samedi 27 février 2016

Apple contre FBI

C’est l’affaire qui agite le monde de la crypto et de la technologie ces derniers temps. J’ai fait une chronique dans le cadre du 56Kast, l’émission de la chaîne Nolife (associée à Libération)… et je me suis dit que si vous vouliez comprendre les tenants et aboutissants de cette histoire en quelques minutes, ce billet serait le bienvenu.

Voici donc la vidéo de l’émission :


56Kast #67 : Apple vs FBI au bord du lac rouillé par liberation

Et mes notes, rapidement mises en forme :

Les faits et les dates

  • 2/12/2015 : Attentat à San Bernardino (14 morts) par Syed Rizwan Farook et sa femme. L’iPhone professionnel du terroriste est retrouvé (les deux téléphones personnels des terroristes ont été détruits par eux). Le FBI, chargé de l’enquête, veut accéder aux données contenus dans l’iPhone. Pour cela, ils évoquent une loi de 1789 ! Il est à noter que le FBI a déjà plein de données :
    • Celles fournies par l’opérateur qui sait où chaque téléphone se trouve et quels sont les numéros appelés.
    • Celles fournies par Apple qui a une copie de sauvegarde « dans le Cloud » de l’iPhone en question. Mais son utilisateur a désactivé cette sauvegarde 6 semaines plus tôt. Donc Apple et le FBI n’ont accès qu’à des données de plus de 6 semaines.
  • 16/2/2016 : Apple publie une lettre ouverte à ce propos. « Le FBI nous demande de créer une version d’iOS qui contiendrait une porte dérobée. C’est trop dangereux, nous refusons. ».
  • Dans la foulée, Google joint (mollement) Apple sur ce sujet. Facebook et Twitter les rejoignent.

Un peu de technologie…

l’iPhone 5c est protégé par un code secret à 4 ou 6 chiffres. On pourrait imaginer qu’on mette quelqu’un à taper toutes les combinaisons possibles. C’est ce qu’on appelle les attaques en « brute force » / Force brute. Pour éviter de telles attaques, il y a deux mécanismes dans les iPhones :

  1. Au fur et à mesure que le nombre d’essais infructueux augmente, l’iPhone tarde de plus en plus à répondre
  2. En plus, les iPhones peuvent être programmés pour effacer leur contenu au bout de 10 essais infructueux. Mise à jour : pour tout savoir du mécanisme de protection de l’iPhone, Numerama a fait un très bon papier.

Donc le FBI demande à Apple de faire une version d’iOS qui n’ait pas ces comportements (et qui en plus permette d’entrer les codes dans l’iphone sans passer par le clavier, juste par une connexion Wifi ou Bluetooth). Il suffirait d’installer cette version sur l’iPhone, et ça rendrait possible l’attaque en force brute.

On notera que le problème serait différent avec un modèle plus récent d’iPhone car depuis le 5S ils disposent d’un lecteur d’empreinte digitale et d’un système de sécurité avancé dit « Secure Enclave » qui améliore le chiffrement. En clair, il aurait suffit d’utiliser les doigts du meurtrier pour déverrouiller l’iPhone s’il avait été un peu plus récent…

Pourquoi c’est un problème ?

C’est une porte dérobée, ni plus ni moins : ça affaiblit la sécurité de l’iPhone.

Les gouvernements du monde entier n’attendent que ça : une fois ce système connu publiquement, tous les gouvernements, y compris les régimes oppressifs, vont demander à l’avoir. Et un jour où l’autre ça va finir par fuiter et ça sera utilisé par des personnes mal intentionnées.

Les postures

On se croirait au théâtre, avec cette histoire. Reflets.info titre très justement le choc des pipeaux !

Bataille marketing pour Apple

C’est une société qui protège le mieux ses utilisateurs par rapport aux autres GAFAs. Ils ont déjà communiqué sur ce sujet. Pour eux, c’est un différentiateur important. Ils le répètent : « vos données sont vos affaires, nous n’avons pas à les connaitre ». Alors que chez les concurrents, Google, pour ne pas les nommer, le business model de Google est de tout savoir sur tout le monde pour offrir un service sur mesure et surtout, vendre de la publicité ciblée.

Cynisme pour le FBI

C’est une opportunité médiatique pour le FBI qui n’attendait que ça en utilisant l’émotion de l’opinion publique. Ca fait un bout de temps qu’ils sont en embuscade en attendant l’événement qui leur permettra de porter un coup à la vie privée et au chiffrement en profitant de l’émotion du public. C’est arrivé le 11 septembre 2001, où on a vu arriver le PATRIOT act sorti de nulle part et prêt en quelques jours… parce qu’il avait déjà été rédigé, on attendait l’occasion de le sortir. En France, pareil avec la loi Renseignement, qui a débarqué en urgence après les attentats de janvier 2015. On apprend par la bande qu’en fait le FBI a déjà une douzaine d’iPhones dont il veut voir le contenu[1]… Il n’y a plus aucun doute, le FBI nous prend pour des quiches et cherche à créer un précédent, une brèche dans laquelle il pourra s’engouffrer.

