La conversation sur les délais dans les services cryptées fait une fois de plus le tour après que les rapports ont émergé que le gouvernement britannique cherche à forcer Apple à ouvrir l’offre de sauvegarde de l’appareil crypté (E2EE) d’Icloud (E2EE). Les fonctionnaires auraient appuyé sur Apple pour créer une «porte dérobée» dans le service qui permettrait aux acteurs de l’État d’accéder à des données claires.
Le Royaume-Uni a eu des pouvoirs de balayage pour limiter l’utilisation par les entreprises technologiques d’un chiffrement fort a envoyé passer une mise à jour de 2016 aux pouvoirs de surveillance de l’État. Selon les rapports du Washington Post, les responsables britanniques ont utilisé la loi sur les pouvoirs d’enquête (IPA) pour placer la demande sur l’accès «couverture» à la recherche de pommes à son service de protection des données avancées (ADP). Accès aux fêtes, inclus Apple lui-même.
L’architecture technique du service ADP d’Apple a été conçue de telle manière que le géant de la technologie ne détient pas les clés de chiffrement – que l’utilisation d’un cryptage de bout données des utilisateurs.
Une porte dérobée est un terme généralement déployé pour décrire une vulnérabilité secrète insérée dans le code pour contourner ou saper les mesures de sécurité afin d’activer les troisième parties. Dans le cas iCloud, la commande permet au Royaume-Uni de l’intelligence ou de la mort de la loi d’accéder aux données cryptées des utilisateurs.
Alors que la routine du gouvernement britannique refuse de confirmer ou de nier les rapports des avis émis en vertu de l’IPA, les experts en sécurité ont averti qu’un tel ordre secret de l’ordre pourrait avoir des ramifications mondiales si le fabricant d’iPhone est obligé d’affaiblir les protections de sécurité qu’elle offre à tous les utilisateurs, y compris celles Situé à l’extérieur du Royaume-Uni.
Une fois qu’une vulnérabilité dans les logiciels existe, il existe un risque qu’il puisse être exploité par d’autres types d’agents, disons des pirates et d’autres mauvais acteurs souhaitant accéder à des fins néfastes – telles que le vol d’identité, ou d’acquérir et de vendre des données sensibles, ou même pour déployer des ransomwares.
Cela peut expliquer pourquoi le phrasé prédominant utilisé autour des tentatives du conducteur d’État pour accéder à E2EE est cette abstraction visuelle d’une porte dérobée; Demander une vulnérabilité à ajouter intentionnellement au code fait du plâtre de compromis.
Pour utiliser un examen: lorsqu’il est à colorier les portes – dans les bâtiments, les murs ou similaires – c’est votre garantie que seul le propriétaire ou le titulaire du propriétaire aura une utilisation exclusive de celle de l’entrée.
Une fois qu’une ouverture existe, elle crée un potentiel d’accès – quelqu’un pourrait obtenir une copie de la clé, par exemple, ou même forcer son chemin en décomposant la porte.
L’essentiel: il n’y a pas de porte parfaitement sélective qui existe pour laisser passer une personne en particulier. Si quelqu’un peut entrer, il s’ensuit logiquement que quelqu’un d’autre pourrait également utiliser la porte.
Le principe du risque d’accès s’appliquait aux vulnérabilités ajoutés aux logiciels (ou, en fait, le matériel).
Le concept de bourse de Nobus («personne d’autre que nous») a été lancé par les services de sécurité dans le passé. Ce type spécifique de porte dérobée repose généralement sur une évaluation de leurs capacités techniques pour faire une vulnérabilité particulière étant supérieure à toutes les autres – essentiellement une porte dérobée ostensiblement plus sécurisée qui ne peut être exclusivement accédé par leurs agents.
Mais de la nature, les prouesses technologiques et la capatibilité sont un exploit mobile. L’évaluation des capacités techniques des autres inconnus n’est pas non plus une science exacte. Le concept «Nobus» se trouve sur des hypothèses déjà douteuses; Tout accès tiers crée le risque d’ouvrir de nouveaux vecteurs d’attaque, tels que des techniques d’ingénierie sociale visant à cibler la personne ayant l’accès «autorisé».
