 mais on a aussi eu quelques surprises avec ça. De plus en plus, maintenant, les fabricants de matériel, les secteurs de logiciels sont sous pression pour l'installation de backdoors dans leur produit. Kurt, ici, est conseiller général à Electronic Frontier Foundation. Il a reçu des distinctions en la matière. Il a été mis à l'honneur dans le California Records Magazine et il nous parlera un peu plus de ses problèmes dans la société d'aujourd'hui. Merci, merci à tous, bonjour. Bienvenue au CCC. C'est formidable de voir autant d'entre vous ici aujourd'hui. Ce n'ont pas parlé aujourd'hui, c'est le combat pour la crypto en 2016. Si on ne va pas avoir les slides. Je suis Kurt Opsall, je suis directeur général à l'IFF, Electronic Frontier Foundation, qui est une association à but non lucratif dédiée à défendre les droits de tout le monde en ligne. Je suis donc... j'entends qu'il y a des supporters de l'IFF dans l'audience. Alors, on va faire un petit but d'ensemble de ce qui s'est passé cette année. Il y a eu des bonnes nouvelles. Le chiffrage du début à la fin, l'end to end encryption est toujours légal dans la plupart des juridictions aujourd'hui. Il y en a de plus en plus, tout autour du monde, on va parler un peu plus. La mauvaise nouvelle, c'est que les gouvernements sont toujours sur notre dos et ils essayent encore de trouver des moyens d'accéder au contenu déchiffré. Et ils font ça maintenant de plus en plus en mettant la pression sur les entreprises. Et ils passent des lois, certaines lois pas très bien sont passées, ont été votées. Et le pas beau du tout, les gouvernements utilisent de plus en plus des technologies qui servent simplement à bloquer le chiffrement, à utiliser du malware. Dans certains cas, les gouvernements ont même arrêté des gens qui fournissaient des services de chiffrement ou qui étaient simplement liés à des entreprises qui fournissaient services de chiffrement. Avant de rentrer dans les détails, je voudrais quand même prendre un moment pour donner une vue d'ensemble, du débat sur le chiffrement. Alors, bien sûr, la plupart des gens ici, on en prêche des convertis. La plupart des gens ici sont déjà convaincus de pourquoi c'est bien. Mais on va en parler, pourquoi l'encription c'est bien, pourquoi le chiffrement c'est bien. C'est bon pour la vie privée, c'est bon pour la sécurité. Alors, les gouvernements, elles me disent que c'est quelque chose qui les maintient dans le noir, de ne pas pouvoir accéder aux données chiffrées. Alors, le débat donc, c'est plutôt bien le débat à commencer à bouger, d'une discussion de vie privée et sécurité, vie privée et contre sécurité. Et maintenant, on en parle plus en plus de sécurité contre vie privée. C'est de façon de dire que le chiffrement ne fournit pas la sécurité en lui-même. Parce que si on dit que c'est vie privée contre sécurité, la vie privée va perdre. Si on dit que c'est sécurité contre vie privée. Et il y a une poussée, poussée par les gens qui ont de plus en plus pris contact avec leurs députés, avec les gens qui font les lois pour changer ce débat et pour changer les points de vue. Alors, une chose dont on se rend compte de plusieurs points de 2016, c'est que affaiblir la cryptographie, ça a des conséquences graves. Et une autre chose qui a remonté en 2016, c'est que le code logiciel, c'est une forme d'expression, c'est un discours. Et le fait de pouvoir chiffrer le texte, c'est une façon d'améliorer la liberté d'expression, d'agrandir, d'augmenter la liberté d'expression. Alors, une petite diversion. On parle beaucoup ces jours-ci du fait que le chiffrement, la cryptographie, ça fait que les gouvernements sont dans le noir et ne peuvent plus avoir d'informations. Et je voudrais parler quand même des choses qui se passaient dans les années 1767, Joseph Brahma, qui fabriquait des coffres forts, a fabriqué un coffre fort que personne ne pouvait ouvrir. Il a mis une prime de sanguiné pour quiconque pouvait ouvrir son coffre et ça a pris 67 ans avant que quelqu'un qui a passé 51 heures à ouvrir le coffre réussisse enfin. Et pendant toutes ces décennies, on avait un coffre qui fournissait une très bonne forme de sécurité, même un gouvernement avec un ordre d'un juge n'aurait pas pu l'ouvrir. Alors, tous les coffres ont des failles, il aurait pu avoir metal un peu faible, on aurait peut-être pu casser les charnières et pourtant, ce coffre-là en particulier a tenu 67 ans, c'était quelque chose de jamais vu. Alors, parlons tout d'abord du gros dossier de cette année, un combat très très visible publiquement entre Apple et le FBI. Alors, ça fait pas mal d'années que le FBI veut avoir accès au smartphone. Ils se rendent bien compte que les téléphones, surtout les smartphones, sont