Session, une application de messagerie chiffrée qui prône une confidentialité absolue, a pris la décision de déplacer ses opérations hors de l'Australie et de se relocaliser en Suisse. Cette décision fait suite à une visite inattendue de la police fédérale australienne au domicile d'un employé de Session, où des questions ont été soulevées concernant l'application et un utilisateur en particulier. Bien que les détails de cette visite n'aient pas été divulgués en intégralité, l'événement a jeté une ombre sur l'engagement du gouvernement australien envers la protection de la vie privée numérique.L'Assistance and Access Bill (ou loi d'assistance et d'accès), officiellement connue sous le nom de Telecommunications and Other Legislation Amendment (Assistance and Access) Act 2018, est une législation australienne adoptée en décembre 2018. Cette loi vise à donner aux agences de sécurité et de maintien de l'ordre les outils nécessaires pour accéder aux données numériques dans le cadre de leurs enquêtes, tout en respectant la confidentialité et la sécurité des communications chiffrées.
Principaux objectifs de la loi
- Améliorer la coopération avec l'industrie : La loi vise à renforcer la coopération entre les agences de sécurité et les entreprises fournissant des services de communication.
- Améliorer les pouvoirs d'accès aux ordinateurs : Elle permet aux agences de demander une assistance spécifique pour accéder aux données nécessaires à leurs enquêtes.
- Surveillance ciblée et proportionnée : Les mesures introduites par la loi sont censées être ciblées, proportionnées et soumises à un contrôle indépendant.
Points critiques
La loi a suscité des débats sur le sujet de la vie privée et de la sécurité numérique. Certains craignent que cette législation puisse être utilisée pour forcer les entreprises à créer des vulnérabilités dans leurs systèmes de chiffrement, ce qui pourrait compromettre la sécurité des données des utilisateurs. Cependant, les partisans de la loi soutiennent qu'elle est nécessaire pour lutter contre le crime et le terrorisme dans l'ère numérique.
Réactions et implications
La loi a reçu des réactions mitigées de la part de diverses parties prenantes, y compris des entreprises technologiques, des groupes de défense des droits de l'homme et des experts en cybersécurité. Certains craignent que cette législation puisse nuire à la confiance des utilisateurs dans les services de communication sécurisés, tandis que d'autres la voient comme une étape nécessaire pour garantir la sécurité nationale.
Le pionnier de la cryptographie Whitfield Diffie a déclaré que la loi australienne ne sera pas « productive ». « Je pense que le problème est en gros le suivant : il est en fait facile de perturber l'utilisation de la cryptographie par des organisations commerciales légitimes à grande échelle pour leur causer beaucoup de problèmes, mais il n'est pas certain que ces techniques causeront autant de problèmes aux terroristes, par exemple », a déclaré Diffie. « Donc je pense que c'est une étape qui ne sera pas productive », a-t-il ajouté.
Paul Kocher, chercheur indépendant dans le domaine de la sécurité, lui a emboîté le pas et a dépeint les limites de la loi anti-chiffrement australienne. Kocher s’en est pris, en particulier, à la section de la loi qui permet aux forces de l'ordre de cibler des employés individuels pour affaiblir secrètement les systèmes et ensuite ne le dire à personne, y compris à leur propre employeur, sous peine d'une peine importante de prison.
« La nouvelle loi australienne peut mettre les développeurs en prison s'ils refusent de mettre des portes dérobées dans leurs produits ou s'ils disent à qui que ce soit qu'ils l'ont fait », a déclaré M. Kocher, avant d’ajouter que « Pour moi, c'est 100 % à l'envers ». Selon Kocher, « Si quelqu'un devait aller en prison, ce sont les développeurs qui se faufilent à travers les portes dérobées des produits et ne disent pas à leurs managers et à leurs clients qu'ils l'ont fait ».
