Dans sa dernière tentative de proposer un système de chiffrement numérique avec des accès accordés aux forces de l'ordre, le comité judiciaire du Sénat américain a entendu mardi des témoignages contradictoires de l'industrie, des universitaires et des forces de l'ordre sur la question de savoir si le chiffrement peut simultanément protéger les informations et les révéler à la demande.
Le président du comité, le sénateur Lindsey Graham (R-SC), a indiqué ceci : « Je pense que nous voulons tous des appareils qui protègent notre vie privée. Cela dit, aucun Américain ne devrait vouloir un appareil qui devient un refuge sûr pour la criminalité ».
La sénatrice Diane Feinstein (D-CA) a rappelé les tirs de masse de décembre 2015 à San Bernardino, en Californie, qui ont fait 14 morts et 22 blessés. Le tireur a détruit tous ses téléphones, à l'exception de son téléphone de travail, un iPhone 5C, qui a été récupéré sur les lieux par le FBI. Apple a refusé d'aider à une réécriture d'iOS, car cela aurait nui au chiffrement de tous ses clients. Et le FBI a finalement payé à un entrepreneur un montant estimé à environ 900 000 $ pour pénétrer dans l'appareil à l'aide d'une vulnérabilité logicielle non divulguée... pour ne rien trouver de pertinent dans la suite de l'enquête. Cela n'aurait jamais dû se produire, a déclaré Feinstein. « En droit américain, aucun "lieu" ne devrait être à l'abri d'une enquête en cas de criminalité », a-t-elle déclaré, sans mentionner les divers privilèges juridiques qui dispensent les gens de témoignages forcés.
Cyrus Vance, Jr, procureur de district de New York, dans son témoignage a émis des arguments similaires sur la nécessité d'un accès légal aux informations sur demande : « Apple et Google ont défini ce problème comme étant deux propositions alternatives. Nous pouvons améliorer la confidentialité des utilisateurs ou accorder un accès légal, mais nous ne pouvons pas avoir les deux, estiment-ils. Et ils ont réussi à propager ce message, même si ce n'est pas vrai ». Pourtant, Vance n'a pas expliqué dans quelle mesure le chiffrement pourrait fonctionner seulement une partie du temps. Il s'est plutôt contenté de rappeler la situation avant 2014, lorsque différents mécanismes de sécurité sur les appareils ont été facilement supprimés.
En fait, il a fait un retour sur l'époque avant que le chiffrement de bout en bout ne soit largement disponible. Anticipant l'argument d'Apple selon lequel « il est impossible de conserver les clés pour ouvrir l'un de leurs appareils sans créer une faille que les cybercriminels pourraient eux-mêmes exploiter pour y accéder », Vance a rappelé que la société a reconnu que son processus de déverrouillage du téléphone d'avant 2014 n'avait jamais conduit à une violation de sécurité connue.
Mais l'élu a omis de citer des exemples où des systèmes d'accès légaux ont été utilisés par des cybercriminels. Comme indiqué dans un document de 2015 traitant de cette question, un mécanisme d'accès légal intégré dans un commutateur téléphonique exploité par Vodafone Grèce a permis à une partie inconnue d'espionner 100 membres du gouvernement grec, y compris le Premier ministre, le ministère de la Défense et le ministère de la Justice, pendant 10 mois en 2004 et 2005. Et lorsque des hackers chinois ont pénétré dans le système Gmail de Google en 2010, ils sont entrés par une porte dérobée créée pour se conformer aux mandats américains de perquisition.
Après avoir implicitement plaidé pour un retour à une époque où le chiffrement de bout en bout n'était pas largement accessible aux consommateurs, Vance a reconnu : « je ne suis pas un technologue, mais je suis convaincu que le problème peut également être résolu par une refonte de l'entreprise ». En bref, sa réponse au chiffrement est de ne pas avoir de chiffrement. Il souhaite un retour à une époque où Apple détenait les clés de ses produits et pouvait ainsi les fournir à la demande, pour le meilleur ou pour le pire.