utilisés de plus en plus pour accouper de plus en plus de choses et ils veulent avoir un accès à ce qui se passe dessus. Alors, il y a eu deux procédures dans les tribunaux qui ont vraiment changé ce qui s'est passé là-dessus. Le premier a été à Brooklyn à New York et le deuxième à San Bernardino en Californie. Le premier à Brooklyn, le premier de ces procébes, c'était un procès plutôt quelconque. Il y avait quelqu'un qui était soupçonné de vendre de la métonphétamine. Le FBI avait accès à son téléphone, avait son téléphone, mais ils voulaient plus de preuves et du coup, le FBI a demandé au juge de forcer Apple à lui donner accès au contenu du téléphone. Pour ça, ils ont utilisé une loi qui s'appelle The All Rates Act, dont on parlera un peu plus dans une seconde. Et c'était pas quelque chose de rare que le FBI fasse ça. Par contre, ce qui était rare, c'est que le FBI demande à ce qu'une tierce partie, en l'occurrence Apple, donne accès à ces données. Alors, la Cour a demandé plus d'informations, plus de renseignements, parce qu'ils étaient pas trop sûrs quand même. Est-ce que cette loi, pour ça, ça marche vraiment? Donc, ils ont donné plus d'informations. Alors, Apple a envoyé des informations. Les FF et les CLU ont envoyé d'informations. Parce que le FBI ne croyait pas que le All Rates Act, cette loi-là, donnaient au FBI ce genre d'autorité. Le All Rates Act, c'est un peu une loi qui s'applique à tout. C'est une loi qui est très, très vieille, qui date de 1789 et le langage dedans est un petit peu évolué. Et ça ordonne au cours de donner tous les ordres nécessaires ou appropriés pour la procédure en cours. Alors, bien sûr, quand ça a été écrit, personne ne pensait à des smartphones ou à de l'informatique ou à des moyens de communication moderne comme ça. Et c'était un outil très basique. C'était la dernière loi qu'on pouvait utiliser si on avait rien d'autre. Et cette loi-là marchait quand même. Alors, pendant que ce procès-là était en cours, il y a eu un autre procès qui arrivait. Il y avait eu une attaque terroriste horrible à San Bernardino, en Californie, un employé d'une entreprise là-bas et allait à la fête de Noël de son entreprise et a tué plein de gens. C'était bien sûr une attaque horrible. Ça a été très, très médiatisé. Et plusieurs mois après cet attaque, le FBI qui bien sûr investigait ce qui s'était passé a décidé qu'il voulait avoir accès à un iPhone. C'est une recherche d'une voiture, un Lexus noir. Alors ils ont subi un ordre à le cours et le cours est signé. Alors, le cours a subi cet ordre à Apple tout de suite. Ils ont tenté d'attendre une réponse de Apple si ça sera possible ou pas, techniquement. Ils veulent passer le écrasure automatique après essayer les cinq mots de passe. Non, parce que ce que le FBI voulait c'était que le téléphone ne s'efface pas quand on donnait trop de mots de passe, il voulait surtout ne pas avoir de délais entre plusieurs tentatives de mots de passe. Apple a surnommé ça le Gov OS. La façon d'expliquer ça, c'est que le FBI demandait à Apple d'écrire un nouveau système d'exploitation pour l'iPhone, du long Gov OS, et que c'était une charge de travail déraisonnable. Alors bien sûr Apple a essayé d'attaquer cette décision en justice et c'est assez peu commun, mais Team Cook, le CEO d'Apple, a écrit une longue lettre à propos de ça où il expliquait que le Gov OS était quelque chose que déjà il n'avait pas et c'est là où c'est plus moins commun que c'était quelque chose qu'il considérait trop dangereux de créer. Il y a eu beaucoup de lettres d'émotions par d'autres entreprises, par des groupes qui s'occupent de liberté civique comme les FF. Une de ces émotions était par le procureur du comté de San Bernardino qui s'inquiétait du fait que le téléphone pouvait peut-être contenir un cyber-patogène en attente, une forme de virus, et que c'était une raison pour laquelle il fallait absolument accéder à ce téléphone. Alors Bruno, on pourrait dire que s'il y avait quelque chose là-dessus qui attendait, c'était une meilleure raison de ne pas accéder au téléphone, mais bon. Alors le directeur du FBI, Monsieur Comis, avait dit que ce n'était pas du tout à propos, le but de ça n'était pas du tout d'établir un précédent, mais plus tard en témoignant souciemment au congrès américain, il a dit que c'était exactement à propos de ça. Et ce qu'il disait, c'est si on avait des coffres dans lesquels le justice ne peut pas rentrer, qu'est-ce que ce serait le coup de tout ça ? Alors bien sûr, il y a eu des coffres comme ça. Et les téléphones sont quelque chose d'extrêmement critique. Si quelqu'un obtient accès aux téléphones, ils n'ont accès pas seulement à ce qui est important pour le procès, ils ont accès à quelque