2. L'IETF Travaillera à Atténuer la Surveillance Généralisée
2. L'IETF Travaillera à Atténuer la Surveillance Généralisée
"Atténuation" est un terme technique qui n'implique pas une capacité à empêcher ou contrecarrer complètement une attaque. Les protocoles qui atténuent la PM n'empêcheront pas l'attaque mais peuvent modifier significativement la menace. (Voir le diagramme à la page 24 du RFC 4949 pour voir comment les termes "attaque" et "menace" sont liés.) Cela peut augmenter significativement le coût de l'attaque, forcer ce qui était secret à devenir manifeste, ou rendre l'attaque plus susceptible d'être détectée, éventuellement plus tard.
Les normes IETF fournissent déjà des mécanismes pour protéger les communications Internet et il existe des directives [RFC3552] pour les appliquer dans la conception de protocoles. Mais ces normes ne traitent généralement pas de la PM, de la confidentialité des métadonnées de protocole, de la lutte contre l'analyse du trafic ou de la minimisation des données. Dans tous les cas, il restera certaines informations relatives à la vie privée qui sont inévitablement divulguées par les protocoles. À mesure que la technologie progresse, des techniques qui n'étaient autrefois disponibles que pour des acteurs extrêmement bien financés deviennent plus largement accessibles. L'atténuation de la PM est donc une protection contre un large éventail d'attaques similaires.
Il est donc opportun de réexaminer les propriétés de sécurité et de confidentialité de nos normes. L'IETF travaillera à atténuer les aspects techniques de la PM, tout comme nous le faisons pour les vulnérabilités de protocole en général. Les façons dont les protocoles IETF atténuent la PM changeront au fil du temps à mesure que les techniques d'atténuation et d'attaque évoluent et ne sont donc pas décrites ici.
Ceux qui développent des spécifications IETF doivent être en mesure de décrire comment ils ont pris en compte la PM, et, si l'attaque est pertinente pour le travail à publier, être en mesure de justifier les décisions de conception associées. Cela ne signifie pas qu'une nouvelle section "considérations sur la surveillance généralisée" est nécessaire dans la documentation IETF. Cela signifie que, si on leur demande, il doit y avoir une bonne réponse à la question "La surveillance généralisée est-elle pertinente pour ce travail et si oui, comment a-t-elle été prise en compte?"
En particulier, les décisions architecturales, y compris quelle technologie existante est réutilisée, peuvent avoir un impact significatif sur la vulnérabilité d'un protocole à la PM. Ceux qui développent des spécifications IETF doivent donc tenir compte de l'atténuation de la PM lors de la prise de décisions architecturales. Obtenir un examen adéquat et précoce des décisions architecturales, y compris si une atténuation appropriée de la PM peut être réalisée, est important. Réexaminer ces décisions architecturales tard dans le processus est très coûteux.
Bien que la PM soit une attaque, d'autres formes de surveillance qui pourraient correspondre à la définition de la PM peuvent être bénéfiques et ne faire partie d'aucune attaque, par exemple, les fonctions de gestion de réseau surveillent les paquets ou les flux et les mécanismes anti-spam doivent voir le contenu des messages électroniques. Certaines surveillances peuvent même faire partie de l'atténuation de la PM, par exemple, la transparence des certificats [RFC6962] implique la surveillance de l'Infrastructure à Clés Publiques d'une manière qui pourrait détecter certaines techniques d'attaque PM. Cependant, il existe un potentiel clair d'abus des mécanismes de surveillance pour la PM, cette tension nécessite donc une considération attentive dans la conception de protocoles. Rendre les réseaux ingérables pour atténuer la PM n'est pas un résultat acceptable, mais ignorer la PM irait à l'encontre du consensus documenté ici. Un équilibre approprié émergera au fil du temps à mesure que des cas réels de cette tension seront examinés.
Enfin, l'IETF, en tant qu'organisation de développement de normes, ne contrôle pas la mise en œuvre ou le déploiement de nos spécifications (bien que les participants de l'IETF développent de nombreuses implémentations), et l'IETF ne normalise pas toutes les couches de la pile de protocoles. De plus, les aspects non techniques (par exemple, juridiques et politiques) de l'atténuation de la surveillance généralisée sont en dehors du champ d'application de l'IETF. La communauté Internet au sens large devra intervenir pour s'attaquer à la PM, si elle doit être pleinement abordée.
Pour résumer: les capacités actuelles permettent à certains acteurs de surveiller le contenu et les métadonnées sur Internet à une échelle jamais vue auparavant. Cette surveillance généralisée est une attaque contre la vie privée sur Internet. L'IETF s'efforcera de produire des spécifications qui atténuent les attaques de surveillance généralisée.