web-dev-qa-db-fra.com

Le FBI ou les agences gouvernementales peuvent-ils décrypter mon disque dur et / ou me forcer à leur donner le mot de passe?

J'ai également vu d'autres TrueCrypt questions "Windows cryptage avec BitLocker" et "Mac OSX chiffrement avec FileVault ".

  1. Le FBI/NSA ou d'autres agences gouvernementales ont-ils accès à mes données ou peuvent-ils facilement les décrypter?

  2. S'ils ne le peuvent pas, peuvent-ils me forcer à leur donner mon mot de passe?

  3. Si 1 ou 2 est vrai, il semble qu'en cryptant mon disque dur, je ne me protège que contre un voleur normal. Existe-t-il un meilleur moyen de protéger mes données?

encryptionwindowsdisk-encryptionmacos
11
Jared Burrows

L'Electronic Frontier Foundation maintient un excellent FAQ sur les droits numériques concernant la recherche et la saisie d'appareils informatiques . Pour vos questions spécifiques: (je vais supposer les États-Unis, car vous faites référence au FBI et à la NSA)

1. Can government agencies break disk encryption?

Sans mandat ni cause probable, non. Avec un mandat, si votre question est: "Le cryptage implémenté par exemple, TrueCrypt peut-il être rompu?" alors la réponse est que le TrueCrypt est censé être sécurisé. Ces choses sont difficiles à prouver, mais à toutes fins utiles, TrueCrypt est lui-même un système sécurisé.

2. Can they force me to give them my password?

Aux États-Unis, le 5e amendement à la Constitution protège les individus contre l'auto-incrimination. Un mot de passe pour un ordinateur contenant des informations incriminantes est traité comme un témoignage, donc en général, non, ils ne peuvent pas vous forcer à remettre un mot de passe. (Notez qu'au Royaume-Uni, ce n'est pas vrai - vous pouvez être emprisonné pour avoir refusé .) Selon la page EFF liée , il y a quelques exceptions (je crois que refuser de coopérer à une négociation d'otages en cours peut vous entraîner avec une accusation d'obstruction, mais je ne suis pas un avocat), c'est donc celui où vous devez contacter un avocat.

3. Am I only protecting myself against a regular thief?

D'après mes réponses ci-dessus, non, vous vous protégez en fait, au moins dans une certaine mesure, contre une enquête des forces de l'ordre.

Dans tous les cas, "un voleur régulier" est généralement un acteur de menace beaucoup plus pertinent que votre système juridique.

8
mfrankli

Concernant # 1, "Le FBI/NSA ou d'autres agences gouvernementales ont-ils accès à mes données ou peuvent-ils facilement les décrypter?" mise à part la légalité, il y a plusieurs facteurs à considérer.

"Facile" est relatif. Selon les frais et la valeur des données chiffrées, ils peuvent être plus ou moins incités à rompre le chiffrement. S'il s'agit d'une liste de drogués du quartier, ils pourraient ne pas se soucier autant que s'il s'agit d'un complot pour soudoyer un sénateur et identifier un compte bancaire offshore avec 20 millions de dollars.

L'algorithme et la taille de clé du cryptage que vous utilisez comptent dans une certaine mesure. Si vous utilisez une clé DES exportable 40 bits, ce sera facile pour eux. Si vous avez utilisé une clé AES 256 bits, ils n'essaieront probablement pas de la forcer brutalement.

L'outil peut en faire partie. Si vous utilisez TrueCrypt, il peut être plus sûr que si vous utilisez le cryptage de fichiers Zip ou des mots de passe sur des documents Word 98. Différents outils présentent différentes vulnérabilités.

Le moment de l'arrestation peut avoir beaucoup à voir avec cela. S'ils soupçonnent quelqu'un d'avoir des données importantes chiffrées sur leur ordinateur, ils peuvent attendre que le suspect se connecte et saisisse leur clé secrète, puis frappent à la porte et saisissent l'équipement pendant qu'il fonctionne. Ils peuvent alors prendre une image du RAM de l'ordinateur en marche, et éventuellement gratter la clé de celui-ci. La plupart des gens ne penseront pas à effacer leur machine juste parce qu'on frappe à la porte; ou s'ils soupçonnent la personne d'être paranoïaque, ils pourraient même suivre toute la voie du "style fracassant à la Hollywood". Même les services de police locaux ont des "tremblements de souris" qui ne sont que des dongles USB qui agissent comme une souris se déplaçant toutes les quelques secondes; ils empêchent les économiseurs d'écran de s'activer pendant qu'ils attendent que l'analyste numérique arrive pour imager la machine. Vous pouvez en acheter un pack de six en ligne pour environ 40 $.