chose d'extrêmement intime, c'est une véritable fenêtre sur votre vie. Alors c'était une controverse extrêmement majeure. Tout ce qui s'est passé, et ce qui était très étonnant à propos de ça, ce qui a vraiment fait que ça a retentit. Donc déjà c'est que le public américain était divisé, le gouvernement s'attendait à avoir beaucoup de support populaire de leur côté, mais ce n'était pas le cas. La société civile et l'industrie se sont rangées du côté d'Apple. Et les gens se sont rendus compte que c'était pas un précédent, sur simplement le fait d'accéder à Stéphane, c'est un précédent bien plus large, sur le fait de forcer les gens à créer des logiciels pour accéder à vos données. Et donc après ça, on entend reparler à nouveau de ce procès à Brooklyn. Ça faisait un moment que le briefing était en cours. Alors ce juge avait pris le temps de considérer tous les aspects de ça, et ça allait prendre un moment. Mais assez peu de temps après que les nouvelles soient tombées sur cette affaire en Californie, le juge de Brooklyn assez rapidement a publié une lettre dans laquelle il donnait son opinion de juge dans laquelle il disait que Apple n'avait pas à éditer ce logiciel que le FBI lui demandait. Et alors, il y a eu d'autres nouvelles qui sont tombées à peu près à un moment, le jour juste avant cette audition, le FBI juste avant a demandé un report de l'audience J'étais moi-même à ce moment-là, prêt à me rendre à l'aéroport, et ça m'a évité un voyage inutile, mais c'était une nouvelle très très surprenante. Et une semaine plus tard, le FBI a expliqué que oui, ils avaient eu accès à ce téléphone, et du coup, toute la procédure a été annulée. On a eu quelques détails supplémentaires là-dessus, on sait que l'exploit qui a été utilisé coûtait plus de un million de dollars, alors ça s'est été calculé, parce que le directeur commet a dit que cet exploit avait coûté plus de l'équivalent des 10 ans de salaire que lui avait touché en tant que directeur du FBI, donc on a pu faire les calculs et voir que c'était bien plus d'un million de dollars. Et on sait que ce hack fonctionne sur des iPhones 5C ou plus vieux, donc des téléphones qui n'ont pas les éléments de sécurité comme la Secure Enclave ou le système Touch ID. Donc l'SBI a retiré cette procédure, puisque son exploit avait marché, et il n'y a donc jamais eu de décisions de justice le gouvernement avait fait appel de l'ordre du juge de Brooklyn, mais le gouvernement a aussi retiré son appel dans cette affaire, puisqu'ils avaient obtenu le mot de passe parce que le suspect l'allait fournir. Ce que ça signifie, c'est qu'on n'a pas de précédent judiciaire sur cette question. L'ordre de San Bernardino reste établi, bien qu'il a été retiré, mais c'est un ordre qui est du plus bas niveau de juridiction des cours des États-Unis, donc il a assez peu de poids en termes de jurisprudence. Donc ce qu'il faut qu'on fasse, c'est qu'on attend la prochaine affaire et qu'on ramène ces arguments à nouveau devant une cour et qu'on espère que ça se passe bien. Alors ce qu'il faut noter, c'est que le FBI n'avait pas dit à Apple comment ils ont accédé à ces données. Il y a un processus qui s'appelle Vulnerabilites Equities Process, les échanges de vulnérabilité, le processus des échanges de vulnérabilité, qui est le processus qui doit être suivi par les agents du gouvernement américain quand elles sont mis au courant de failles dans des logiciels ou autres. Et le FBI n'a pas utilisé ce processus dans ce cas-là pour donner à Apple, faut pour dire à Apple qu'il y avait cette vulnérabilité et quelles vulnérabilités ils ont utilisé. Le FBI, de ce qu'ils disent, n'ont pas acheté la vulnérabilité en elle-même, ils ont acheté un exploit dont ils ne le savaient rien. Donc ils n'avaient rien à dire d'après eux à Apple dans le cadre de ce processus. Alors, qu'est-ce que Apple a fait en réponse ? Voilà une liste de ce que Apple a pu dire cet été, notamment à la Conférence Black Hat de sécurité. Alors, ils ont renforcé les contraintes sur la Secure Enclave, c'était les bandes de sécurité, pour limiter le nombre de tentatives et la fréquence des tentatives. Au sein de cette Secure Enclave, il y a un véritable générateur de numéros aléatoires, réellement aléatoires, ce qui fait que Apple ne peut pas savoir quel est la clé de chiffrement utilisé par le téléphone et que, du coup, Apple a très très peu d'informations qu'ils peuvent donner qui aideraient les autorités à craquer le mot de passe dans le téléphone. Alors, Apple a aussi mis en place un système de récompenses, un bug bounty, où ils récompensent les gens qui leur donnent accès, qui leur rapportent aux des vulnérabilités. Le montant est moins que ce qu'on pourrait croire, un maximum