L'an dernier, suite au scandale provoqué par la découverte des programmes de surveillance électronique utilisés par les États-Unis et le Royaume-Uni pour épier tout le monde, les ingénieurs réunis au sein du détachement d'ingénierie d'Internet (Internet Engineering Task Force) ont acté le fait que l'espionnage à une telle échelle constitue une attaque et qu'il faut donc y répondre par des mesures techniques.
Au cours de la réunion de l'IETF, qui s'est déroulée en novembre à Vancouver, plusieurs pistes ont été avancées pour contrer les indiscrétions des agences de renseignement, comme la généralisation du chiffrement et la réduction au minimum des données nécessaires aux échanges en ligne, afin de rehausser le niveau de confidentialité et de sécurité des communications.
Six mois après, l'IETF a franchi une étape avec la publication du RFC 7258. Le papier, qui est un "document officiel décrivant les aspects techniques d'Internet", fixe la position de l'organisme de normalisation face à la surveillance et précise ce qu'il convient de faire pour la compliquer, afin de forcer les autorités à limiter l'espionnage à quelques cibles suspectes et non plus la population dans son ensemble.
Détaillé sur le blog de Stéphane Bortzmeyer, architecte systèmes et réseaux au sein de l'AFNIC, le RFC 7258 note que la surveillance généralisée (Pervasive Monitoring) est considéré comme une attaque, au sens technique du terme, d'un nouveau type, du fait de son caractère global (tout le monde est écouté, sans le début d'un soupçon valable) et constamment invasif.
Du fait de la dimension technique de cette menace, l'IETF juge qu'il faut lui opposer une réponse technique, même si celle-ci n'est évidemment pas suffisante ; il faut également une réaction au niveau politique, en particulier pour encadrer l'action des agences de renseignement. L'objectif est donc de compliquer l'espionnage afin de revenir à une action ciblée, à défaut de l'empêcher complètement.
Est-ce possible, d'ailleurs ? Stéphane Bortzmeyer n'en est pas sûr.
"Le rendre impossible est sans doute irréaliste (et, certains le pensent, non souhaitable, car ils estiment que la surveillance ciblée, par exemple d'un suspect par la police, doit rester possible). L'idée est donc plutôt de rendre la surveillance de masse si difficile, et donc si coûteuse, que les organisations qui écoutent devront se limiter à une écoute ciblée sur les seules personnes sur lesquels pèsent des soupçons sérieux".
Outre la position de l'IETF, le RFC 7258 invite les auteurs de protocoles à prendre en compte le risque d'espionnage et à se préparer à répondre à d'éventuelles questions liées à la surveillance électronique.
Cela étant, l'IETF rappelle que son statut d'organisme de normalisation limite son champ d'action : ce n'est pas elle qui détermine les programmes qui donnent vie aux normes qu'elle écrit, pas plus qu'elle ne contrôle les pratiques en matière de déploiement et de sécurité. Dans la chaîne de sécurité, l'IETF est certes un maillon important, mais il n'est qu'un maillon parmi d'autres.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.