Les auteurs du rapport « Keys Under Doormats » reçoivent le prix J.D. Falk du M3AAWG pour leur travail mettant en lumière l'insécurité posée par l'accès aux documents imposé par le gouvernement

ATLANTA, GEORGIE--(Marketwired - Oct 27, 2015) - 35e Assemblée générale du M3AAWG -- Le travail des 15 informaticiens et experts de la sécurité renommés qui se sont unis pour démontrer que l'accès « dissimulé » à tous les fichiers cryptés proposé par les organismes d'application de la loi rendrait l'Internet plus vulnérable face au crime et à la fraude a été récompensé aujourd'hui par le prix J.D. Falk 2015 du M3AAWG. Le rapport « Keys Under Doormats: Mandating Insecurity by Requiring Government Access to All Data and Communications » (Clés sous les paillassons : insécurité obligatoire causée par l'accès à toutes les données et communications imposé par le gouvernement) explique que le système d'accès à n'importe quel fichier crypté demandé par le gouvernement affaiblirait la sécurité en ligne, soulèverait des questions légales et éthiques, et serait difficile à mettre en œuvre.

Avec les piratages en ligne récents qui ont touché des millions de personnes, « les gens doivent se rendre compte que nous traversons une crise de la sécurité et que notre infrastructure de l'information est extrêmement vulnérable. La dernière chose dont nous ayons besoin, c'est des efforts visant à rendre cette infrastructure encore moins fiable », a déclaré Harold Abelson, l'un des coauteurs du rapport et professeur d'ingénierie électrique et d'informatique au MIT, dans sa vidéo d'acceptation du prix.

Lors de la réception du prix au nom du groupe à Atlanta, Josh Benaloh, expert cryptologue chez Microsoft Research, a annoncé : « Nous ne savons pas comment fournir aux autorités législatives l'accès qu'elles demandent sans affaiblir la sécurité, déjà fragile, d'Internet. »

Le cryptage emploie des « clés » logicielles pour déverrouiller des fichiers sécurisés et permettre aux utilisateurs autorisés d'accéder à leur contenu. Avec la croissance de l'économie Internet, le cryptage des fichiers sensibles pour la protection des données personnelles, de la propriété intellectuelle et des communications en général est devenu la norme du secteur. Dernièrement, les États-Unis, le Royaume-Uni et d'autres gouvernements ont demandé la limitation de ce cryptage ou l'ajout d'un « accès exceptionnel » qui permettrait aux organismes d'application de la loi d'avoir accès aux fichiers décryptés.

Michael Adkins, président du conseil d'administration du M3AAWG, a déclaré : « Notre organisation existe afin de développer des bonnes pratiques du secteur visant à protéger le public contre les abus et il peut sembler que le fait d'encourager le cryptage et de limiter l'accès des organismes d'application de la loi aux fichiers douteux complique notre travail mais les communications fiables et protégées sont nécessaires au bien-être des utilisateurs et à l'économie mondiale. Bien que les intentions des organismes législatifs soient louables, le rapport Keys Under Doormats clarifie les problèmes techniques et les questions de politique publique associés à l'accès exceptionnel demandé et démontre que cela créerait accidentellement un écosystème de surveillance complexe qui exposerait la communauté mondiale des internautes à des risques. »

Le prix a été remis durant la 35e Assemblée générale du M3AAWG, organisée sur quatre jours à Atlanta. Le Groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l'abus par voie mobile (M3AAWG) organise deux réunions en Amérique du Nord et une en Europe chaque année afin de développer des bonnes pratiques de l'industrie, de partager des renseignements concernant les nouvelles menaces et de collaborer en matière de techniques anti-abus efficaces. Le prix J.D. Falk du M3AAWG récompense chaque année un travail qui contribue considérablement à la sécurité de la communauté en ligne.

Le rapport « Keys Under Doormats: Mandating Insecurity by Requiring Government Access to All Data and Communications » a été publié en juillet 2015 et a été cité lors d'une audition du Comité judiciaire du Sénat américain portant sur l'équilibre entre le respect de la vie privée et la sécurité publique. Il contribue au débat public en cours sur le sujet et a déjà été mentionné des milliers de fois dans les médias et sur des blogs. Le rapport cite trois problèmes généraux :

• La remise d'un accès exceptionnel enfreindrait les bonnes pratiques visant à rendre l'Internet plus sûr qui sont en cours de déploiement, notamment la suppression immédiate des clés de cryptage après usage et l'utilisation de clés pour garantir qu'un message n'a pas été manipulé ou falsifié.
  
  
• La construction d'un nouvel écosystème de surveillance permettant l'utilisation d'un accès exceptionnel augmenterait considérablement la complexité du système. Il serait moins sûr et plus exposé aux erreurs de manipulation susceptibles de mettre des millions d'utilisateurs finaux en danger.
  
  
• L'existence d'une voie d'accès supplémentaire aux données cryptées serait la cible principale des cybercriminels et mettrait en péril les utilisateurs finaux et le commerce.
  
