Le ministère américain de la Justice a signé une nouvelle déclaration internationale mettant en garde contre les dangers du chiffrement et appelant à un effort à l'échelle de l'industrie pour permettre aux forces de l'ordre d'accéder aux données chiffrées une fois qu'un mandat a été obtenu. Les États-Unis - dont une nouvelle loi en élaboration traite de cette question - ont été rejoints dans cet effort par des fonctionnaires représentant le Royaume-Uni, l'Australie, la Nouvelle-Zélande, le Canada, l'Inde et le Japon, selon un communiqué de presse publié par le DOJ dimanche.Le communiqué cosigné par les membres de l'alliance de partage de renseignements Five Eyes (qui regroupe les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande), ainsi que des représentants des gouvernements japonais et indien, appelle les entreprises technologiques à trouver une solution permettant aux forces de l'ordre d'accéder à des communications chiffrées de bout en bout. Leur solution devrait également garder le niveau actuel de protection des utilisateurs.
La déclaration conjointe commence par reconnaître la valeur du chiffrement pour la protection de la liberté d'expression dans le monde entier, en citant un rapport de la Commission des droits de l'homme des Nations unies datant de 2017. Mais la déclaration ne tarde pas à commencer à énumérer les problèmes ostensiblement posés par cette technologie.
« Des mises en œuvre particulières de la technologie de chiffrement posent cependant des défis importants à la sécurité publique », peut-on lire dans la déclaration. « Nous demandons instamment à l'industrie de répondre à nos graves préoccupations lorsque le chiffrement est appliqué d'une manière qui empêche totalement tout accès légal au contenu ».
Cette déclaration est le dernier effort des Five Eyes pour amener les entreprises technologiques à accepter d’implémenter des portes dérobées dans leurs produits. En 2018 et 2019, cette alliance anti-chiffrement a exprimé des craintes similaires dans un mémo ouvert aux entreprises technologiques, bien que ce mémo n'ait entraîné que peu ou pas de progrès de la part de l'industrie sur cette question. Tout comme auparavant, les responsables gouvernementaux affirment dans leur déclaration que les entreprises technologiques se sont mises dans une impasse en intégrant le chiffrement de bout en bout (E2EE) dans leurs produits.
S'il est correctement mis en œuvre, E2EE permet aux utilisateurs d'avoir des conversations sécurisées - qu'il s'agisse de chat, d'audio ou de vidéo - sans avoir à partager la clé de chiffrement avec les sociétés technologiques. A chaque appel, les entreprises technologiques ont insisté sur le fait que toute porte dérobée construite pour l'application de la loi serait inévitablement la cible de criminels, et laisserait finalement les utilisateurs moins en sécurité.
Les signataires affirment que « certaines implémentations de la technologie de chiffrement » posent actuellement des problèmes aux enquêtes des services de répression, car les plateformes technologiques elles-mêmes ne peuvent pas accéder à certaines communications et fournir les données nécessaires aux enquêteurs. Ce qui permet d'offrir, selon les signataires, un refuge aux activités criminelles et met en danger la sécurité des « membres très vulnérables de nos sociétés comme les enfants exploités sexuellement », ont affirmé les fonctionnaires.
Un projet anti-chiffrement pour protéger les enfants et les victimes de la traite des êtres humains en cours d’adoption aux États-Unis
EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies) Act est un projet de loi américain qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne. En juillet 2020, le comité judiciaire du Sénat a adopté une version modifiée du projet de loi EARN IT. Le projet de loi tout entier est désormais en lecture dans la Chambre des représentants.
Selon la Global Crypto Press (GCP), si le gouvernement américain n’a peut-être pas pensé à sa frustration passée à l'égard de grandes entreprises technologiques - comme Apple, qui a refusé de déverrouiller un téléphone appartenant à un terroriste présumé, et Facebook qui a insisté pour que les messages entre les utilisateurs de WhatsApp restent chiffrés - en écrivant ce projet, EARN IT se trouve à résoudre tous leurs problèmes. Bien que le langage du projet de loi se concentre sur la protection des enfants, le résultat final est le pouvoir de déchiffrer les données chiffrées.
Le projet de loi crée une commission composée du procureur général des États-Unis et des forces de l'ordre qui déterminerait un ensemble de "meilleures pratiques" qu'une entreprise suivrait pour détecter, puis fournir des preuves d'une conduite illégale se produisant sur leurs appareils ou plateformes en ligne. Ces politiques de bonnes pratiques ne sont pas encore connues, mais selon la GCP, on peut affirmer sans risque de se tromper qu'elles n'accepteront pas comme réponse « nous ne pouvons pas voir le contenu des messages, car ils sont chiffrés ».
