Dans un discours prononcé à New York, le procureur général américain a repris en grande partie le même discours que ses prédécesseurs et d'autres hauts responsables du ministère de la Justice, appelant les sociétés de technologie à faire davantage pour aider les autorités fédérales à accéder aux appareils lorsqu’un mandat est délivré. .
La messagerie chiffrée s’est vulgarisée ces dernières années au point de se retrouver dans les produits Apple, Facebook, Instagram et WhatsApp. Il s’agissait là d’une réponse de Silicon Valley face à l'abus d'accès des services de renseignement à la suite des révélations d'Edward Snowden en 2013. Mais les forces de l'ordre indiquent que le chiffrement empêche l'accès aux communications dont ils prétendent avoir besoin pour poursuivre les criminels.
Le gouvernement appelle cela « devenir sourd et aveugle » parce que les forces de l’ordre ne sont pas en mesure de voir les communications chiffrées. Ce qui a d’ailleurs mis le chiffrement au centre des discussions dans de nombreux pays. Les critiques (parmi lesquels certains législateurs comme le sénateur Wyden) et les experts en sécurité ont longtemps affirmé qu’il n’existait aucun moyen sûr de créer un accès « détourné » aux communications chiffrées pour les forces de l’ordre sans pour autant permettre aux hackers d’avoir également accès aux communications privées.
Dans ses remarques, Barr a déclaré que « l'importance du risque devrait être évaluée en fonction de son effet pratique sur la cybersécurité pour le consommateur, ainsi que de sa relation avec les risques nets que l'offre du produit pose pour la société ».
Il a suggéré que « le risque résiduel de vulnérabilité résultant de l'incorporation d'un mécanisme d'accès légal est sensiblement plus grand que ceux déjà présents dans le produit non modifié ».
« Certains soutiennent que, pour obtenir au mieux une légère amélioration progressive de la sécurité, il vaut la peine d'imposer à la société un coût énorme sous la forme d'une sécurité dégradée », a-t-il déclaré.
Selon lui, le risque est acceptable, car « nous parlons de produits et services grand public tels que la messagerie, les smartphones, la messagerie électronique et les applications VoIP » et « nous ne parlons pas de la protection des codes de lancement nucléaire du pays ».
Le procureur général a déclaré qu'il était « insupportable » que les appareils offrent un chiffrement lourd tout en ne proposant aucun accès à la police.
Barr est le dernier en date parmi les procureurs généraux à dénoncer l'incapacité des forces de l'ordre à accéder aux communications chiffrées, malgré le rejet des entreprises technologiques.
Barr n'exclut pas de pousser la législation pour forcer les entreprises de technologie à développer des portes dérobées.
Dans une réplique, le sénateur Ron Wyden (D-OR) a déclaré que les propos du procureur général étaient « scandaleux, irréfléchis et dangereux ».
« Si nous donnons à ce procureur général et à ce président le pouvoir sans précédent de casser le chiffrement, nous allons nous enfoncer dans les détails les plus intimes de la vie de chaque Américain », a déclaré le sénateur qui n’a pas hésité à assurer que ce pouvoir sera utilisé dans l’abus..
Les portes dérobées, une solution étudiée par de plus en plus de pays
Les États-Unis sont loin d’être les seuls à demander aux entreprises de technologie de donner un accès aux communications aux forces de l’ordre. Plus tôt cette année, les autorités britanniques se sont intéressées à un nouveau mécanisme appelé « protocole fantôme ».
Cette étude est venue d’une proposition du GCHQ qui a été émise pour la première fois en novembre dernier dans le cadre d’une série d’articles. Dans l’article, deux hauts responsables des services de renseignements britanniques soutiennent qu’un membre des forces de l’ordre devrait être ajoutée en tant que participant « fantôme » à chaque conversation de groupe, par audio ou par écrit, dans un service de messagerie chiffrée.
Cela signifierait que les agences de renseignement seraient en possession de messages chiffrés, sans que les utilisateurs sachent qu’ils sont présents au sein d’une discussion de groupe. Les auteurs de la proposition soutiennent que cette solution n'est pas plus invasive que les pratiques actuelles en matière d'écoute électronique de conversations téléphoniques non chiffrées.
Un groupe de 47 entreprises, dont Apple, Google, Microsoft et WhatsApp, ont vivement critiqué la proposition dans une lettre ouverte. Bien que cette approche suppose de supprimer la nécessité d'ajouter des portes dérobées aux protocoles de chiffrement, les signataires de la lettre affirment que cette solution continuerait de « porter gravement atteinte à la sécurité et à la confiance des utilisateurs ». Selon eux, les services de messagerie devraient changer la façon dont ils utilisent leur chiffrement et ils devront induire les utilisateurs en erreur en masquant des messages ou des notifications indiquant qui est présent dans un chat.
En réponse à la proposition publiée par Ian Levy, directeur technique du Centre national de cybersécurité (NCSC), et Crispin Robinson, directeur technique de cryptanalyse au sein du GCHQ, le 29 novembre 2018, intitulée « Principes pour un débat sur l’accès exceptionnel plus informé », la coalition a avancé ceci :
« Les six principes énoncés par les responsables du GCHQ constituent un pas important dans la bonne direction et soulignent l’importance de la protection du droit à la vie privée, de la cybersécurité, de la confiance du public et de la transparence. Nous apprécions surtout la reconnaissance des principes selon laquelle les gouvernements ne devraient pas s’attendre à un “accès sans entrave” aux données des utilisateurs, que la "relation de confiance" entre les fournisseurs de services et les utilisateurs doit être protégée, et que "la transparence est essentielle" ».
« Malgré cela, l’article du GCHQ décrit une proposition visant à “ajouter silencieusement un membre des forces de l’ordre à un appel de groupe ou à un groupe de discussion”. Cette proposition d’ajouter un utilisateur “fantôme” violerait des principes importants des droits de l’homme, ainsi que plusieurs des principes énoncés dans le document du GCHQ.
« Bien que les responsables du GCHQ prétendent que “vous n’aurez même pas à toucher au chiffrement” pour mettre en œuvre leur plan, la proposition de l’utilisateur "fantôme” poserait une grave menace à la cybersécurité, menaçant ainsi les droits de l'homme fondamentaux, y compris le droit à la vie privée et la liberté d’expression. Elle créerait des risques de sécurité numérique en sapant les systèmes d’authentification, en introduisant des vulnérabilités potentielles non intentionnelles et en créant de nouveaux risques d’abus ou de mauvaise utilisation des systèmes.
« Il est important de noter que cela saperait également les principes du GCHQ en matière de sécurité. la confiance de l'utilisateur et la transparence énoncées dans la proposition d’Ian Levy et Crispin Robinson ».
Source : discours sur YouTube
Et vous ?
Pour ou contre des portes dérobées sur les appareils pour faciliter le travail de la police ? Pourquoi ?
Voir aussi :
Vodafone nie avoir découvert des backdoors cachés dans les équipements de Huawei, il ne s'agirait que du protocole Telnet
Un ex-employé pirate le plugin WordPress WPML pour spammer les utilisateurs, se servant d'une backdoor qu'il avait laissée sur le site pour son usage
En Australie, des programmeurs pourraient être licenciés par leurs employeurs pour implémentation de backdoors à l'usage des forces de l'ordre
Procès aux USA : l'ACLU souhaite un rendu public des arguments du DoJ qui voulait forcer Facebook à installer un backdoor dans son appli Messenger
Chiffrement : le FBI base son discours pour la pose de backdoors sur des chiffres gonflés, générés par une « erreur de programmation »