de 100 000 dollars, pour ce qui est assez peu pour une faille qui donne accès à ou donner de tout l'éducateur, mais c'est déjà un pas dans la très bonne direction. Alors, les gouvernements, bien sûr, ne veulent pas être dépendants de ce système où ils achètent des exploits, où ils achètent des vulnérabilités. Ils ne sont pas contre, bien sûr. Il y a des fournisseurs, il y a des exploits, des vulnérabilités, comme Hiking Team ou le groupe NSO, qui vendent accès à des vulnérabilités, qui sont utilisés régulièrement par des nombreux gouvernements contre des activistes de l'opposition. Mais les gouvernements se préféraient de loin pour pouvoir simplement forcer les entreprises à fournir accès. Les gouvernements sont d'accord pour acheter ces vulnérabilités, mais ils préfèreraient bien sûr que les entreprises leur fournissent un accès. Alors, bien sûr, ce serait pas un pacteur, ce serait une clé sécurisée, une clé en or sécurisée. Alors, qu'est-ce qui pourrait mal se passer là-dedans ? Bien sûr, si vous avez accès à ces clés sécurisés, dans ce contexte-là, c'est du letton. Par exemple, par une simple photographie, vous pourriez avec d'un command 3D refaire ces clés. Pour faire simple, vous devez vous donner un accès avec une méthode spéciale, une méthode exceptionnelle. Vous devez absolument vous assurer que cette méthode ne se répand jamais dans le reste du monde. Alors, il y a un petit peu plus d'un an maintenant, le président Barack Obama. On a demandé au président Barack Obama de prendre position sur cette question, et en octobre 2015, il a dit que pour le moment, on n'essaierait pas de pousser une loi qui forcerait les entreprises à déchiffrer ces messages. Après, en mars 2016, ça a un peu changé. On ne devrait pas avoir une vue en noir et blanc. Il avait ce propos qu'on ne peut pas avoir une backdoor et la sécurité, et il appelait ça une vue en noir et blanc. Ce qu'il faut voir, c'est que la technologie ne fournit pas de solutions qui donnent quelque chose au milieu. C'est donc pas une question technique. C'est une question politique. C'est une question de loi. Mais le 8 novembre, on a un nouveau président qui arrive très bientôt. La question est, qu'est-ce que ça va donner ? Trump n'a pas encore pris ses fonctions, mais on a quand même quelques indices de comment ça va se passer. Sur la question du FBI et de Apple, Trump a fait quelques déclarations publiques. Au début, il est dit qu'il pense qu'ils sont en parlant d'Apple. Il a fait des remarques pour dire qu'il avait un téléphone Samsung et un téléphone Apple, mais que s'il ne donnait pas les informations sur les terroristes aux autorités, il faudrait boycotter Apple. Il tweet toujours depuis un iPhone, il a fait une AMA, une session de questions-réponses sur Reddit, et il utilisait un Mac dont on ne peut pas vraiment dire à quel point il était sérieux quand il disait ça. On peut aussi regarder les nominations que Trump a fait pour son cabinet, pour son nouveau cabinet. Le procureur général Jeff Sessions a dit qu'il était depuis longtemps en faveur d'un accès aux forces de l'ordre au téléphone et que Tim Cook ne comprenait pas à quel point c'était une question sérieuse. Le nouveau responsable de la CIA, Mike Pompeo, a dit qu'il voulait enlever les parières qui empêchent les forces de l'ordre d'accéder aux données de surveillance et que l'utilisation du chiffrement était une marque noire qui pouvait identifier des gens suspects. Alors il y a aussi une loi qui est passée, la loi Burfenstein, qui a un nom officiel en officiel beaucoup plus compliqué, et qui dit tout simplement que cette loi dit simplement que les gens devraient obéir aux ordres par un tribunal de déchiffrer des choses. Mais c'était pas raisonnable. Une cour avec cette loi peut ordonner de déchiffrer absolument n'importe quoi, y compris à détire ce parti. Ça s'applique à absolument toutes les communications, les choses stockées, les licences. Ça s'implique aussi aux absorts, les plateformes. La loi avait été pensée pour tout ce qui était chiffrement end-to-end. Mais c'était pas juste pour ça. Heureusement, cette loi n'a pas eu beaucoup de support le comité de la sécurité intérieure du Parlement a compris que c'était un débat de sécurité contre sécurité. Ils ont rejeté la loi dans son état et le comité judiciaire du Parlement a reconnu qu'il y avait des problèmes dans le fait d'affaiblir le chiffrement et que la meilleure solution restait de forcer les utilisateurs à déchiffrer leurs données plutôt que d'exiger une backdoor ou des traitements spéciaux par les fournisseurs de logiciels qu'il valait mieux. Il y avait des appels à la coopération entre les forces de l'ordre et l'industrie technologique. Il y a des dangers