Suite à cela, les forces de l'ordre savent également que la plupart des gens n'ont pas une bonne sécurité opérationnelle. Les gens écrivent des mots de passe sur des bouts de papier ou dans un cahier enfermé dans un coffre-fort. Le suspect peut avoir un gestionnaire de mots de passe dans son navigateur qui révèle les mots de passe pour tous leurs comptes en ligne, sachant que les gens réutilisent souvent des mots de passe similaires en ligne comme ils le font pour sécuriser leurs données à la maison (si mon mot de passe pour StackOverflow est sekret $ SO, et mon mot de passe pour Google est sekret $ Goog, ils pourraient essayer sekret $ TrueCrypt ou sekret $ TC lorsqu'ils tentent de décrypter des fichiers sur ma machine domestique.) Le FBI peut exécuter l'équivalent fourni par la NSA de John the Ripper, qui est probablement beaucoup mieux que tout ce que nous pourrions imaginer. Le suspect peut avoir envoyé le mot de passe par e-mail à un co-conspirateur, le laissant dans son dossier "envoyé". S'ils peuvent identifier une connaissance du suspect qui connaît le mot de passe, ils peuvent obliger cette personne à le leur dire.

Enfin, si le suspect est vraiment de grande valeur, Snowden a révélé l'infâme catalogue ANT de la NSA des outils et techniques qu'ils utilisent pour pirater les ordinateurs en cours d'exécution. S'ils peuvent faire installer un enregistreur de frappe sur l'ordinateur du suspect avant de l'arrêter, ils n'auront pas besoin de casser quoi que ce soit.

Il existe de nombreuses façons d'accéder aux données qui sont beaucoup plus faciles que de casser le chiffrement. Tout dépend de leur perception de la valeur des données.

En ce qui concerne le n ° 3, "Existe-t-il un meilleur moyen de protéger mes données?", Il y a tout simplement trop de variables pour répondre à cette question. Pour chaque vulnérabilité OpSec que j'ai évoquée ci-dessus, il y en a plus qui ne sont pas répertoriés. Pour chaque algorithme de chiffrement que vous choisissez, il existe une capacité inconnue de l'attaquer.

4
John Deters
  1. Je ne sais pas? Si vous posez une question de type chapeau de papier d'aluminium: Le FBI/NSA a-t-il accès à tous les disques durs sur Internet? Alors je pense que la réponse est non. Si une décision de justice est rendue pour l'accès à votre disque dur, vous devrez la lui remettre.
  2. Si une ordonnance du tribunal leur donne accès à votre disque dur et que votre disque dur est crypté, l'ordonnance pourrait vous obliger (selon la loi) à renoncer au mot de passe aux forces de l'ordre.
  3. Vous vous protégez contre des acteurs non autorisés ou malveillants. Comme je l'ai dit ci-dessus, une décision de justice pourrait autoriser l'accès à vos données cryptées. Dans ce cas, vous n'avez pas à fournir le mot de passe, mais vous serez alors mis en prison. Vos données seront toujours protégées si un mécanisme de chiffrement de disque correctement mis en œuvre a été utilisé. Il n'y a pas de meilleur moyen de sécuriser vos données au repos.
2
RoraΖ

  1. Parler légalement, bien sûr qu'ils ne le font pas s'ils n'ont pas d'ordonnance du tribunal, techniquement, je doute vraiment que, en ce qui concerne le décryptage, nous parlons essentiellement de la force de l'algorithme de cryptage et s'ils peuvent le casser.

  2. Non, même si vous êtes arrêté, la police ne peut fouiller vos appareils que dans des circonstances limitées, sauf aux frontières, ils peuvent le fouiller sans mandat et vous êtes obligé de leur donner le mot de passe.

  3. Comme je l'ai dit, sauf sur les frontières et sur ordonnance du tribunal, la police ne peut pas avoir accès à vos données, vous vous protégez donc, une chose que je pourrais suggérer pour plus de protection est d'utiliser la stéganographie pour cacher vos fichiers importants dans d'autres non important fichiers, qui, sauf lors d'une recherche approfondie, ne seront pas connus de la recherche normale.

Comme indiqué dans ce lien :

Après qu'une personne a été arrêtée, la police peut généralement fouiller les objets sur elle et dans ses poches, ainsi que tout ce qui est sous son contrôle immédiat, automatiquement et sans mandat. Mais la Cour suprême a statué que la police ne peut pas rechercher les données sur un téléphone portable en vertu de cette exception de mandat.8 La police peut cependant rechercher les aspects physiques du téléphone (comme retirer le téléphone de son étui ou retirer la batterie) et dans des situations là où ils croient réellement que des preuves sur le téléphone sont susceptibles d'être immédiatement détruites, la police peut fouiller le téléphone portable sans mandat.

2
Kiloreux