Dans sa récente newsletter mensuelle (CRYPTO-GRAM du 15/02/2010), Bruce Schneier (*) s’exprime à propos de l’anonymat sur l’Internet et de l’illusion de l’identification universelle et absolue, faisant ainsi écho aux nouvelles lois françaises HADOPI et LOPPSI. Dans les deux cas, ces lois se donnent un objectif impossible à atteindre, les condamnant à n’être de toute manière que de coûteuses utopies. Voici quelques extraits choisis:
“Toute conception de l’Internet doit permettre l’anonymat. L’identification universelle est impossible. Même l’attribution – savoir qui est responsable de tel paquet de données – est impossible. Tenter de construire un tel système est futile et donnera seulement aux criminels et aux pirates de nouveaux moyens pour se dissimuler.
Imaginez un monde magique dans lequel chaque paquet Internet pourrait être pisté jusqu’à son origine. Même dans ce monde, nos problèmes de sécurité Internet ne seraient pas résolus. Il y a un fossé gigantesque entre prouver qu’un paquet est venu d’un ordinateur en particulier et prouver que ce paquet a été émis par une personne en particulier. C’est l’exact problème rencontré avec les botnets, les réseaux pédophiles et tous ceux qui stockent des données sur d’innocents ordinateurs. Dans ce type d’affaires, nous connaissons les origines des paquets générant un DDoS ou le spam: ceux-ci proviennent d’ordinateurs légitimes qui ont été piratés à cette fin. L’attribution n’a donc pas autant de valeur que l’on pourrait le croire.
Mettre en place un Internet sans anonymat est très difficile et génère ses propres problèmes, notamment l’énorme volume de données d’identification nécessaires… Plus encore, la centralisation de telles informations heurte au contraire la sécurité elle-même puisque rendant de ce fait le vol d’identité extrêmement profitable pour les criminels. La technologie d’attribution magique n’existe pas. Les données binaires ne sont que cela; elles ne viennent avec aucune information d’identité. Chaque système logiciel que nous inventons a toujours été attaqué et circonvenu avec succès, à plusieurs reprises. Nous (l’humanité – NdT) n’avons simplement pas l’expertise pour construire un système d’attribution hermétique (et infaillible – NdT).
Et cela n’a aucune importance. Même si chacun pouvait localiser tous les paquets de manière absolue, à la personne ou l’origine exactes et non seulement l’ordinateur, l’anonymat serait encore possible. Il faudrait juste qu’une personne mette à disposition un serveur d’anonymat. Si je voulais envoyer un paquet anonymement à quelqu’un d’autre, je l’acheminerais simplement par ce serveur. Pour un plus grand anonymat, je pourrais l’acheminer par des serveurs multiples en chaîne. C’est le “onion routing” qui, avec la cryptographie appropriée et assez d’utilisateurs, ajoute l’anonymat à n’importe quel système de communications qui l’interdit.
Les tentatives pour bannir l’anonymat de l’Internet n’affecteront pas ceux qui ont assez de capacités pour les éviter, coûteraient des milliards et auraient seulement un effet négligeable sur la sécurité. Ce que de telles tentatives engendreraient est essentiellement une atteinte à l’accès à la liberté d’expression de l’utilisateur moyen, en incluant ceux qui utilisent l’anonymat de l’Internet pour survivre : les dissidents en Iran, Chine et ailleurs.
Le problème d’attribution est très semblable à celui de la protection contre la copie et autres DRM. Comme il est impossible de rendre des bits spécifiques non copiables, il est impossible de savoir d’où ces bits spécifiques sont venus. Les données binaires ne sont que des valeurs “0″ ou “1″. Elles ne viennent pas naturellement avec des restrictions à leur utilisation et ne transportent naturellement aucune information d’auteur. N’importe quelle tentative faite en ignorant cette réalité échouera et nécessitera de plus en plus de moyens policiers dans le monde réel, que l’industrie du spectacle réclame pour faire fonctionner la protection contre la copie. C’est ainsi que fait la Chine: la police, les informateurs et la peur.
Juste au moment où l’industrie de la musique a besoin d’apprendre que le monde numérique exige un paradigme – un “business-model” différent, les autorités gouvernementales doivent se rendre compte que les vieilles idées d’identification ne fonctionnent pas sur l’Internet. Pour le meilleur ou pour le pire, que vous l’aimiez ou pas, il y aura toujours un moyen d’être anonyme sur l’Internet.”
Il n’est certes nul besoin d’avoir le niveau de compétences de Bruce Schneier pour savoir et comprendre que ce qu’il exprime est l’exacte réalité. Pourquoi nos gouvernants s’obstinent-ils donc à emprunter une voie coûteuse, liberticide et in fine totalement inefficace ? A l’évidence, les “autorités” seront toujours aveuglées par leur propre dogme voire guidées par des intérêts qui ne sont pas ceux qu’elles sont censées défendre.
(*) un des “gourous” de la sécurité informatique et des théories du chiffrement (lui-même auteur de l’algorithme Blowfish) cf http://fr.wikipedia.org/wiki/Bruce_Schneier
#1 par Joel à 20 février 2010 - 10:50
Citation
Commentaire déjà exprimé dans un post précédent sur le blog de la Cagouille Enchainée :
Projet totalement illusoire, réalisé avec l’argent des contribuables !