là-dedans, mais globalement le Parlement allait plutôt dans un bon direction à ce moment-là. Pour Royaume-Uni, il y a eu également une loi, le Investigatory Powers Act, la loi sur les pouvoirs d'investigation qui est surnommée aussi la loi du Fouinard, la Charte du Fouinard. Ça donne accès à toutes les données de communication aux forces de l'ordre comme elles ont besoin. Les fournisseurs d'accès doivent stocker toutes les métadonnées sur les communications que vous avez faites et les sites web que vous avez visitées, à quel moment ça a eu lieu énormément d'informations qui doivent être stockées jusqu'à 12 mois. Mais la Cour de justice européenne a dit non, non, on ne va pas faire ça. Ce qui était une décision extrêmement importante de la Cour de justice européenne qui a décidé que ça allait beaucoup trop loin. Que la rétention générale et sans distinction de tous les e-mails était qu'elle justice légale et que la loi ne devra autoriser que la rétention ciblée d'e-mail. Donc c'était une poussée dans le sens inverse de cette loi qui était extrêmement importante mais cette décision n'a aucune portée sur les backdoors. On va en parler dans deux secondes. Et une autre limitation c'est que bientôt le Royaume-Uni va quitter l'Union européenne, c'est-à-dire qu'ils vont sortir de la juridiction de la Cour de justice européenne et que donc cette jurisprudence ne sera peut-être pas aussi puissante qu'elle aurait pu l'être. Mais il faut espérer que d'ici là la Cour de justice et les autres courts vont pousser l'inverse de ces lois sur la rétention des données. C'est un exercice de cette loi que le service provincial doit offrir une notice des capacités techniques avant une lanche d'une nouvelle produit et si c'est d'une nouvelle technique de crypto qui n'est pas capable d'être déchiffrée c'est quelque chose qui est pas le secrétaire d'interne et il doit considérer si c'est practicable d'aller avec cet ordre et si c'est proportionnable à l'effet désiré. Possiblement les personnes chargées avec cette ordre technique ont une direction pour les backdoors et aussi c'est accompagné par un gag order alors c'est pas possible de parler de cette lettre, cette notice. Aussi, c'est pas possible de parler de cette lettre, cette notice. Aussi, c'est applicable pour des gens qui ont parlé dans les rouillons-monnaies alors l'appérateur est obligé de déchiffrer un... En plus clair c'est une backdoor la loi peut s'appliquer à toutes personnes qui conduisent des affaires au Royaume-Uni ou même au sens strict des personnes qui n'ont rien à voir avec le Royaume-Uni donc c'est une loi assez dangereuse alors dans le reste de l'UE les ministres de la Justice de l'UE ont discuté ensemble en juillet 2016 le Conseil de la Justice et des affaires domestiques on a parlé également en décembre pour parler des points de vue des agences de défense de l'ordre et d'autres et le but étant quand même d'arriver à une balance entre tout ça et l'agence de cyber-sécurité de l'IU, l'ENISA a publié plutôt ce mois-ci un rapport dans lequel il disait que les backdoors avaient plus de problèmes que de bénéfices et que c'était très difficile de restreindre l'innovation en utilisant le pouvoir législatif tout simplement parce que l'innovation sont à propos de choses qui n'ont pas pu être imaginées au moment où la loi a été écrite dans le reste du monde en avril en Australie il y a eu une liste de biens stratégiques et de défenses qui interdit de fournir des technologies d'entrépition chiffrement en les assurant à des ça ne se restreint pas seulement à des technologies militaires ça va beaucoup plus loin en Inde il y avait un projet de loi terrible qui aurait exigé que les compagnies d'entreprise gardent le clair de toutes les communications mais ça ne s'est pas passé ce projet a été abandonné mais l'Inde a quand même poussé plusieurs fournisseurs de téléphones de téléphones mobiles à utiliser un système biométrique et de chiffrement fourni par le gouvernement alors bien sûr il y a des questions de sécurité et de vulnérabilité si on a des logiciels édités par des gouvernements sur son téléphone et plusieurs entreprises Apple, Microsoft, Google ont refusé de travailler avec ça en Égypte ok en décembre l'accès au système de communication auteurelle, signal et quelques jours après signal a publié une mise à jour de ce qu'ils appellent le domain fronting c'est à dire la mascarade de domaines et ça donne l'impression au filtre que le trafic qui va vers signal va à www.google.com alors on peut bien sûr toujours bloquer signal mais maintenant il faut bloquer tout Google et c'est beaucoup plus dur de bloquer quelque chose qui est utilisé tous les jours par des millions de personnes et ça rend la tâche du gouvernement