments).

Ce message a été modifié par kwak-kwak - 14 Jun 2018, 13:56.

[yponomeute]

- J'ai la majorité de mes contacts sur mon téléphone

C'est un exemple typique de données impossibles à protéger, car elles se retrouvent également sur les téléphones de nos contacts, donc le risque de divulgation est démultiplié.

[labulette]

Vous n'accepteriez jamais de remplacer la serrure de votre porte par un cadenas pompier triangle pour que la police puisse facilement entrer chez vous à votre insu au cas où on vous soupçonnerait d'être un malfrat !

Quelque soit la complexité de ta serrure (physique)..... si les services de l'état estiment nécessaire de rentrer, ils se feront ouvrir ta porte ne t'inquiète pas !

C'est bien là tout leur problème par rapport au monde numérique....

[raoulito]

En contre partie je n'ai pas sur mon téléphone :
- De photo de moi à poil (et par respect de photo d'autrui à poil)
- Ou quoique ce soit qui puisse être très compromettant à mon encontre
Car ça je n'assume en aucun cas de le voir publier un jour sur internet (et le risque dépasse largement le besoin de disposer de ces éléments).

et encore, beaucoup de ceux qui ont vu des choses publiées sur eux n'avaient pas eu leur téléphone volé (ce qui d'ailleurs n'entraine que très peu de divulgations/chantages sauf à avoir ete visé spécifiquement, auquel cas on se fera avoir d'une manière ou d'une autre)

quand à avoir tout sur son téléphone c'est simple: gain de temps (numéro d'iban, numéro de secu, numéro siret, mots de passes indéchiffrables même pour nous etc..)

[ekami]

- J'ai la majorité de mes contacts sur mon téléphone

C'est un exemple typique de données impossibles à protéger, car elles se retrouvent également sur les téléphones de nos contacts, donc le risque de divulgation est démultiplié.

Exact, c'est d'ailleurs c'est la seule donnée que je synchronise via iCloud.
Mais je ne fais pour autant confiance à l'application "Contacts" pour gérer mes contacts, car après avoir perdu tous mes contacts lors de leur passage vers iCloud, j'ai pris les devants en les stockant de façon plus sécurisée dans une Base De Données.

[SartMatt]

Question que je me pose : si nos données privées sont si précieuses, et je conçois très bien qu'elles le soient pour certains, pourquoi les transporter toujours avec soi dans un petit appareil que l'on peut perdre ou se faire voler ? Avant l'invention des smartphones comment faisait-on ?

Parce que même si elles sont précieuses, ça peut être pratique de les avoir...

Perso j'ai par exemple tous mes documents administratifs des dernières années dans Google Drive (chiffré avec Box Cryptor), et du coup accessible à tout moment avec mon téléphone. Les gains de temps que ça m'a permis sont énormes...

Par exemple, quand tu as un dossier un peu complexe à fournir, il va toujours manquer des pièces. Parce que tu les auras oubliées, parce que ton interlocuteur aura oublié de te les demander, parce qu'elles se seront perdues en route... Et comme en général celui qui traite le dossier s'arrête à la première pièce manquante, chaque pièce manquante fait perdre une journée : tu es prévenu dans la journée que la pièce manque, mais tu es au boulot, et quand tu rentres chez toi le soir, celui qui traite le dossier a aussi terminé sa journée, et donc il reprendra seulement le lendemain. Avec mon Google Drive/Box Cryptor, quand quelqu'un me demande une pièce manquante, il la reçoit dans les 5 min par mail.

Alors effectivement, je prends un risque, en cas de perte ou de vol de mon téléphone. Mais ce risque reste assez faible, justement parce que les téléphones sont sécurisés. Et dès l'instant où je constaterai que mon téléphone à disparu, la première chose que j'essaierai de faire, avant même d'aller porter plainte, c'est de révoquer son accès à mon Google Drive.

[kwak-kwak]

Vous n'accepteriez jamais de remplacer la serrure de votre porte par un cadenas pompier triangle pour que la police puisse facilement entrer chez vous à votre insu au cas où on vous soupçonnerait d'être un malfrat !

Quelque soit la complexité de ta serrure (physique)..... si les services de l'état estiment nécessaire de rentrer, ils se feront ouvrir ta porte ne t'inquiète pas !

C'est bien là tout leur problème par rapport au monde numérique....

Si la porte les retient suffisamment de temps, tu auras le temps d'effacer (ou détruire) tes données.
Dans le cas de Mohammed Merah, cela avait retenu la police suffisamment longtemps pour qu'il ait le temps de se barricader. Cela lui a permis d'assouvir sa dernière volonté : mourir les armes à la main (quand la police le voulait vivant pour pouvoir l'interroger.) Et médiatiquement on se souvient encore de son nom (alors que l'on n'a pas retenu le nom des tireurs du bataclan, ou du chauffeur du camion Nice ayant fait bien plus de morts).

En bref, concernant le numérique cela t'ennuie car tu n'as pas l'habitude. Et ce alors que les broyeuses de disque dur et les déchiqueteuses papier font rage sur le marché. Je suis à peu près même sur qu'il doit exister des coffres-fort pour lesquels si on tente de forcer l'ouverture, le contenu est détruit.

Ce message a été modifié par kwak-kwak - 14 Jun 2018, 20:18.

[SartMatt]

Je suis à peu près même sur qu'il doit exister des coffres-fort pour lesquels si on tente de forcer l'ouverture, le contenu est détruit.

Fort probable. D'ailleurs, même si le but n'est pas le même, certains coffres de distributeurs de billet et de transporteurs de fond ont ce type de protection, en cas d'effraction leur contenu est noyé dans une encre indélébile, rendant les billets inutilisables.