présentation
Les applications web qui proposent une cryptographie de bout en bout sont de plus en plus nombreuses. Cependant, les affirmations cryptographiques faites par ces services sont généralement sans fondement. En effet, le modèle de menace de ces systèmes est incohérent, car ils sont distribués par la même entité qu'ils prétendent sécuriser.
contexte technique
Le problème fondamental est que le code qui implémente une application web est distribué par le même opérateur que le serveur web. Cela signifie que si l'opérateur du serveur est malveillant, il peut simplement pousser un code différent vers le client. Les applications web qui proposent une cryptographie de bout en bout utilisent du JavaScript côté client pour sécuriser contre la malice de l'opérateur du serveur, mais cela est évidemment faux.
fonctionnement et limites
Il est important de noter que ce problème n'est pas propre aux applications web. Les services de messagerie comme Whatsapp et Signal, qui proposent une cryptographie de bout en bout, sont également touchés par ce problème. En effet, ces services interdisent l'utilisation de clients tiers et peuvent donc pousser des mises à jour qui compromettent la sécurité.
var encryptedData = encrypt(data, key); Cela signifie que ces systèmes sont vulnérables aux attaques de l'opérateur du serveur.implications et limites
La popularité de la cryptographie de bout en bout chez les entreprises technologiques peut être expliquée par des motifs juridiques plutôt que des préoccupations de sécurité. En effet, en adoptant une cryptographie de bout en bout, les entreprises peuvent se décharger de leurs obligations légales de répondre aux mandats et aux ordonnances du tribunal. Cependant, cela ne signifie pas que les entreprises sont à l'abri des attaques. Les gouvernements peuvent toujours essayer de forcer les entreprises à compromettre leurs systèmes de cryptographie. Les exemples de Lavabit et d'Apple montrent que les gouvernements ne sont pas prêts à abandonner cette question.