Soutien gêné pour les GAFAs

Les grands acteurs de la Silicon Valley suivent et soutiennent Apple. Ils sont eux aussi contre les interférences du FBI, de la CIA et de la NSA, parce qu’ils savent bien que ça mine la confiance des utilisateurs, et donc c’est pas bon pour les affaires. Mais bon, contrairement à Apple, le métier de Google, de Facebook & co, c’est de tout savoir et tout analyser sur chacun de nous… Comme la NSA !

Conclusion

Je suis résolument du coté d’Apple. La question n’est pas de protéger la vie privée des meurtriers (ils sont morts de toutes façons), mais bien de protéger la vie privée de tout le reste du monde. C’est d’autant plus important qu’on ignore de quoi est fait le futur, qui sera président(e) des USA ou de la France dans les années à venir.

En substance, il faut penser la crypto comme si Donald Trump était au gouvernement. Et accepter de ne pas tout savoir sur tout le monde.

Note

[1] Apple affirme : “Law enforcement agents around the country have already said they have hundreds of iPhones they want Apple to unlock if the FBI wins this case”.

jeudi 30 avril 2015

Mix-It, Cloud, vie privée et surveillance de masse

J’étais à Lyon il y a quelques jours, dans le cadre de la conférence Mix-It pour une Keynote au sujet du Cloud et de la vie privée.

Mix-It_2015.png

En 2015, avec le Cloud (façon élégante de dire “ordinateur de quelqu’un d’autre), nous ne maitrisons plus rien : nos données sont dans des silos dont le business model consiste à tout savoir sur nous. On sait depuis les révélations Snowden que les agences de renseignement se frottent les mains de cette situation, et la récente loi Renseignement démontre que c’est aussi le cas en France.

La vidéo est visible en ligne. Elle dure 25mn.

Pour compléter, la présentation (format PDF, 1Mo) est aussi disponible au téléchargement, et la version audio (fichier MP3, 26Mo) aussi.

mercredi 9 juillet 2014

Décentralisation d'Internet

Je suis un grand fan d'Internet depuis toujours, mais deux choses me préoccupent au plus haut point en ce moment :

  1. La surveillance de masse des utilisateurs, récemment remise au devant de la scène par les révélations d'Edward Snowden ;
  2. La centralisation des données et des applications des utilisateurs dans des silos propriétaires, dont les moteurs de recherche, les réseaux sociaux et autres, dont le modèle commercial consiste principalement à collecter des données personnelles et à pister les utilisateurs pour connaître leurs intérêts et habitudes afin de monétiser tout cela auprès d'annonceurs, souvent via la publicité ciblée.

Il se trouve que les deux sujets sont étroitement liés : ceux qui espionnent les utilisateurs sont friands des données accumulées par les grands silos.

C'est un problème pour deux raisons :

  1. La surveillance de masse est incompatible avec la liberté d'expression et les libertés qui en découlent
  2. La concentration des services leur donne un pouvoir inégalé sur les autres services plus petits et plus innovants, ce qui bride à terme l'innovation.

Dans une récente présentation avec Reporters Sans Frontières et le projet TOR, j'expliquais (en français, ne vous laissez pas impressionner par les 30 premières secondes en anglais) en quoi la centralisation et la surveillance de masse étaient les problèmes les plus préoccupants du Net actuellement. Pour faire simple, l'avenir d'un Internet Libre passe par de la cryptographie, un nouveau business model qui remplace la publicité ciblée et la décentralisation des services Internet.

Dans la pure tradition Mozilla, je ne me contente pas de le pointer du doigt, ce qui est déjà un bon début, mais j'essaye de voir comment on pourrait le résoudre. C'est pourquoi j'organise une rencontre régulière au bureau de Mozilla Paris sur le thème de la décentralisation d'Internet.

La première instance de cet événement récurrent se tiendra le 30 juillet 2014 chez Mozilla Paris et sera au format Hackathon (peu de blabla, beaucoup de rencontres et de code !)

Son objectif est de commencer à recenser les bonne volontés et projets qui œuvrent dans pour la décentralisation d'Internet, puis de commencer à bidouiller ensemble pour faire progresser ces projets.

Quelques ressources pour aller plus loin :

Inscrivez-vous pour participer à ce premier meet-up !

mercredi 2 juillet 2014

Rencontrer le projet Tor à Paris

logo-1.pngToute cette semaine, le bureau parisien de Mozilla héberge le projet Tor dans le cadre de leur Summer 2014 Developers Meeting.

J'en ai profité pour entrer en contact avec Reporters Sans Frontières et leur proposer d'organiser une conférence sur la vie privée, la cryptographie, les révélations de Snowden, l'anonymat sur Internet, la protection des sources pour la presse et la liberté de l'information (rien que ça !).

Ca se passe demain soir (jeudi 3 juillet) à partir de 19h30 au métro Richelieu Drouot et ça sera en bonne partie en langue anglaise, compte tenu des origines des participants du projet Tor.

Il reste quelques places, je les propose donc aux lecteurs du Standblog. Attention, le nombre de places étant limité, il est impératif de réserver via ce lien.

lundi 3 mars 2014

En vrac special Confiance de retour de Barcelone

Tellement de choses à dire sur le sujet de la confiance dans le numérique ces dernières smeaines que j'en arrive à faire un billet En Vrac qui porte sur ce sujet :

- page 1 de 2