L’IETF se lance dans la lutte contre l’espionnage

Posté par (page perso) . Édité par Davy Defaud et Florent Zara. Modéré par patrick_g. Licence CC by-sa
Tags : aucun
39
12
nov.
2013
Sécurité

Des tas de gens et d’organisations ont été secoués par les révélations du héros Edward Snowden concernant l’ampleur de l’espionnage réalisé par la NSA (et, certainement, par bien d’autres organisations). Bien sûr, les experts en sécurité savaient depuis longtemps, mais ils avaient le plus grand mal à se faire entendre ; les dirigeants et les utilisateurs préféraient se moquer de ces experts, en les qualifiant de paranoïaques. Les révélations de Snowden ont montré que les paranoïaques ne l’étaient en fait pas assez, et que l’ampleur de l’espionnage dépassait les pires prévisions.

Logo IETF

Cela a nécessité des changements de direction à pas mal d’endroits. Par exemple, l’IETF, l’organisation qui établit les normes techniques de l’Internet. Traditionnellement, elle se préoccupait peu de vie privée, parfois considérée comme « un problème politique, ce n’est pas pour nous ». Cela a changé dans les dernières années mais les révélations Snowden ont mené à une brusque accélération. À la réunion de l’IETF à Vancouver, du 3 au 8 novembre, on a donc beaucoup parlé de vie privée. Tous les groupes de travail avaient consacré du temps à un examen de leurs protocoles, sous l’angle de la protection de la vie privée. Et la plénière technique du 6 novembre, avec Bruce Schneier en invité vedette, avait été entièrement consacrée à cette question. La décision la plus spectaculaire a été l’accord très large de l’IETF (par le biais du fameux « hum », l’IETF n’ayant pas de procédures de vote) pour se lancer à fond dans cette voie.

NdM : merci à Stéphane Bortzmeyer pour son journal.

  • # Il était temps…

    Posté par (page perso) . Évalué à 8. Dernière modification le 12/11/13 à 21:26.

    … de s’attaquer au problème. Vraiment. Non, que deux ou trois chef d’États disent «oulala c’est pas bien», ça ne changera rien au problème.

    Pire, cela empire même la situation, en laissant passer ce qui aurait valu une guerre mondiale il y a 15 ou 20 ans, en montrant notre faiblesse. Ça envoie un message fort: «on a rien à cirer de se faire espionner, continuez c’est bien».

    Laissons les problèmes de vie privée à ceux qui pourront les régler, en concevant des systèmes qui, dans leur conception même, seront plus respectueux de la vie privée. Il faut rendre les informations plus difficiles à tracer, analyser, comprendre, et enregistrer.

    La politique ne pourra jamais résoudre cela, il y aura toujours des débordements. Il faut imposer la sécurité par défaut, rendre la cryptographie plus simple que jamais à utiliser, à la fois pour les initiés et les débutants, etc.

    Écrit en Bépo selon l’orthographe de 1990

    • [^] # Re: Il était temps…

      Posté par . Évalué à 2.

      Est ce que des décisions politiques vont changer la situation? Non! Est que ça peu aider? Oui, mais c'est difficile à appliquer.

      On peut voir ça comme la sécurité, c'est un processus, pas un état.
      Des lois qui augmente le droit à la vie privée sur Internet peuvent être un outils de plus.

      Mais le plus important, c'est les outils qui font les choses bien par défaut.
      Les gens ne devraient pas avoir à apprendre quoique ce soit pour avoir des communications sécurisées.
      A part quelques geeks qui s'intéresse à l'informatique; mathématique; physique; biologie; neurologie; psychologie; … (des type extrêmement curieux), on peu pas apprendre tout sur tout.

      • [^] # Re: Il était temps…

        Posté par (page perso) . Évalué à 3.

        Est ce que des décisions politiques vont changer la situation? Non! Est que ça peu aider? Oui, mais c'est difficile à appliquer.

        On peut voir ça comme la sécurité, c'est un processus, pas un état.
        Des lois qui augmente le droit à la vie privée sur Internet peuvent être un outils de plus.

        Après l’indifférence politique générale après les déclarations de Snowden (ce héros), je pense que c’est pas la peine de compter sur le gouvernement.