Cette mesure aura certainement des implications majeures en matière de cybersécurité. En effet, alors qu'une porte dérobée peut être créée uniquement à des fins répressives, cette même porte dérobée existe désormais pour que les pirates informatiques puissent la cibler et tenter de s'y introduire par leurs propres moyens, selon l’association GCP. Cependant, si la loi est adoptée, les entreprises seront obligées de créer des "trous de sécurité" dans leurs applications et leur matériel.
Dans le cas contraire, elles risquent de perdre la protection de l'article 230 de la loi sur la décence des communications, qui stipule qu’ « aucun fournisseur ou utilisateur d'un service informatique interactif ne doit être traité comme l'éditeur ou le locuteur d'une information fournie par un autre fournisseur de contenu informatif ». En d’autres termes, les entreprises pourraient être accusées de délits comme si elles étaient une partie volontaire impliquée dans la publication du contenu illégal.
Selon la GCP, les cryptomonnaies seraient certainement une cible, car elles utilisent le chiffrement pour cacher les adresses des portefeuilles et la taille des transactions, et tout établissement s’appuyant sur elles pour faire des affaires aux États-Unis risquerait de devenir responsable de tout crime ayant utilisé leur marché et l'un de leurs jetons.
Passer à travers le chiffrement de bout en bout, mais aussi à travers tous les services chiffrés disponibles
Selon la déclaration conjointe publiée lundi, les États-Unis et les six autres pays ne cherchent pas seulement à accéder à des données chiffrées en transit - comme le chiffrement de bout en bout utilisé par WhatsApp -, mais aussi à des données stockées localement comme le contenu d'un téléphone. C’est justement cette possibilité qui a manqué au FBI dans l’affaire de chiffrement qui l’a opposé à Apple en 2016 à San Bernardino.
« Bien que cette déclaration se concentre sur les défis posés par le chiffrement de bout en bout, cet engagement s'applique à toute la gamme des services chiffrés disponibles, y compris le chiffrement des appareils, les applications chiffrées personnalisées et le chiffrement sur les plateformes intégrées », poursuit le document. « Nous contestons l'affirmation selon laquelle la sécurité publique ne peut être protégée sans compromettre la vie privée ou la cybersécurité ».
« Nous appelons les entreprises technologiques à travailler avec les gouvernements pour prendre les mesures suivantes, axées sur des solutions raisonnables et techniquement réalisables », ont déclaré les sept gouvernements dans leur communiqué de presse :
- Intégrer la sécurité du public dans la conception des systèmes, permettant ainsi aux entreprises d'agir efficacement contre les contenus et les activités illégales sans réduire la sécurité, et facilitant les enquêtes et les poursuites des infractions et la protection des personnes vulnérables ;
- Permettre aux services de répression d'accéder au contenu dans un format lisible et utilisable lorsqu'une autorisation est légalement délivrée, lorsqu’elle est nécessaire et proportionnée et qu'elle est soumise à des garanties et à une surveillance strictes ;
- Engager des consultations avec les gouvernements et les autres parties prenantes pour faciliter les accès légaux d'une manière qui soit substantielle et qui influence réellement les décisions de conception.
Selon la GCP, le seul véritable résultat final de la mise en œuvre de EARN IT Act serait un dommage majeur pour l'économie américaine - car la seule façon de s'assurer qu'il n'y a pas de failles de sécurité dans votre logiciel serait d'éviter tout logiciel développé par une société américaine, une fois que la loi sera mise en œuvre. C’est d’ailleurs pour cela que les États-Unis interdisent actuellement les logiciels et le matériel informatique fabriqués en Chine, en accusant les entreprises à l’origine d’espionner les Américains et de travailler pour le gouvernement chinois.
Mais cela risque de se produire aux États-Unis, vu que le processus d’adoption de la loi va de l’avant. L'Electronic Frontier Foundation a lancé une campagne de signatures pour les utilisateurs basés aux États-Unis afin d'encourager leurs représentants à rejeter le projet de loi.
Source : Déclaration des sept gouvernements
Et vous ?
Que pensez-vous de cette nouvelle tentative de forcer l’accès aux données chiffrées ? Le nombre de pays impliqués dans la lutte anti-chiffrement augmente. Peut-on dire que le chiffrement est vraiment en danger ? Que va-t-il se passer, selon vous, si les entreprises sont obligées de créer des "trous de sécurité" destinés aux autorités dans leurs applications et leur matériel ?Voir aussi :
USA : le projet de loi EARN IT désormais en lecture dans la Chambre des représentants. Des défenseurs des droits numériques craignent une menace sur le chiffrement et la liberté d'expression L'Australie adopte son projet de loi anti-chiffrement sans amendements, malgré les protestations de l'industrie technologique Le DOJ prévoit de frapper le chiffrement alors que le fer du « Techlash » est chaud, en espérant que la loi anti-chiffrement australienne facilitera l'adoption d'une loi similaire aux USA Signal, une plateforme de messagerie chiffrée, menace de se retirer du marché américain, si le projet de loi anti-chiffrement EARN IT est adopté 
