Elle permettrait la participation secrète des forces de l'ordre aux appels et discussions privés
Phil Zimmermann, Richard Stallman, Bruce Schneier, EFF, Privacy International, Startpage.com et Apple sont parmi les 47 signataires d'une nouvelle lettre ouverte au GCHQ concernant sa "proposition fantôme". La proposition, si elle est adoptée, permettrait "d'ajouter en silence un participant des forces de l'ordre à un groupe de discussion ou d'appel".
Le GCHQ (Government Communications Headquarters) est un organisme de renseignement du gouvernement britannique semblable à la National Security Agency (NSA) des États-Unis.
Cette lettre, rédigée par Sharon Bradford Franklin et Andi Wilson Thompson de l'institut New America’s Open Technology, donne un aperçu de la façon dont la proposition fantôme permettrait aux agents gouvernementaux de passer inaperçus dans des communications privées chiffrées :
La proposition de "clé fantôme" avancée par le GCHQ permettrait à un tiers de voir le texte brut d'une conversation chiffrée sans en informer les participants. Mais pour atteindre ce résultat, leur proposition exige deux changements aux systèmes qui mineraient sérieusement la sécurité et la confiance des utilisateurs.
Premièrement, elle obligerait les fournisseurs de services à injecter subrepticement une nouvelle clé publique dans une conversation en réponse à une demande du gouvernement. Cela transformerait une conversation bidirectionnelle en une discussion de groupe où le gouvernement est un participant supplémentaire, ou ajouterait un participant gouvernemental secret à une discussion de groupe existante.
Deuxièmement, afin de s'assurer que le gouvernement soit ajouté à la conversation en secret, la proposition du GCHQ exigerait que les applications de messagerie, les fournisseurs de services et les systèmes d'exploitation modifient leur logiciel de façon à ce qu'il puisse
1) modifier les schémas de chiffrement utilisés, et/ou
2) tromper les utilisateurs en supprimant les notifications qui apparaissent régulièrement lorsqu'un nouveau correspondant rejoint un chat.
Premièrement, elle obligerait les fournisseurs de services à injecter subrepticement une nouvelle clé publique dans une conversation en réponse à une demande du gouvernement. Cela transformerait une conversation bidirectionnelle en une discussion de groupe où le gouvernement est un participant supplémentaire, ou ajouterait un participant gouvernemental secret à une discussion de groupe existante.
Deuxièmement, afin de s'assurer que le gouvernement soit ajouté à la conversation en secret, la proposition du GCHQ exigerait que les applications de messagerie, les fournisseurs de services et les systèmes d'exploitation modifient leur logiciel de façon à ce qu'il puisse
1) modifier les schémas de chiffrement utilisés, et/ou
2) tromper les utilisateurs en supprimant les notifications qui apparaissent régulièrement lorsqu'un nouveau correspondant rejoint un chat.
La proposition exige ce qui est, essentiellement, une porte dérobée du gouvernement dans un logiciel de communications chiffrées. Cela, souligne la lettre, ne ferait que pénaliser les utilisateurs respectueux de la loi et pousserait les "personnes mal intentionnées" vers de nouveaux outils hors de portée des forces de l'ordre. De plus, des changements obligatoires pourraient introduire des vulnérabilités involontaires et rendre le logiciel vulnérable aux abus par des harceleurs, des agents gouvernementaux trop zélés et des régimes répressifs.
Alors que le plan n'en est qu'au stade de la proposition, les experts en matière de sécurité mettent en garde dans la Lettre que l'adoption constituerait une "menace grave" pour la cybersécurité, les droits de l'homme et la vie privée :
La proposition fantôme du GCHQ crée de sérieuses menaces à la sécurité numérique : si elle est mise en œuvre, elle minera le processus d'authentification qui permet aux utilisateurs de vérifier qu'ils communiquent avec les bonnes personnes, introduira des vulnérabilités non intentionnelles potentielles et augmentera les risques d'abus ou de mauvaise utilisation des systèmes de communication. Ces risques de cybersécurité signifient que les utilisateurs ne peuvent pas avoir confiance que leurs communications sont sécurisées, car ils ne pourraient plus avoir confiance qu'ils savent qui se trouve à l'autre bout de leurs communications, ce qui constitue une menace pour les droits humains fondamentaux, notamment la vie privée et la liberté d'expression...
La lettre conclut :
Pour ces raisons, les organisations soussignées, les chercheurs en sécurité et les entreprises pressent le GCHQ d'abandonner la proposition fantôme et d'éviter toute autre approche qui menacerait de la même façon la sécurité numérique et les droits humains.
Ian Levy du GCHQ, directeur technique du National Cyber Security Centre du Royaume-Uni, a reconnu ces préoccupations et a écrit :
"Nous nous félicitons de cette réponse à notre demande de réflexion sur l'accès exceptionnel aux données - par exemple pour arrêter les terroristes. L'hypothétique proposition a toujours été conçue comme un point de départ pour la discussion".
"Nous continuerons à collaborer avec les parties intéressées et nous attendons avec impatience d'avoir une discussion ouverte pour trouver les meilleures solutions possibles."
"Nous continuerons à collaborer avec les parties intéressées et nous attendons avec impatience d'avoir une discussion ouverte pour trouver les meilleures solutions possibles."
Espérons que la "Proposition Fantôme" ne soit qu'une idée qui sera jeté dans la poubelle des mauvaises idées de l'histoire. En attendant, nous devons tous garder un œil sur l'évolution de la situation pour nous assurer que les citoyens du monde maintiennent des canaux de communication chiffrés sûrs et fiables qui empêchent les tiers non invités d'espionner. Ce genre de surveillance dans l'ombre n'a pas sa place dans une société libre.
par : Liz McIntyre
sauce :
https://hackernoon.com/uk-ghost-proposal-would-allow-secret-government-participation-in-private-calls-and-chats-b9ddf047f9c0