Les experts en sécurité étaient presque à l'unanimité contre les portes dérobées, précisément à cause de cet affaiblissement. Une fois qu'un tel mécanisme a été implanté dans l'application, il crée une cible pour les agences d'espionnage et les entreprises d'espionnage d'autres pays qui pourraient vouloir voir ce dont les gens discutent, mais également pour des hackers.
En fait, les élus australiens ne sont pas les seuls à réclamer des mesures comme les portes dérobées sans apparemment en comprendre les implications. Nombreux sont les gouvernements qui militent en faveur des portes dérobées au nom de la sécurité intérieure et de la lutte contre le terrorisme. Ainsi, en août 2016, le ministre français de l’Intérieur Bernard Cazeneuve et son homologue allemand Thomas de Maizière ont présenté une initiative franco-allemande sur la sécurité intérieure en Europe, dans le but de renforcer la lutte contre le terrorisme. La question du chiffrement était l’une des plus importantes, alors que les deux ministres ont appelé à prendre des mesures contre la généralisation du chiffrement des communications, de sorte qu’elle ne fasse pas obstacle au bon déroulement des enquêtes judiciaires.
Thomas de Maizière et le successeur de Cazeneuve, Bruno Le Roux, ont porté cette initiative au niveau européen en février 2017. Les ministres de l'Intérieur français et allemand ont en effet appelé à une législation européenne en octobre 2017. Dans leur déclaration conjointe, ils invitent implicitement Bruxelles à trouver des moyens de contourner le chiffrement des communications par voie électronique lors des enquêtes judiciaires et administratives, « tout en garantissant la fiabilité des systèmes hautement sécurisés ».
« La lutte contre le terrorisme requiert de donner les moyens juridiques aux autorités européennes afin de tenir compte de la généralisation du chiffrement des communications par voie électronique lors d'enquêtes judiciaires et administratives », ont-ils écrit dans un document adressé à Bruxelles. « La Commission européenne doit veiller à ce que des travaux juridiques et techniques soient menés dès maintenant pour étudier la possibilité de définir de nouvelles règles à la charge des prestataires de services de communication par voie électronique tout en garantissant la fiabilité des systèmes hautement sécurisés », ont-ils ajouté.
Aux États-Unis, ce débat a été alimenté par le bras de fer opposant le FBI à Apple sur l’affaire San Bernardino. En Russie, les autorités ont mis en place un cadre juridique dans lequel les entreprises technologiques seraient contraintes d’ajouter des portes dérobées sur le chiffrement de leurs services. Les résultats de l'enquête menée par Venafi ne devraient donc pas être une trop grande surprise.
Selon l'étude, 80 % des professionnels de la sécurité estiment qu'il est nécessaire de légiférer plus strictement en termes de sécurité et de protection de la vie privée, en particulier pour les réseaux sociaux qui stockent des données personnelles. Parmi les personnes interrogées, une proportion quasi équivalente (82 %) pense néanmoins que leurs élus ne comprennent pas suffisamment bien les cyberrisques pour développer et légiférer efficacement dans ce domaine.
L'étude a débouché sur d'autres conclusions :
- 93 % des sondés ne font pas confiance aux réseaux sociaux pour protéger leurs informations personnelles ;
- 82 % des sondés ne font pas confiance au gouvernement pour protéger leurs informations personnelles ;
- 80 % des sondés affirment que les fonctionnaires ne comprennent pas les cyberrisques ciblant les infrastructures numériques.
« On observe une vague mondiale de législateurs, de régulateurs et d’agents de la force publique qui proposent des lois de surveillance controversées, notamment les portes dérobées de chiffrement imposées par les gouvernements », indique Kevin Bocek, vice-président du département de stratégie de sécurité et d'analyse des menaces de Venafi. « Cependant, les professionnels de la sécurité accordent une confiance limitée à la capacité des politiciens à renforcer la cybersécurité compte tenu des piratages incessants des gouvernements aux États-Unis et à travers le monde. Les résultats de notre étude font clairement comprendre qu'il est vital pour les gouvernements d'améliorer leurs compétences en cybersécurité de manière à obtenir des résultats significatifs et à aider les défenseurs que nous avons déployés aux avant-postes à préserver l'économie, la liberté et la vie privée dans le monde entier. »
Des acteurs comme l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont déjà fait valoir la limite de l'instauration de porte dérobée. Guillaume Poupard, son directeur général, a tout d’abord rappelé que les attaques informatiques ont progressé en nombre, mais également en sophistication. Avec des motivations diverses (gains financiers, revendication politique ou religieuse, espionnage, volonté de détruire des infrastructures informatiques, etc.), la menace est considérée comme une priorité en France.
Guillaume Poupard soutient que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité [des] données numériques sensibles ». Pour étayer son affirmation, il rappelle que les échanges couverts par le secret de défense nationale, les données de santé, les données stratégiques des entreprises et les données personnelles des citoyens sont quelques exemples d’éléments auxquels profite le chiffrement. Raison pour laquelle il estime que le développement et l’usage généralisé de ces moyens défensifs doivent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques.
C’est pourquoi l’ANSSI estime que « toute évolution de la législation vers une mesure générale “d’obligation de résultat” visant à garantir la possibilité d’accéder à des informations protégées aura pour effet désastreux d’imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques employés ». Cet affaiblissement est « susceptible d’être exploité par des attaquants aux profils variés ».
Source : Venafi
Et vous ?
Partagez-vous l'avis selon lequel dans le numérique en général (et dans la sécurité en particulier) les élus ne sont pas bien armés pour légiférer ?
Voir aussi :
600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe et ont des failles qui mettent la sécurité des personnes en danger
Android 10 a été officiellement lancé mardi pour les téléphones Google Pixel, il vient avec de nombreuses nouveautés centrées sur l'innovation, la sécurité et la vie privée et le bien-être numérique
L'Australie envisagerait de bloquer les sites web hébergeant du contenu extrémiste lors d'attaques terroristes et pourrait forcer les plateformes numériques à améliorer la sécurité de leurs services
Plus de 100 projets Python populaires s'engagent à abandonner Python 2.x d'ici 2020, l'agence britannique de cybersécurité appelle également à arrêter de supporter cette version de Python