qui va le bloquer la technologie beaucoup plus difficile quelques bonnes nouvelles au Pays-Bas le gouvernement s'est prononcé fortement en faveur du chiffrement ça contrebalance un peu tous les pays qui se battent contre le chiffrement les Nations Unies, la haute commission au droit de l'homme a reconnu que le chiffrement et l'anonymité étaient nécessaires pour permettre l'accès au droit et que ça sauvait des vies cette année aussi était très importante pour le déploiement des technologies chiffrement WhatsApp qui a environ un milliard d'utilisateurs actifs chaque mois a ajouté le chiffrement end-to-end Facebook a ajouté l'écription end-to-end qui est pas activé par défaut mais c'est déjà pas dans le bon sens Allo a ajouté un mode incognito qui fournit aussi du chiffrement qui pareil n'est pas activé par défaut et les téléchargements de signal ont augmenté incroyablement ils ont dit que depuis le 8 novembre il y a eu 400% d'augmentation dans leur téléchargement quotidien et il y a eu énormément de progrès dans le chiffrement sur le web le projet Let's Encrypt fournit des certificats à plus de 21 millions de sites web par certaines métriques c'est la plus grosse autorité de certificats du monde et ça fournit plus de la moitié de chargement sur Firefox et Chrome utilise HTTPS je crois que ce graph est pour Firefox et on peut voir que ça a passé la marque des 50% sur divers téléclosations un peu moins sur Android mais on espère que Android va remonter mais c'est déjà une très très bonne tendance si on regarde une autre mesure au niveau du temps passé les deux tiers du temps passé par les gens sont sur des sites sécurisés avec HTTPS alors qu'est-ce qu'on va voir en 2017 ? probablement plus de lois d'assistance technique au force de l'ordre on a vu au fil du temps que le BI a cherché diverses solutions et on a changé dans les années 90 il y a eu la plus clipper ils sont rendus compte que ça ne marchait pas très bien ils sont passés à un autre modèle plutôt de se dire qu'on pouvait attaquer le matériel il est peut-être mieux à faire le contexte du coup que faire pour avoir accès ils ont créé d'autres lois l'investigatory powers bill qui permet au force de l'ordre d'exiger des entreprises ou d'autres d'assistance pour accéder à ces données sans vraiment spécifier les limites de tout ça et en même temps il y a une pression par le public de plus en plus forte pour un compromis à chaque grosse controverse publique qui parle d'une controverse qui parle de l'opposition entre les désidératats des forces de l'ordre et ce qu'ils ont pu avoir à cause du chiffrement ça remettra ce débat sur le vent de la scène et le public en parlera de plus en plus alors bien sûr le public continuera à utiliser ces technologies on continuera à avoir des blocages par les gouvernements de ces technologies par exemple au Brésil il y a eu 3 fois WhatsApp a été bloqué WhatsApp ne pouvait pas déchiffrer les données que les gens se sont envoyées via leur app ce qui risque de voir beaucoup plus c'est des attaques sur les terminaux c'est-à-dire que les données sont en clair sur les téléphones ou sur les terminaux personnels et la façon la plus simple d'avoir accès aux données en clair c'est d'attaquer les téléphones d'attaquer les ordinateurs personnels et la meilleure défense contre ça c'est probablement pour le moment de suivre les bons conseils et les bonnes pratiques de sécurité en 2017 une mode prédiction les logiciels open source et libre sont là et ils sont là pour rester c'est une bonne chose parce que dans les logiciels libres il n'y a pas d'entreprise qu'on peut forcer d'installer une bag d'or dedans il n'y a pas d'autorité centrale qui peut imposer l'installation d'une bag d'or dans le logiciel libre quand quelqu'un compétitionner pour eux-mêmes ils peuvent décider de supprimer la bag d'or la difficulté ici c'est bien sûr de rendre ces logiciels utilisés par tout le monde de les mettre entre les mains de tout un chacun de faire que les gens les utilisent dans leur vie quotidienne une autre prédiction pour 2017 c'est que les législateurs vont être de plus en plus accessibles ou en tout cas vont rester accessibles et on l'a vu en 2016 le débat évolué de c'est vraiment sécurité contre sécurité et que les voies qui sont élevées dans le peuple et dans la technologie ont pu atteindre ces législateurs les entreprises de technologie sont des lobbies très puissants les législateurs les écoutent et ça ça peut faire une différence alors qu'est-ce que vous pouvez faire si vous êtes des codeurs ajouter du chiffrement end to end dans tout ce que vous faites, dans tous vos produits mais très important aussi intéressez-vous à l'utilisabilité de la chose on veut que ce soit utilisable par