211service.com
Les ingénieurs planifient un Internet entièrement crypté
En réponse au tollé général suscité par la surveillance massive d'Internet par la National Security Agency (NSA), les ingénieurs qui développent les protocoles qui sous-tendent Internet s'efforcent de chiffrer tout le trafic Web et s'attendent à disposer d'un système remanié prêt à fonctionner. sortir d'ici la fin de l'année prochaine.
L'effort, par le Groupe de travail sur l'ingénierie Internet , ou IETF, une organisation informelle d'ingénieurs qui modifie le code Internet et fonctionne par consensus approximatif, implique HTTP, ou protocole de transfert hypertexte, qui régit les échanges d'informations entre le navigateur Web de votre téléphone et de votre ordinateur et les serveurs qui contiennent les données du site Web vous êtes en visite.
Des documents divulgués mis au jour par l'ancien sous-traitant de la NSA, Edward Snowden, suggèrent que la NSA collecte et stocke régulièrement d'énormes quantités d'informations à partir des principales plates-formes de cloud computing et des opérateurs sans fil. Aujourd'hui, une grande partie du trafic Web entre votre appareil et le serveur Web n'est pas chiffrée, sauf si les sites Web choisissent d'utiliser une variante du protocole HTTP appelée HTTPS, qui comprend une étape de chiffrement, appelée sécurité de la couche de transport. Ceci est couramment utilisé par les banques, les sites de commerce électronique et par certains grands sites, notamment Google et Facebook. (Si l'adresse d'un site Web commence par https://, il utilise déjà le cryptage.)
La modification de l'IETF introduirait le cryptage par défaut pour tout le trafic Internet. Et le travail pour que cela se produise dans la prochaine génération de HTTP, appelée HTTP 2.0, avance très frénétiquement, dit Stephen Farrell , informaticien au Trinity College de Dublin qui fait partie du projet.
On espère qu'un cahier des charges sera prêt d'ici fin 2014. Il appartiendrait alors aux sites internet d'adopter effectivement la technologie, ce qui n'est pas obligatoire.
De nombreux experts ont souligné que l'espionnage de masse sur Internet se fait en partie parce qu'il est si facile à faire. Certains soutiennent que rendre la vie un peu plus difficile pour des agences comme la NSA peut les amener à se concentrer sur des objectifs de sécurité nationale légitimes plutôt que de tout ramasser et de poser des questions plus tard (voir Bruce Schneier: NSA Spying Is Make Us Less Safe et NSA Leak Leaves Crypto Math Intact mais met en évidence les solutions de contournement connues).
Je pense que nous pouvons faire une différence dans l'équipe proche pour que le cryptage du Web et des e-mails soit omniprésent, dit Farrell.
En effet, une étape encore plus proche que prend l'IETF, dit-il, consiste à renforcer la sécurité du trafic de courrier électronique et de messagerie instantanée, deux cibles clés pour la surveillance par réseau d'entraînement. À l'heure actuelle, des protocoles existent pour crypter ces communications car elles effectuent plusieurs sauts : d'abord de votre appareil vers votre fournisseur de messagerie, puis vers le fournisseur de messagerie du destinataire et enfin vers le téléphone ou l'ordinateur du destinataire.
Le problème est que, souvent, les protocoles nécessaires au cryptage ne sont pas définis correctement et ne fonctionnent pas entre différents serveurs de messagerie, tels que ceux de petites organisations, ou lorsqu'ils sautent entre de grands services cryptés comme Gmail et celui d'une petite entreprise. ou établissement.
Lorsque cela se produit, votre e-mail finit par être envoyé en clair car les protocoles de messagerie élèvent la livraison réelle au-dessus de toutes les autres préoccupations, y compris si le cryptage fonctionnait ou non. Je pense que nous pouvons faire mieux à ce sujet, dit Farrell, pour rendre la configuration plus facile et vérifiable.
À certains égards, il s'agit d'une volte-face, car il y a un an et demi, un groupe au sein de l'IETF avait décidé de ne pas ajouter le cryptage par défaut en HTTP. Une partie de ce qui rend la tâche difficile, dit Farrell, implique la partie statique des pages Web qui sont mises en cache ou stockées sur des serveurs locaux plus proches de l'utilisateur.
La mise en cache est problématique car le contenu mis en cache se trouve entre le navigateur et le serveur, et il est généralement conservé en clair (ou non chiffré) afin qu'il puisse être identifié. De par sa nature, le cryptage rend chaque élément de contenu unique. Le problème est que si vous activez la cryptographie, vous compliquez la mise en cache, dit Farrell. Et le défi technique est de savoir comment obtenir les avantages de la sécurité et conserver les avantages de la mise en cache ? C'est en cours d'élaboration.
Une série d'autres voies techniques potentielles pour renforcer la confidentialité sur Internet a été décrite dans un récent Blog par Tim Bray, qui a aidé à développer plusieurs protocoles Web clés et travaille maintenant chez Google. Il a assisté à une réunion de l'IETF la semaine dernière à Vancouver (voir Time for Internet Engineers to Fight Back Against the Surveillance Internet ).
Bray n'a pas répondu à une demande d'entretien mais a souligné la pertinence de ces efforts dans son message. En fin de compte, il s'agit d'un problème de politique [et] non d'un problème de technologie ; mais dans la mesure où tout peut être fait au niveau technologique, beaucoup de personnes qui peuvent le faire sont ici, a-t-il écrit, se référant aux ingénieurs et aux fabricants de navigateurs présents à l'IETF.
En effet, Jari Arkko , président de l'IETF et expert en architecture Internet chez Ericsson Research, affirme que personne ne doit se faire d'illusions sur les solutions techniques rapides. Je dois être honnête et ouvert – la technologie n'est qu'une partie du problème ici, dit-il.