Que vaut-il mieux faire lorsque l'on est en charge d'assurer la sécurité des concitoyens : conseiller de chiffrer ses données pour éviter qu'elles soient lues par des malfaiteurs, ou s'abstenir d'un tel conseil pour se donner les meilleures chances d'attraper les malfaiteurs ? Le FBI a choisi cette dernière option.

Avant, le FBI donnait de bons conseils aux citoyens américains pour protéger la confidentialité de leurs données. Mais ça, c'était avant. Comme le remarque Techdirt, le FBI a retiré de son site internet une page de fin 2012 encore visible dans l'Internet Archive, qui livrait toute une série de trucs et astuces pour éviter les malwares et les vols d'informations sur les mobiles, dont l'activation du chiffrement des données lorsqu'il est disponible.

"Selon le type de téléphone, le système d'exploitation peut proposer un chiffrement. Ceci peut être utilisé pour protéger les données personnelles de l'utilisateur en cas de perte ou de vol", expliquait à bon escient le FBI. La page recommandait également de protéger l'accès au mobile par un code de sécurité à saisir avant déverrouillage.

La page de conseils est restée longtemps en ligne, mais a été supprimée après que Techdirt a fait remarquer qu'elle entrait en pleine contradiction avec les propos du patron du FBI, qui s'énerve du chiffrement généralisé sous iOS et Android, et demande à avoir la possibilité de consulter le contenu d'un téléphone.

ET EN FRANCE ?

En France aussi, l'Agence nationale de sécurité des systèmes d'information (ANSSI) recommande dans son "guide d'hygiène informatique" (.pdf) de "gérer les terminaux nomades selon une politique de sécurité au moins aussi stricte que celle des postes fixes", et notamment de "chiffrer les données sensibles, en particulier sur les postes nomades et les supports potentiellement perdables".

"Plusieurs produits de chiffrement de disques ou de partitions  (ou supports chiffrants) ont été qualifiés par l’ANSSI . Il convient de les utiliser en priorité", conseille l'Agence, qui assure que "la qualification par l'ANSSI garantit la robustesse des mécanismes cryptographiques mis en oeuvre". Elle ajoute même que "les mécanismes de chiffrement intégral de disque sont les plus efficaces du point de vue de la sécurité". Malgré tout, l'agence reconnaît qu'il lui faut "être capable de déchiffrer" les communications.

Parmi la liste des produits qualifiés par l'ANSSI figurent neuf solutions de "protection du poste de travail", dont le logiciel TrueCrypt qui est toujours qualifié malgré les doutes sur sa fiabilité. L'agence avait reconnu ces doutes sans en confirmer le bien-fondé, et conseillé d'autres logiciels.

Partager sur les réseaux sociaux

Articles liés