  

Informaticiens et experts de la sécurité renommés

Les auteurs sont des experts de la sécurité issus du monde universitaire, de la recherche et de l'entreprise, et ils apportent des points de vue variés au rapport :

• Harold Abelson, professeur en ingénierie électrique et informatique au MIT, membre de l'IEEE et un directeur fondateur de Creative Commons et de la Free Software Foundation
• Ross Anderson, professeur en ingénierie de sécurité à l'Université de Cambridge
• Steven M. Bellovin, professeur en informatique à l'Université de Columbia
• Josh Benaloh, expert cryptologue chez Microsoft Research, il mène des recherches sur les protocoles électoraux vérifiables et les technologies associées
• Matt Blaze, professeur agrégé en informatique et sciences de l'information à l'Université de Pennsylvanie, où il dirige le Laboratoire de systèmes distribués
• Whitfield Diffie, cryptologue américain, sa découverte du concept de cryptographie à clé publique en 1975 a ouvert la porte aux communications Internet sécurisées
• John Gilmore, entrepreneur et défenseur des libertés civiles, un des premiers employés de Sun Microsystems, et cofondateur de Cygnus Solutions, de l'Electronic Frontier Foundation, des Cypherpunks et des forums alt sur Internet
• Matthew Green, professeur de recherche à l'Institut pour la sécurité de l'information à l'Université Johns Hopkins, il se concentre sur les techniques de la confidentialité cryptographique et sur les nouvelles techniques de mise en œuvre des protocoles sécurisés de messagerie
• Peter G. Neumann, chercheur principal au Laboratoire de recherche informatique de SRI International et modérateur du Forum Risks d'ACM depuis 30 ans
• Susan Landau, professeur en politique de cybersécurité à l'Institut polytechnique de Worcester et auteur de deux ouvrages sur le sujet
• Ronald L. Rivest, « Institute Professor » au MIT, co-inventeur de l'algorithme de cryptographie à clé publique RSA, et fondateur de RSA Security et de Verisign
• Jeffrey I. Schiller, directeur régional de la division Sécurité de l'Internet Engineering Steering Group de 1994 à 2003
• Bruce Schneier, membre du Berkman Center for Internet and Society à l'Université de Harvard et auteur de nombreux ouvrages 
• Michael A. Specter, chercheur en sécurité et candidat au doctorat en informatique au Laboratoire d'informatique et d'intelligence artificielle du MIT
• Daniel J. Weitzner, chercheur principal au Laboratoire d'informatique et d'intelligence artificielle du MIT, directeur fondateur de l'Initiative de recherche sur la cybersécurité et la politique Internet du MIT, directeur adjoint de la technologie à la Maison-Blanche (2011-2012)

Le rapport est disponible sur le site Internet de plusieurs organisations en ligne, du MIT à l'adresse http://dspace.mit.edu/handle/1721.1/97690 et d'autres universités. Il est également possible de le télécharger depuis le site Internet du M3AAWG sous « For the Industry/Supporting Documents » à l'adresse https://www.m3aawg.org/system/files/keysunderdoormats-2015-07-mit-csail-tr-2015-026.pdf.

À propos du M3AAWG (Groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l'abus par voie mobile)

Le Groupe de travail portant sur la messagerie, les logiciels malveillants et la lutte contre l'abus par voie mobile (M3AAWG) rassemble les acteurs du secteur pour lutter ensemble contre les bots, les logiciels malveillants, les spams, les virus, les attaques par déni de service et d'autres interventions malveillantes en ligne. Le M3AAWG (www.M3AAWG.org) représente plus d'un milliard de boîtes de réception de certains des plus grands opérateurs de réseaux au monde. Le groupe s'appuie sur le sérieux et l'expérience de ses membres à travers le monde, pour s'attaquer aux abus sur les réseaux existants et dans les nouveaux services émergents en exploitant la technologie, la collaboration et les politiques publiques. Il se consacre également à la sensibilisation des décideurs mondiaux aux questions techniques et opérationnelles liées à l'abus en ligne et à la messagerie. Basé à San Francisco, en Californie, le M3AAWG est axé sur les besoins du marché et soutenu par des grands opérateurs de réseau et des fournisseurs de messagerie.

Conseil d'administration du M3AAWG : AT&T (NYSE: T) ; CenturyLink (NYSE: CTL) ; Cloudmark Inc. ; Comcast (NASDAQ: CMCSA) ; Constant Contact (NASDAQ: CTCT) ; Cox Communications ; Damballa Inc. ; Facebook ; Google ; LinkedIn ; Listrak ; Mailchimp ; Message Systems ; Orange (NYSE: ORAN) (EURONEXT: ORA) ; Return Path ; Time Warner Cable ; Verizon Communications et Yahoo! Inc.

Membres à part entière du M3AAWG : 1&1 Internet AG ; Adobe Systems Inc. ; AOL ; Campaign Monitor Pty. ; Cisco Systems Inc. ; CloudFlare ; dotmailer ; Dyn ; ExactTarget, Inc. ; IBM ; iContact/Vocus ; Internet Initiative Japan (IIJ) (NASDAQ : IIJI) ; Litmus ; McAfee Inc. ; Microsoft Corp. ; Mimecast ; Nominum Inc. ; Oracle Marketing Cloud ; OVH ; Proofpoint ; Rackspace ; Spamhaus ; Sprint ; Symantec et Twitter.

Une liste complète des membres est disponible à l'adresse https://www.m3aawg.org/about/roster.