L'Internet Engineering Task Force (IETF) a publié un RFC actant le fait que l'espionnage de masse est une attaque. En considérant la surveillance généralisée de cette façon, les "ingénieurs du net" donnent en fait un feu vert pour lui opposer une réponse technique, incluant le chiffrement généralisé.

L'an dernier, suite au scandale provoqué par la découverte des programmes de surveillance électronique utilisés par les États-Unis et le Royaume-Uni pour épier tout le monde, les ingénieurs réunis au sein du détachement d'ingénierie d'Internet (Internet Engineering Task Force) ont acté le fait que l'espionnage à une telle échelle constitue une attaque et qu'il faut donc y répondre par des mesures techniques.

Au cours de la réunion de l'IETF, qui s'est déroulée en novembre à Vancouver, plusieurs pistes ont été avancées pour contrer les indiscrétions des agences de renseignement, comme la généralisation du chiffrement et la réduction au minimum des données nécessaires aux échanges en ligne, afin de rehausser le niveau de confidentialité et de sécurité des communications.

Six mois après, l'IETF a franchi une étape avec la publication du RFC 7258. Le papier, qui est un "document officiel décrivant les aspects techniques d'Internet", fixe la position de l'organisme de normalisation face à la surveillance et précise ce qu'il convient de faire pour la compliquer, afin de forcer les autorités à limiter l'espionnage à quelques cibles suspectes et non plus la population dans son ensemble.

Détaillé sur le blog de Stéphane Bortzmeyer, architecte systèmes et réseaux au sein de l'AFNIC, le RFC 7258 note que la surveillance généralisée (Pervasive Monitoring) est considéré comme une attaque, au sens technique du terme, d'un nouveau type, du fait de son caractère global (tout le monde est écouté, sans le début d'un soupçon valable) et constamment invasif.

Du fait de la dimension technique de cette menace, l'IETF juge qu'il faut lui opposer une réponse technique, même si celle-ci n'est évidemment pas suffisante ; il faut également une réaction au niveau politique, en particulier pour encadrer l'action des agences de renseignement. L'objectif est donc de compliquer l'espionnage afin de revenir à une action ciblée, à défaut de l'empêcher complètement.

Est-ce possible, d'ailleurs ? Stéphane Bortzmeyer n'en est pas sûr.

"Le rendre impossible est sans doute irréaliste (et, certains le pensent, non souhaitable, car ils estiment que la surveillance ciblée, par exemple d'un suspect par la police, doit rester possible). L'idée est donc plutôt de rendre la surveillance de masse si difficile, et donc si coûteuse, que les organisations qui écoutent devront se limiter à une écoute ciblée sur les seules personnes sur lesquels pèsent des soupçons sérieux".

Outre la position de l'IETF, le RFC 7258 invite les auteurs de protocoles à prendre en compte le risque d'espionnage et à se préparer à répondre à d'éventuelles questions liées à la surveillance électronique.

Cela étant, l'IETF rappelle que son statut d'organisme de normalisation limite son champ d'action : ce n'est pas elle qui détermine les programmes qui donnent vie aux normes qu'elle écrit, pas plus qu'elle ne contrôle les pratiques en matière de déploiement et de sécurité. Dans la chaîne de sécurité, l'IETF est certes un maillon important, mais il n'est qu'un maillon parmi d'autres.

Partager sur les réseaux sociaux

Articles liés