Voilà une boulette qui doit beaucoup amuser certaines entités étatiques, comme le FBI et la NSA. Microsoft a diffusé, par erreur, sa Golden Key, un moyen de contourner ses systèmes de sécurité.

La master key, baptisée aussi Golden Key, est un moyen hardware (physique) ou logiciel pour passer outre une sécurité, un mot de passe, un chiffrement. L’outil que souhaiterait disponible le FBI, Poutine ou encore le Ministère de l’Intérieur Français. Un moyen, légitime, de passer outre une sécurité sur un matériel saisi lors d’une opération de la justice. Seulement, une « porte dérobée » pourrait aussi être exploitée par des dictatures pour espionner journalistes, opposants ou tout simplement n’importe qui. Une passe-partout que des pirates informatiques s’empresseraient de chercher.

Microsoft a fait fort sur ce sujet. La firme de Redmond a publié par inadvertance ses propres clés de sécurité pour tablettes Windows, téléphones, HoloLens et autres appareils utilisant l’UEFI Secure Boot. Bilan, contourner cette sécurité peut permettre à un malveillant de s’inviter dans le cœur du système.

Golden Key versus Golden Eye

Les chercheurs en sécurité mon123 et Slipstream ont publié une explication détaillée sur cette « fuite » de Microsoft. Le géant de l’informatique a bien tenté de cacher et corriger ce problème de Golden key, mais sans succès. Bref, ça prouve une fois de plus que vouloir implanter des backdoors et autres clés magiques est une très mauvaise idée.

iOS Security : récupérer son mot de passe Apple

Je vous parlais, début août, de la conférence d’un ingénieur d’Apple, Ivan Krstic, lors du Black hat qui fournissait de nouveaux détails sur la façon dont le système de sécurité d’Apple fonctionnait, sans possibilité du moindre mécanisme de porte dérobée qui permettrait d’Apple ou d’autres entités, dont le FBI, de contourner la sécurité d’un appareil.

Pendant ce temps…

Mardi 23 août, le ministre de l’Intérieur Bernard Cazeneuve a rencontré son homologue allemand pour soutenir une initiative européenne de lutte contre le terrorisme visant à limiter le chiffrement. En réaction, le Conseil national du numérique (CNNum) souhaite instruire les implications politiques, sociales et économiques d’une limitation du chiffrement. Le Conseil se saisira de cette question à la rentrée pour apporter sa contribution au débat.

A l’initiative du Président du CNNum Mounir MAHJOUBI, plusieurs membres du Conseil et experts extérieurs (dont Isabelle FALQUE-PIERROTIN – Présidente de la CNIL, Gilles BABINET – Digital Champion de la France auprès de la Commission européenne et Tristan NITOT – Fondateur de Mozilla Europe et Chief Product Officer de Cozy Cloud) se sont exprimés en faveur du chiffrement dans une tribune publiée dans “Le Monde” le 22 août. Ils alertent le gouvernement français sur les conséquences graves et non anticipées d’une limitation du chiffrement ou d’une généralisation des portes dérobées (backdoors). De telles mesures auraient pour conséquence d’affaiblir la sécurité des systèmes d’information dans leur ensemble” en ouvrant des failles de sécurité utilisables par tous, à des fins légitimes ou mal-intentionnées. De plus, elles auraient “une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés”.

Accusé de faciliter la propagande et la préparation d’actes terroristes, le chiffrement est avant tout utilisé par les citoyens, entreprises et pouvoirs publics pour protéger des communications ou transactions. Il consiste à protéger des données en les rendant illisibles de l’extérieur et déverrouillables par une clé.

Mounir MAHJOUBI, Président du CNNum, résume ainsi les enjeux : “Il n’est pas question de nier les enjeux de sécurité et l’urgence d’agir. Le chiffrement peut être utilisé par des terroristes mais il constitue surtout un élément essentiel de notre sécurité en ligne et, partant, de celle de notre pays.”

Afin d’apporter à ce débat un éclairage à la hauteur des enjeux liés au chiffrement, le Conseil national du numérique prévoit donc de lancer dès la rentrée des travaux dédiés à ce sujet, notamment sur les règles de coopération judiciaire internationale et la généralisation d’une culture du chiffrement.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.