des milliards de gens c'est très important que ce soit utilisable si vous avez un site web utilisez thirdbot c'est un logiciel qui fonctionne avec l'assunt clip qui vous installe un certificat de façon automatisée avec ça il y a plus d'excuses pour ne pas utiliser HTTPS si vous êtes simplement un individu monsieur tout le monde, utilisez le chiffrement les politiciens, plusieurs politiciens et des directeurs de la CIA entre autres disent maintenant que l'utilisation du chiffrement c'est une marque de suspicion et bien si tout le monde se met à utiliser du chiffrement ce sera plus une marque ce sera le comportement normal donc restez mobilisé défendez le chiffrement investissez-vous dans les débats merci beaucoup place aux questions première question merci Corte pour cette conférence c'était extrêmement intéressant de voir le point de vue de l'EFF et ce que vous faites contre ces mauvaises idées et ces lois qui cherchent à affaiblir le chiffrement ma question est à propos de l'argument si le chiffrement est illégal seulement les mauvaises personnes utiliseraient ça qu'est-ce que vous pensez de l'argument dit si on rend le chiffrement illégal seulement les criminels l'utiliseront qu'est-ce que vous pensez de cet argument est-ce que vous pensez que ça fait son progrès à Washington et est-ce que vous avez entendu des bons contrats arguments contre ça alors bien sûr cet argument est un petit peu simple c'est facile de dire si on atteigne l'ancréption par le simple fait d'utiliser le chiffrement alors il y a beaucoup de les policiaires se rendent compte que les policiaires sont intéressés par cet argument parce qu'ils se rendent compte qu'il y a des logiciels qu'ils n'arriveront jamais à bloquer que les gens ne pourront pas utiliser le chiffrement une chose qu'on peut voir dans ce mode de pensée c'est que les policiaires qui cherchent à faire ça ne pensent pas simplement à cibler des suspects déjà identifiés mais ils cherchent à ratisser au plus large et à pouvoir écouter le plus de choses possibles à empêcher le chiffrement avant qu'ils se produisent vous partez du postulat que nous sommes en démocratie que le débat entre vous et les pouvoirs ce sera un débat sain et constructif la transition entre la démocratie et une dictature ça semble être quelque chose qui peut se produire très vite si ça arrive si on passe dans une dictature qu'est-ce que vous recommandez ? est-ce que vous avez prévu ça ? et qu'est-ce qu'on pourrait faire ? si un groupe de policiaires réactionnaires décide d'interdire les droits les plus fondamentaux de liberté d'expression c'est une des raisons pour lesquelles c'est important de se battre pour avoir accès au chiffrement le plus possible pendant qu'on peut encore parce que comme ça, si la politique change le chiffrement sera déjà là pour ceux qui sont dans des dictatures le chiffrement peut sauver leur vie pour des gens qui sont déjà ciblés ou espionnés par les autorités avoir accès au chiffrement ça peut leur éviter la prison sur le sujet du fait que utiliser le chiffrement peut être une marque de suspicion c'est quelque chose qui est présente dans ces dictatures si vous utilisez du chiffrement les forces de l'ordre vont peut-être vouloir accéder votre téléphone à votre ordinateur vous torturer si nécessaire pour avoir accès donc qu'est-ce qu'on peut faire en prévision de ça on peut faire en sorte que les gens utilisent le plus possible de chiffrement pour que quand les gens l'utilisent ça soit moins suspect et aussi pour que le plus de gens possibles s'opposent à des blocages de ces technologies par exemple beaucoup de gens se plaindraient si on bloquait Facebook Messenger et Whatsapp et une chose à noter c'est qu'un gouvernement basque dans une dictature c'est le devoir des gens hors de ce pays de fournir des outils de chiffrement aux gens à l'intérieur de ce pays quel est votre point de vue sur les objets qui sont immunisés contre les ordres judiciaires ça c'est ce dont comme il parlait il ne voulait pas un monde warrenproof immunisé au bras de la justice c'est pour ça qu'il était contre le chiffrement intégral des disques sur les téléphones et c'est pour ça que le FBI a décidé d'utiliser ses propres ressources pour accéder à ses téléphones mais on pense fortement que le FBI ne devrait pas être capable de forcer l'utilisation de logiciels à changer les logiciels pour donner accès mais il faut penser plus large que ça quand on parle d'un périphérique qui est warrenproof il faut penser non seulement au technologie mais aussi à tout ce qu'il y a autour d'un peu plus large dans l'année passée on a beaucoup de discussions sur le chiffrement fort et la discussion là où il m'a dit que le chiffrement des encryptions fort est