Le cas de Session
Session, une petite application de messagerie chiffrée de plus en plus populaire, transfère ses activités en dehors de l'Australie après que les autorités fédérales chargées de l'application de la loi se sont rendues au domicile d'un employé et lui ont posé des questions sur l'application et sur un utilisateur particulier. Désormais, Session sera géré par une entité en Suisse.
Cette décision témoigne de la pression croissante exercée sur les gestionnaires d'applications de messagerie chiffrée, à la fois par les gouvernements qui cherchent à obtenir davantage de données sur les utilisateurs de l'application et par les sociétés d'applications de messagerie elles-mêmes, comme l'a montré l'arrestation du PDG de Telegram au mois d'août.
« En fin de compte, nous avons eu le choix entre rester en Australie ou nous installer dans une juridiction plus respectueuse de la vie privée, comme la Suisse. Pour que le projet se poursuive, il ne pouvait pas être centré sur l'Australie », a déclaré Alex Linton, président de la Session Technology Foundation (STF), nouvellement créée, qui publiera l'application Session. L'application fonctionnera toujours en Australie, a ajouté Linton.
Lancée pour fournir un service de messagerie hautement sécurisé et décentralisé, Session a attiré un public croissant, atteignant récemment un million d'utilisateurs actifs. La particularité de Session réside dans sa capacité à anonymiser les métadonnées des utilisateurs et à éviter les points de faiblesse centralisés souvent exploités dans les autres applications de messagerie.
La visite de la police
Linton a indiqué que l'année dernière, la police fédérale australienne avait rendu visite à un employé de la Session à son domicile dans le pays. « Il n'y a pas eu de mandat ni de réunion organisée, ils sont simplement entrés dans leur complexe d'appartements et ont frappé à leur porte d'entrée », a déclaré Linton. La police fédérale a posé des questions sur l'application et la société Session, ainsi que sur les antécédents de l'employé dans le cadre du projet, a ajouté Linton. Les agents ont également posé des questions sur une enquête en cours concernant un utilisateur spécifique de Session, a-t-il ajouté.
Linton a montré aux médias un courriel envoyé par les représentants légaux de Session à la police fédérale, qui reflète cette série d'événements. Une partie de la frustration de Session concernant l'incident est venue du fait que la police a décidé de « rendre visite à un employé à son domicile plutôt que d'organiser une réunion par le biais de nos canaux appropriés (publiquement disponibles) », a déclaré Linton.
« Ils ont fini par vouloir organiser une autre réunion, au cours de laquelle ils ont posé des questions beaucoup plus techniques sur Session et des questions plus générales sur le développement futur », a ajouté Linton.
De son côté, la police a déclaré être « au courant de [l'existence de] l'application Session » et avoir « vu l'utilisation de Session par des délinquants pendant qu'ils commettaient des délits graves dans le Commonwealth ». Cependant, elle a refusé de commenter spécifiquement l'incident impliquant l'employé.
Relocalisation en Suisse
La Session Technology Foundation (STF), nouvellement formée et basée en Suisse, dirigera désormais toutes les opérations de Session. Alex Linton, président de la STF, a souligné que ce déménagement était essentiel pour permettre à l'application de continuer à fonctionner de manière indépendante et sans entrave. La Suisse, connue pour ses lois strictes en matière de confidentialité et de protection des données, semble offrir un environnement plus favorable à l'innovation technologique en matière de chiffrement.
Session est différente des autres plateformes technologiques : elle ne dépend pas d'une seule personne. Au contraire, elle fonctionne sur la base d'un protocole décentralisé conçu dans un but précis : la préservation et la protection de la vie privée. Le code de Session est entièrement ouvert et ses serveurs sont exploités par une communauté diversifiée d'opérateurs du monde entier. Il s'agit d'un protocole de communication véritablement décentralisé.
