Organe influent dans la conception des protocoles Internet, l'Internet Architecture Board (IAB) a demandé vendredi que tous les travaux des concepteurs de protocoles et des développeurs d'applications soient orientés pour chiffrer par défaut les communications. 

Dans la très complexe gouvernance technique du réseau mondial, l'Internet Architecture Board (IAB) est un comité issu de l'Internet Society (ISOC), qui a pour principale mission de surveiller l'activité de normalisation des protocoles définis par l'Internet Engineering Task Force (IETF). Ses origines remontent à 1979, à une époque où Internet était encore un réseau militaire américain contrôlé par le DARPA.

Concrètement, "l'IAB supervise l'évolution à moyen terme et long terme des normes Internet. C'est un peu la statue du commandeur de l'IETF, chargée par exemple des rappels d'architecture solennels mais aussi d'impulser des nouveaux travaux", expliquait Stéphane Bortzmeyer dans une présentation sur le développement des protocoles à l'IETF (.pdf). Pour résumer encore plus simplement : son avis compte.

Or l'IAB a publié vendredi une déclaration sur la confidentialité sur Internet, juste au moment où l'ONU choisit d'en remettre une couche sur les atteintes aux droits de l'homme commis par la surveillance massive d'Internet. L'Internet Architecture Board demande à l'ensemble des concepteurs de protocoles et aux développeurs de faire du chiffrement des communications la règle, et les communications en clair l'exception, aussi exceptionnelle que possible.

Dans l'ordre, l'IAB :

  • Invite les concepteurs de protocoles à concevoir avec un mode confidentiel par défaut ;
  • Encourage fortement les développeur à inclure le chiffrement dans leurs implémentations ;
  • Encourage les opérateurs de réseaux et de services à déployer le chiffrement là où il n'est pas encore déployé ;
  • Invite les administrateurs de politiques de pare-feu à autoriser le chiffrement du trafic.

Dans sa déclaration, l'IAB explique par ailleurs que tous les développeurs et concepteurs sont co-responsables de la surveillance, même si leurs applications ne semblent pas critiques, car la moindre application non chiffrée peut faciliter l'isolation et la traque d'autres flux chiffrés émanant ou destinés aux mêmes utilisateurs, par croisements. 

Le comité rappelle que dès 1996, il avait déjà signé une déclaration (appelée avec finesse RFC 1984) qui encourageait au développement d'outils efficaces de chiffrement, mais sans aller à l'époque jusqu'à demander que leur utilisation soit systématisée. Mais à la lueur des révélations d'Edward Snowden et des programmes de surveillance qui ne faiblissent pas malgré ces révélations, l'IAB demande désormais que le chiffrement devienne la règle.

Ce chiffrement généralisé est déjà au programme de l'IETF dans le cadre du groupe de travail HTTPbis, qui planche sur le futur protocole HTTP 2.0. Mais il pose des problèmes en particulier aux opérateurs télécoms qui voient des effets de bord au chiffrement généralisé (tel que l'impossibilité de mettre en cache les contenus les plus fréquemment demandés), à l'instar de Orange qui s'en est plaint à Google.

A cet effet, l'IAB reconnaît que le chiffrement généralisé peut poser des difficultés, et qu'il n'y a "pas encore de solution". Mais elle assure qu'elle travaillera avec les personnes concernées pour développer des outils adaptés.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.