seulement nécessaire pour des adversaires j'en normal oui on a eu ça dans les années 90 avec le chiffrement export aux états unis qui était faiblé à 56 bit chiffres et c'était c'est une et on s'est rendu compte que c'était pas une bonne politique une bonne loi ça n'a pas marché quand on essaie de se protéger soi-même c'est contre des menaces des attaques très différentes ça peut être un gouvernement une dictature ça peut aussi être des criminels et ce débat à chaque fois que le débat résultait sur une distinction entre chiffrement faible et fort ça a donné un désastre bien plus fort que les autres solutions on a vu des discussions entre les gouvernements et les gouvernements ne restent pas passer loi après loi alors les gouvernements ont beaucoup de pression des organisations de forcement long et la première chose à faire est convaincre les faits pas passer de chiffrement faible on est très impressionné par les actions des Péba qui dit et remarque sur chiffrement fort et que les policymakers sont après ça alors je suis désolé de vous décevoir mais les Péba ont passé une loi la semaine dernière pour dire que si un système peut être hacker le gouvernement à le droit d'acheter des exploits pour obtenir accès quand même j'ai essayé de garder cette conférence la plus à jour possible c'est un problème mais c'est donc que je parlais pour 2017 les terminaux vont être attaqué les gouvernements s'intéressent du plus en plus aux terminaux c'est là où il y a des données en clair qu'est ce qu'on pourrait faire pour empêcher les politiciens de faire de passer des lois dans la mauvaise direction purement comme des symboles par exemple les lois sur la vie de surveillance les lois sur la vie de surveillance étaient quelque chose d'extrêmement négative et n'ont rien apporté en matière de protection contre le service mais ils ont été passés comme des symboles alors oui c'est quelque chose qu'on voit beaucoup quand il y a quelque chose de très médiatique comme une attaque théoriste il y a un désir de la société de faire quelque chose contre ça et on passe parfois des lois qui ne sont pas forcément en rapport avec le problème mais les politiciens peuvent maintenant retourner voir leurs électeurs et dire j'ai agi j'ai fait quelque chose c'est l'éducation des électeurs pour que les gens comprennent les enjeux et pour que ces gens-là contactent leurs élus et leur dire et que ces gens leur disent à leurs élus qu'ils veulent du chiffrement fort qu'ils veulent du chiffrement end to end une autre chose qui est importante c'est que les élus ne veulent pas avoir l'air stupide si ils font quelque chose qui est techniquement mauvais et qu'on peut montrer que c'est pas quelque chose de bien ça peut parfois dans certains cas marcher et pousser les élus à se rendre compte que c'est pas quelque chose de la bonne direction il y a une division entre le gouvernement et les peuples et je vais introduire un autre argument que les états étrangers sont une une menace beaucoup une menace plus importante que notre propre gouvernement qui protège ses ressortissants alors oui c'est un argument qui peut aussi marcher avec les législateurs ils s'inquiètent pas forcément de leurs citoyens directement mais ils s'intéressent beaucoup à la balance des pouvoirs entre les états et c'est quelque chose d'important si une entreprise peut être forcée à donner une backdoor à un gouvernement qui est un gouvernement démocratique qui s'en occupe qui l'utilise sagement et dans les bonnes mesures qu'est-ce qui empêche les autres gouvernements moins raisonnables de forcer cette même entreprise à donner une même backdoor et les gouvernements s'intéressent beaucoup à ça ils se rendent compte qu'ils veulent du chiffrement fort qui protège les communications contre leurs adversaires par exemple à chaque fois qu'il y a des données qui ont été fuité qui appartenaient à un gouvernement, le gouvernement se rend compte que peut-être qu'ils auraient dû utiliser un meilleur chiffrement sur ces données et les protéger un peu mieux j'ai été surpris d'apprendre qu'il y avait une loi aux États-Unis qui gouvernait l'utilisation des vulnérabilités est-ce qu'il y a un système de rachat qui est le vulnérabilitisme process n'est pas quelque chose de législatif ce n'est pas une loi, c'est quelque chose qui est mis en place par la branche exécutive et les agences des forces de l'ordre c'était en réponse aux critiques aux critiques du public et de l'industrie les agences des forces de l'ordre auraient dû communiquer sur les vulnérabilités noires et avaient conscience plus largement c'est pour ça qu'ils ont mis ça en place et je n'ai pas entendu parler de projets de loi aux États-Unis pour un processus similaire sur le plan législatif