Erik Neuenschwander, responsable de la confidentialité des utilisateurs chez Apple, a déclaré : « Nous ne connaissons pas de moyen de déployer un chiffrement qui n'offre un accès qu'aux bons, sans faciliter la pénétration des méchants ». Dans le même temps, il a noté qu'au cours des sept dernières années, Apple avait répondu à 127 000 demandes des forces de l'ordre américaines. Apple, a-t-il déclaré, partage l'objectif des forces de l'ordre de rendre le monde plus sûr et publie des conseils pour aider les forces de l'ordre à comprendre les données qu'Apple peut leur communiquer.
Jay Sullivan, directeur de la gestion des produits pour la confidentialité et l'intégrité dans Messenger chez Facebook, a également défendu la nécessité de maintenir un chiffrement efficace. « Nous pouvons être certains que si nous construisons une porte dérobée pour le gouvernement américain, d'autres gouvernements, y compris les régimes répressifs et autoritaires du monde entier, exigeront l'accès ou tenteront de l'obtenir clandestinement, notamment pour persécuter les dissidents, les journalistes et leurs opposants politiques ».
Il a également rejeté l'idée que la mise en œuvre du chiffrement sape l'engagement de Facebook à coopérer avec les exigences des forces de l'ordre. « Par exemple, le chiffrement n'aura aucun effet sur nos réponses aux demandes légales de fourniture de métadonnées, y compris les informations de localisation ou de compte potentiellement critiques », a-t-il déclaré. « Le chiffrement de bout en bout de Facebook n'interfère pas non plus avec la capacité des forces de l'ordre à récupérer les messages stockés sur un appareil ».
Essentiellement, l'accent mis sur le chiffrement masque d'autres façons de surveiller et d'obtenir des informations électroniques, par le biais d'écoutes téléphoniques traditionnelles, de vulnérabilités zero-day et de métadonnées, entre autres options. Matt Tait, professionnel de la cybersécurité et professeur à l'Université du Texas à Austin, a développé cette argumentation, notant dans son témoignage que « des options existent pour mener des écoutes téléphoniques et conserver des "cyber - indices" sans avoir besoin de modifier ou réglementer le chiffrement de bout en bout ».
Source : Cyrus Vance Jr (procureur de district de New York), MIT (2015), CNN (piratage de Gmail en 2010), Erik Neuenschwander (responsable de la confidentialité des utilisateurs chez Apple), Jay Sullivan (directeur de la gestion des produits pour la confidentialité et l'intégrité dans Messenger sur Facebook), Matt Tait (professionnel de la cybersécurité et professeur à l'Université du Texas à Austin)
Et vous ?
Qu'en pensez-vous ? Le chiffrement peut-il simultanément protéger les informations et les révéler à la demande ?
Que pensez-vous de la demande du procureur qui voudrait qu'Apple revienne au mode de fonctionnement consistant à détenir les clés pour accéder aux informations des dispositifs de clients ?
Voir aussi :
Facebook n'a pas l'intention d'affaiblir le chiffrement de ses applications de messagerie, pour donner un accès privilégié aux forces de l'ordre dans le cadre d'enquêtes
Une base de données renfermant des millions de SMS privés a été exposée en ligne sans aucun chiffrement, découverte faite par des chercheurs en sécurité de la société vpnMentor
Interpol envisage de condamner la propagation du chiffrement fort dans une déclaration au sein de laquelle l'Organisation va citer les difficultés à appréhender les prédateurs sexuels
Brian Acton, le cofondateur de WhatsApp, maintient qu'il faut quitter Facebook. Il reste sceptique quant à l'engagement de Mark Zuckerberg en matière de chiffrement
Le Sénat américain veut savoir si le chiffrement peut simultanément protéger les informations
Et les révéler à la demande
Le Sénat américain veut savoir si le chiffrement peut simultanément protéger les informations
Et les révéler à la demande
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !