Microsoft diffuse par erreur sa Golden Key pour Windows sécurisé

Voilà une boulette qui doit beaucoup amuser certaines entités étatiques, comme le FBI et la NSA. Microsoft a diffusé, par erreur, sa Golden Key, un moyen de contourner ses systèmes de sécurité.

La master key, baptisée aussi Golden Key, est un moyen hardware (physique) ou logiciel pour passer outre une sécurité, un mot de passe, un chiffrement. L’outil que souhaiterait disponible le FBI, Poutine ou encore le Ministère de l’Intérieur Français. Un moyen, légitime, de passer outre une sécurité sur un matériel saisi lors d’une opération de la justice. Seulement, une « porte dérobée » pourrait aussi être exploitée par des dictatures pour espionner journalistes, opposants ou tout simplement n’importe qui. Une passe-partout que des pirates informatiques s’empresseraient de chercher.

Microsoft a fait fort sur ce sujet. La firme de Redmond a publié par inadvertance ses propres clés de sécurité pour tablettes Windows, téléphones, HoloLens et autres appareils utilisant l’UEFI Secure Boot. Bilan, contourner cette sécurité peut permettre à un malveillant de s’inviter dans le cœur du système.

Golden Key versus Golden Eye

Les chercheurs en sécurité mon123 et Slipstream ont publié une explication détaillée sur cette « fuite » de Microsoft. Le géant de l’informatique a bien tenté de cacher et corriger ce problème de Golden key, mais sans succès. Bref, ça prouve une fois de plus que vouloir implanter des backdoors et autres clés magiques est une très mauvaise idée.

iOS Security : récupérer son mot de passe Apple

Je vous parlais, début août, de la conférence d’un ingénieur d’Apple, Ivan Krstic, lors du Black hat qui fournissait de nouveaux détails sur la façon dont le système de sécurité d’Apple fonctionnait, sans possibilité du moindre mécanisme de porte dérobée qui permettrait d’Apple ou d’autres entités, dont le FBI, de contourner la sécurité d’un appareil.

Pendant ce temps…

Mardi 23 août, le ministre de l’Intérieur Bernard Cazeneuve a rencontré son homologue allemand pour soutenir une initiative européenne de lutte contre le terrorisme visant à limiter le chiffrement. En réaction, le Conseil national du numérique (CNNum) souhaite instruire les implications politiques, sociales et économiques d’une limitation du chiffrement. Le Conseil se saisira de cette question à la rentrée pour apporter sa contribution au débat.

A l’initiative du Président du CNNum Mounir MAHJOUBI, plusieurs membres du Conseil et experts extérieurs (dont Isabelle FALQUE-PIERROTIN – Présidente de la CNIL, Gilles BABINET – Digital Champion de la France auprès de la Commission européenne et Tristan NITOT – Fondateur de Mozilla Europe et Chief Product Officer de Cozy Cloud) se sont exprimés en faveur du chiffrement dans une tribune publiée dans “Le Monde” le 22 août. Ils alertent le gouvernement français sur les conséquences graves et non anticipées d’une limitation du chiffrement ou d’une généralisation des portes dérobées (backdoors). De telles mesures auraient pour conséquence d’affaiblir la sécurité des systèmes d’information dans leur ensemble” en ouvrant des failles de sécurité utilisables par tous, à des fins légitimes ou mal-intentionnées. De plus, elles auraient “une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés”.

Accusé de faciliter la propagande et la préparation d’actes terroristes, le chiffrement est avant tout utilisé par les citoyens, entreprises et pouvoirs publics pour protéger des communications ou transactions. Il consiste à protéger des données en les rendant illisibles de l’extérieur et déverrouillables par une clé.

Mounir MAHJOUBI, Président du CNNum, résume ainsi les enjeux : “Il n’est pas question de nier les enjeux de sécurité et l’urgence d’agir. Le chiffrement peut être utilisé par des terroristes mais il constitue surtout un élément essentiel de notre sécurité en ligne et, partant, de celle de notre pays.”

Afin d’apporter à ce débat un éclairage à la hauteur des enjeux liés au chiffrement, le Conseil national du numérique prévoit donc de lancer dès la rentrée des travaux dédiés à ce sujet, notamment sur les règles de coopération judiciaire internationale et la généralisation d’une culture du chiffrement.