Le projet Tor renforce sa sécurité pour détecter les espions

Le projet Tor (« le routeur oignon ») rappelle dans un billet de blog qu’une cryptographie forte est nécessaire pour limiter le risque de points de défaillance unique et de surveillance généralisée.

« Nous pensons que la vie privée vaut la peine que nous la défendions. Nous sommes donc au côté d’Apple pour défendre le chiffrement fort et nous opposer à la pression exercée par le gouvernement (américain) pour l’affaiblir », a expliqué Mike Perry, lead développeur de Tor Browser (navigateur Open Source basé sur Firefox et paramétré pour accéder de manière sécurisée au réseau d’anonymisation Tor).

Fermer la porte aux backdoors

« Nous ne placerons jamais de porte dérobée (backdoor) dans notre logiciel », a déclaré Mike Perry lundi. Au contraire, « nous explorons de nouvelles façons d’éliminer les points de défaillance (de notre système), de sorte que même si un gouvernement ou un criminel obtenait nos clés cryptographiques, notre réseau distribué et ses utilisateurs seraient en mesure de le détecter et de nous le signaler », a-t-il ajouté.

Une porte dérobée doit pouvoir être « rapidement découverte », a insisté le développeur. À l’heure actuelle, deux clés cryptographiques seraient nécessaires pour parvenir à distribuer une mise à jour malveillante de Tor Browser, et « ces clés ne sont pas accessibles à une même personne », a indiqué Perry. Même si un attaquant obtenait ces clés, des utilisateurs de Tor seraient théoriquement en mesure de vérifier l’intégrité du logiciel (fonctions de hachage) et d’alerter le projet en cas de doute.

Enfin, comme des ingénieurs d’Apple, des développeurs du projet Tor démissionneraient plutôt que d’honorer une demande d’intégration d’une porte dérobée par une autorité ou d’une autre vulnérabilité dans le logiciel qu’ils développent, a assuré Mike Perry dans son billet du 21 mars.

Contre le FBI, les experts en chiffrement soutiennent (presque tous) Apple