Cependant, un steward est toujours nécessaire pour s'acquitter de tâches telles que la publication dans les magasins d'applications, la maintenance des référentiels et la rédaction de la documentation. Le rôle de l'intendant n'est pas de posséder ou de contrôler la session, mais de la guider et de la soutenir. Cependant, compte tenu de l'environnement réglementaire actuel en Australie concernant les technologies de protection de la vie privée et la messagerie cryptée, le gestionnaire initial de Session, l'OPTF, a choisi de transmettre ses responsabilités en tant que gestionnaire du projet.
Désormais, Session sera géré par une nouvelle fondation suisse, la Session Technology Foundation.
Le modèle de fondation suisse est aligné sur la mission de Session, et la Fondation technologique de Session apporte stabilité et sécurité en tant que nouveau gestionnaire de Session.
La Suisse offre certaines des réglementations les plus strictes au monde en matière de protection de la vie privée, ce qui permet à de nombreux créateurs de technologies de protection de la vie privée, comme Proton, Threema et Nym, de s'y installer. C'est un pays qui a une longue tradition de respect de la vie privée et d'encouragement de l'innovation technologique.
Cependant, un steward est toujours nécessaire pour s'acquitter de tâches telles que la publication dans les magasins d'applications, la maintenance des référentiels et la rédaction de la documentation. Le rôle de l'intendant n'est pas de posséder ou de contrôler la session, mais de la guider et de la soutenir. Cependant, compte tenu de l'environnement réglementaire actuel en Australie concernant les technologies de protection de la vie privée et la messagerie cryptée, le gestionnaire initial de Session, l'OPTF, a choisi de transmettre ses responsabilités en tant que gestionnaire du projet.
Désormais, Session sera géré par une nouvelle fondation suisse, la Session Technology Foundation.
Le modèle de fondation suisse est aligné sur la mission de Session, et la Fondation technologique de Session apporte stabilité et sécurité en tant que nouveau gestionnaire de Session.
La Suisse offre certaines des réglementations les plus strictes au monde en matière de protection de la vie privée, ce qui permet à de nombreux créateurs de technologies de protection de la vie privée, comme Proton, Threema et Nym, de s'y installer. C'est un pays qui a une longue tradition de respect de la vie privée et d'encouragement de l'innovation technologique.
Analyse critique
Bien que le déménagement de Session en Suisse soit présenté comme une victoire pour la confidentialité, certains critiques soutiennent qu'il pourrait s'agir d'un double tranchant. D'un côté, la Suisse offre un cadre réglementaire plus favorable, mais cette décision pourrait également isoler l'application de son marché domestique et des utilisateurs australiens qui ont été les premiers à adopter ce service.
Les implications pour la sécurité et la vie privée
Ce déménagement pose également des questions plus larges sur l'équilibre entre sécurité nationale et vie privée. Alors que les gouvernements du monde entier cherchent à renforcer les mesures de surveillance pour des raisons de sécurité, les applications de messagerie chiffrée comme Session se retrouvent à naviguer dans un paysage juridique de plus en plus complexe. La relocalisation de Session pourrait ainsi être vue comme une étape vers une plus grande fragmentation du secteur de la technologie en fonction des juridictions nationales, ce qui pourrait compliquer davantage la protection de la vie privée des utilisateurs à l'échelle globale.
Sources : Session Technology Foundation, Telecommunications and Other Legislation Amendment (Assistance and Access) Act
Et vous ?
Pensez-vous que la relocalisation de Session en Suisse améliore réellement la sécurité et la confidentialité des utilisateurs ? Pourquoi ? Dans quelle mesure les gouvernements devraient-ils intervenir pour accéder aux données chiffrées en cas de menace à la sécurité nationale ? La réglementation australienne concernant la vie privée et la sécurité numérique est-elle trop stricte ou adéquate à votre avis ? Comment cette décision de Session pourrait-elle influencer d'autres applications de messagerie chiffrée en Australie et ailleurs ? Selon vous, quels sont les avantages et les inconvénients d'utiliser une application de messagerie chiffrée comme Session ?