Sans surprise, de nombreux experts en sécurité se disstrases comme une idée fondamentalement défectueuse. Autrement dit, tout accès crée des risques; Par conséquent, la poussée pour les délais est anti-ésive à une sécurité solide.
Pourtant, indépendamment de ces problèmes de sécurité clairs et présents, les gouvernements continuent de faire pression pour des délais. C’est que nous devons continuer à en parler.
Le terme «porte dérobée» implique également que ces demandes peuvent être clandestines, plutôt que le public, tout comme les déambulations ne sont pas des points d’entrée qui sont orientés publics. Dans le cas iCloud d’Apple, une demande de compromis le chiffrement faite en vertu de l’IPA du Royaume-Uni – par le biais d’un «avis de capacité technique» ou de TCN – ne peut pas être légalement disisé par le contenu. L’intention de la loi est que de telles délais sont secrètes par conception. .
Selon le groupe de droits, la Fondation Electronic Frontier, le terme «porte dérobée» remonte aux années 1980, lorsque la porte dérobée (et «trapdoor»), nous avons été utilisés pour nous référer à un compte secret et à des mots de passe créés pour permettre à quelqu’un inconnu un accès à un système. Mais au fil des ans, le mot a été utilisé pour étiqueter une large gamme de tentatives de dégrader, de contourner ou de compromettre autrement la sécurité des données activée par le chiffrement.
Bien que les déambulations soient à nouveau dans l’actualité, grâce au Royaume-Uni après les sauvegardes ICloud cryptées d’Apple, il est important de savoir que l’accès aux données demande des décennies.
Dans les années 1990, par exemple, la US National Security Agency (NSA) a développé du matériel chiffré pour le traitement des messages vocaux et de données qui ont fait cuire une porte dérobée – dans le but de permettre aux services de sécurité d’intercepter les communications cryptées. La «puce Clipper», comme on l’appelait, a utilisé un système d’arnaque clé – ce qui signifie qu’une clé de cryptage a été créée et stockée par les agences gouvernementales afin de faciliter l’accès aux données cryptées dans le cas où les autorités de l’État voulaient.
La tentative de la NSA de fouetter les jetons avec des portes de main de la boulangerie a échoué au sujet d’un manque d’adoption à la suite d’un contrecoup de sécurité et de confidentialité. Bien que la puce Clipper soit créditée d’avoir aidé à licencier les efforts des cryptologues pour développer et diffuser un logiciel de cryptage solide dans le but de sécuriser les données contre le dépistage du gouvernement.
La puce Clipper est également un bon exemple de la façon dont une tentative d’accès au système a été effectuée publiquement. Il convient de noter que les déambulations doivent toujours être secrètes. (Dans le cas iCloud du Royaume-Uni, les agents de l’État voulaient clairement accéder sans que les utilisateurs d’Apple ne le connaissent.)
Ajoutez à cela, les gouvernements déploient fréquemment de la propagande émotive autour des demandes d’accès à l’accès aux données dans le but de stimuler le soutien du public et / ou de faire pression sur les fournisseurs de services pour se conformer – par exemple en faisant valoir que l’accès à E2EE est nécessaire pour lutter contre la maltraitance des enfants ou le terrorisme, Mais prenez un autre crime odieux.
Les délais peuvent cependant avoir un moyen de revenir pour mordre leurs créateurs. Par exemple, les pirates soutenus par la Chine étaient à l’origine du compromis des systèmes d’écoute électronique mandatés par le gouvernement fédéral dernier, un accès apparemment à des données d’utilisateurs d’utilisation des télécommunications et des FAI grâce à une loi fédérale de 30 ans qui avait obligé le dos dans cette affaire, des données non E2EE), soulignant les risques de points d’accès à la couverture bancaire intense dans les systèmes.
Les gouvernements ont également le monde sur les délais étrangers créant des risques pour leurs propres citoyens et la sécurité nationale.
Il y a eu plusieurs cas de matériel et de logiciels chinois soupçonnés de détenir des délais au fil des ans. Les préoccupations concernant les risques potentiels de porte dérobée ont conduit certains pays, dont le Royaume-Uni, à prendre des mesures pour supprimer ou limiter l’utilisation de produits technologiques chinois, tels que les composants utilisés dans les infrastructures de télécommunications critiques, ces dernières années. Les craintes des déchets peuvent également être un puissant motivateur.