        Mais le plus important, c'est les outils qui font les choses bien par défaut.
        Les gens ne devraient pas avoir à apprendre quoique ce soit pour avoir des communications sécurisées.
        A part quelques geeks qui s'intéresse à l'informatique; mathématique; physique; biologie; neurologie; psychologie; … (des type extrêmement curieux), on peu pas apprendre tout sur tout.

        Moilà, c’est ce que je voulais dire.

        Écrit en Bépo selon l’orthographe de 1990

        • [^] # Re: Il était temps…

          Posté par . Évalué à 1.

          Oui, c'est malheureux mais les lanceurs d'alerte (whistleblowers) ne sont pas vraiment apprécier.
          Pourtant, c'est risqué, soit tu peux te mettre dans une situation difficile (par rapport à l'état, ton entreprise, …), soit être discréditer.
          Ce n'est pas pour ça qu'il est toujours légitime (loi ou moralement correcte) de faire ce qu'ils fonts.
          Pour Snowden, je pense que c'était tout à fait admirable.

          Niveau politique, je dois avouer ne pas toujours suivre l'info française donc je ne sais pas ce que votre gouvernement a fait ou n'a pas fait.
          En Belgique, pas grand chose. Je suis belge, donc plus au fait même si j'ai peut-être louper quelque chose de plus intéressant qu'une déclaration d'un politique qui affirme que c'est inadmissible mais qui se bouge pas le cul pour faire quelque chose de constructif contre l’espionnage de ses concitoyens.
          En Grand-Bretagne, ils sont plutôt pas contant des fuites et je pense pas qu'ils bougent, tout les partis étant mouillé.

          Par contre, l'UE (le parlement surtout, je suis pas un grand fan du conseil) fera peut-être quelque chose de constructif.
          Sinon, les pays de l'Est pour qui la mémoire de l'URSS est encore présente…

          • [^] # Citation (Re: Il était temps…)

            Posté par . Évalué à 3.

            «La civilisation n'a pas le moindre besoin de noblesse ou d'héroïsme.
            Ces choses-là sont des symptômes d'incapacité politique.»
            - Aldous Huxley - Le meilleur des mondes

      • [^] # Re: Il était temps…

        Posté par . Évalué à 1.

        Les décisions politiques en ce domaine sont aussi fondamentales que les outils techniques. Il faut tenir les 2 bouts de la chaîne, le droit et les moyens techniques. Abandonner le droit c'est d'une part s'enfermer dans une course aux armements sans fin et d'autre part admettre la loi de la jungle.
        Au final saper la confiance qui permet de vivre en société.

    • [^] # Commentaire supprimé

      Posté par . Évalué à 1.

      Ce commentaire a été supprimé par l'équipe de modération.

      • [^] # Re: Il était temps…

        Posté par (page perso) . Évalué à 2.

        Ils ne prennent même pas semblant, préférant faire des écotaxe et tenter de faire démissionner Jean-Marc Hayrault —pourtant d'habitude ils sont très doués pour ça.

        Un terroriste isolé: vite interdire tous les sites terroristes!
        Une surveillance d'internet tout entier, c'est à dire à l'échelle mondiale, depuis plusieurs années dans un monde «libre»: oulala c'est pas bien. (3 mois plus tard) on va parler à M. Obama («soit plus discret bordel!»).

        Écrit en Bépo selon l’orthographe de 1990

  • # Et si chacun commençait par adopter IPv6 ?

    Posté par . Évalué à 3.

    Les réflexions sur les risques de manipulation ou d'interception des flux réseaux ne démarrent fort heureusement pas aujourd'hui, et IPv6 propose nativement des mécanismes intéressants : dont quelques techniques de routage définis par l'utilisateur et la disponibilité native d'IPSec qui, sans être une panacée, propose quelques solutions à certains problèmes.

    Alors, si la protection des communications sur internet est un problème pour vous, pourquoi ne pas commencer par, chacun, à son petit niveau, adopter IPv6 et toutes les avancées en la matière qu'il propose ? Sans constituer en soi une solution définitive à toutes les questions soulevées, il constitue en soi un bon début de solution, et la seule fondation viable pour toutes les questions restantes (nommage décentralisé, défauts du protocole HTTP, etc..)

    • [^] # Re: Et si chacun commençait par adopter IPv6 ?

