IETF : Pas d’écoute sur Internet

Cloud

L’IETF a refusé la proposition du FBI de réfléchir à des dispositifs d’écoute Internet, similaires aux systèmes d’écoutes téléphoniques. Ce qui n’empêchera pas les fabricants de routeurs d’inclure de telles fonctions dans leurs matériels.

De façon ferme et définitive, l’Internet Engineering Task Force (IETF, une des organisations en charge de la standardisation du Web) a refusé de réfléchir aux moyens d’inclure un système de mise sur écoute du Web. Cette demande émanait essentiellement du FBI qui demande depuis des mois l’appui de l’IETF dans sa démarche de sécurité. Aux Etats-Unis, comme dans beaucoup d’autres pays, les centraux téléphoniques et autres PABX d’entreprises incorporent des fonctions d’interception des communications pour répondre aux éventuelles demandes des agences gouvernementales. Une demande qui avait d’ailleurs pris une autre ampleur depuis les récentes attaques incapacitantes qui ont paralysé certains sites parmi les plus connus (voir édition du 9 février 2000). Un tel système aurait peut-être permis de retrouver la trace des « pirates ». Mais comment, dans le même temps, assurer la protection de la vie privée ?Le principal souci du FBI, c’est la voix sur IP, c’est-à-dire les appels vocaux utilisant le protocole de communication de l’Internet comme intermédiaire. Son but était d’y inclure des fonctions de suivi capables d’informer sur la provenance d’un appel, voire sur son contenu.L’IETF avait déjà quasiment donné sa réponse, négative, au début de cette année. Dans un document disponible sur son site Web, la réponse est maintenant définitive. Le groupe de réflexion justifie son refus de collaborer de plusieurs manières. Tout d’abord, selon les propres termes du document, l’IETF, en tant qu’association internationale, ne se considère pas comme le bon forum pour établir des protocoles ou des fonctions intégrés aux équipements en réponse aux besoins individuels des lois de chaque pays. De plus, l’association considère que de telles fonctions de mise sur écoute peuvent entraîner des brèches de sécurité non souhaitables. En l’état, le réseau est suffisamment non sécurisé, à moins d’utiliser des systèmes de chiffrement, pour autoriser toutes sortes de systèmes d’écoute. Cet état de fait devrait suffire aux gouvernements. Les responsables de l’IETF ont également indiqué que les administrateurs de réseaux d’entreprises qui auraient besoin de scruter les échanges de données pouvaient le faire en utilisant les systèmes d’analyse de protocole qui existent déjà sur le marché.Il semble que certains membres de l’IETF, parmi les fabricants de commutateurs téléphoniques, craignent de ne pas pouvoir vendre leurs matériels hybride voix/données s’ils n’incluent pas de fonctions d’interception d’appel. Ou alors, il faudra qu’ils développent eux-mêmes le processus.Pour en savoir plus : La réponse officielle de l’IETF (an anglais)