      Posté par (page perso) . Évalué à -2.

      Un magazine disait que c'était plutôt le contraire (magazine présenté dans une revue de presse).

      Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Et si chacun commençait par adopter IPv6 ?

        Posté par (page perso) . Évalué à 4.

        Aucun détail, aucune référence ? Du pur FUD.

        • [^] # Re: Et si chacun commençait par adopter IPv6 ?

          Posté par (page perso) . Évalué à -2.

          Aucun détail, aucune référence ? Du pur FUD.

          Je parlais d’une revue de presse sur Linuxfr. Je pensais que ça vous dirais quelque chose et que vous seriez capable de retrouver l’information, vous qui vous intéressez plus au fonctionnement de l’Internet et des protocoles réseaux que moi, qui utilisez Linuxfr comme source d’information, je pensais que ça vous aurais marqué.

          Mais non, je balance une information à priori pertinente, sans vouloir, au moins dans l’immédiat et sans que l’on m’en fasse l’expresse requête, retrouver une information — dont je pensait mes interlocuteurs capable de le retrouver — paumée dans le flot, que dis-je, le tsunami d’informations quotidien de Linuxfr. Mais tout ce que tu trouves à faire, c’est de m’accuser de FUD.

          C’est si dur de demander poliment une référence? Derrière un pseudo, il y a une personne qui ne peut pas forcément retrouver le lien au moment où elle poste le commentaire. J’ai posté ce commentaire depuis mon téléphone portable — un bien piètre appareil pour un usage web intensif —, peut-être dans le bus ou pendant la pause, dans mon mon établissement scolaire.

          Du coup, maintenant que je suis sur mon ordinateur, chez moi, et que j’ai le temps et que je suis disposé à répondre à une personne qui m’insulte, j’ai retrouvé le lien. J’ai moins galéré que ce que je pensais pour le retrouver: lien.

          Écrit en Bépo selon l’orthographe de 1990

          • [^] # Re: Et si chacun commençait par adopter IPv6 ?

            Posté par . Évalué à 3.

            C’est si dur de demander poliment une référence? Derrière un pseudo, il y a une personne qui ne peut pas forcément retrouver le lien au moment où elle poste le commentaire.

            Non, c'est à toi à faire le travail de recherche, pas à tes lecteurs ; là est la politesse. C'est le seul moyen que tu as de montrer que tu sais de quoi tu parles. De plus rien ne te garantit que ton lecteur va trouver l'exacte référence à laquelle tu penses ; la lui fournir est plus sûr, tu as simplement à espérer que le lecteur sait lire. ;-)

            J’ai posté ce commentaire depuis mon téléphone portable — un bien piètre appareil pour un usage web intensif —, peut-être dans le bus ou pendant la pause, dans mon mon établissement scolaire.

            Ça c'est ton problème, de quel droit en faire subir les conséquences à tes lecteurs ? Rien ne t'empêche d'attendre d'être en condition de rédiger un commentaire de bonne qualité. C'est une question de priorité, poster tout de suite et donner l'impression de faire du FUD ou poster plus tard un commentaire de bonne tenue.

            • [^] # Re: Et si chacun commençait par adopter IPv6 ?

              Posté par (page perso) . Évalué à 2.

              Après coup je me rend compte que c'était pas si facile de trouver le lien si on ne l'a pas lu, et comme personne ne semble lire les revues de presse, évidemment…

              Mais même si je suis en tord, c'est pas une raison pour me faire un procès d'intention.

              Pour en revenir au sujet, ça m'intéresse du coup de savoir si que si dit sur IPV6 dans ce magazine donc si quelqu'un l'a lu… :)

              Écrit en Bépo selon l’orthographe de 1990

    • [^] # Re: Et si chacun commençait par adopter IPv6 ?

      Posté par (page perso) . Évalué à 3.

      Non, IPv6 ne change quasiment rien. Ses propriétés de sécurité sont à peu près les mêmes que celles d'IPv4. http://www.bortzmeyer.org/ipv6-securite.html

      Il existe des tas de bonnes raisons de pousser la migration vers IPv6 mais la vie privée n'en est pas une.

      Et la disponibilité native d'IPsec est une légende http://www.bortzmeyer.org/6434.html

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.