États-Unis : des sénateurs tentent de protéger le chiffrement contre les portes dérobées

Et ce n'est pas suffisant 20
image dediée
Crédits : zmeel/iStock
Securité

Aux États-Unis, deux sénateurs proposent un nouveau projet de loi pour protéger le chiffrement. Un mouvement qui permettrait de court-circuiter au niveau fédéral les tentatives actuelles de limiter le chiffrement dans certains États, notamment celui de New York et en Californie.

Mi-janvier, l’État de New York a proposé d’interdire la vente d’appareils mobile dont le chiffrement serait trop fort pour être contourné par qui que ce soit. Une semaine plus tard, une proposition équivalente apparaissait en Californie, avec les mêmes ambitions. Dans les deux cas, les textes insistaient sur l’obligation de briser de vrais blocages rencontrés par les forces de l’ordre, parfois dans l’impasse à cause d’un manque de moyens ou tout simplement parce que la technologie ne peut actuellement plus être rattrapée.

Deux textes qui illustraient alors une thématique qui n’a de cesse de revenir sur le devant la scène, et d’autant plus depuis les premières révélations issues des documents dérobés par Edward Snowden à la NSA. Une énième reprise de la problématique du curseur : où le placer entre sécurité publique et respect de la vie privée ? Mais tout le monde n’est pas de cet avis. Deux sénateurs viennent ainsi de proposer un texte qui agirait au niveau fédéral pour protéger le chiffrement.

Les portes dérobées en embucasde

Une telle loi manque actuellement dans la législation américaine. On se souvient qu’il a été de nombreuses fois question d’intégrer des portes dérobées dans les solutions de chiffrement afin que les forces de l’ordre et les agences de renseignement puissent faire leur travail. La Maison Blanche avait finalement indiqué que de telles solutions ne seraient pas adoptées, sans que cet avis ne soit accompagné d’un véritable engagement écrit, et surtout d’un texte protégeant une technologie que beaucoup souhaitaient miner.

Voilà justement l’objectif des sénateurs républicains Ted Lieu (Californie) et Blake Farenthold (Texas). Dans leur proposition, ils souhaitent protéger le chiffrement contre les tentatives de « minage » qui, d’une manière ou d’une autre, l’affaibliraient. Ils veulent bien entendu éviter toute velléité de porte dérobée, les tenants de cette solution n’ayant, selon eux, pas compris grand-chose aux problématiques modernes de la sécurité. Le nom même du projet est tout un symbole : l'ENCRYPT Act, pour « Ensuring National Constitutional Rights for Your Private Telecommunications ».

Le gouvernement incapable de montrer l'exemple

C’est en particulier l’avis de Ted Lieu, qui a déclaré à Ars Technica : « Il est particulièrement clair pour moi que ceux qui demandent une clé de porte dérobée pour le chiffrement ne comprennent pas la technologie. Vous ne pouvez pas avoir une telle clé pour le FBI. Soit des pirates la trouveront, soit le FBI se la fera voler ». Et de citer le cas récent piratage du Département de la Justice qui aurait abouti à la publication d’informations personnelles sur 20 000 agents du FBI. Ted Lieu enfonce le clou : « Si nos agences gouvernementales ne sont pas capables de protéger 20 millions d’enregistrements à la sécurité si sensible, je ne vois pas comment notre gouvernement pourrait garder ces clés de chiffrement en sécurité ».

C’est évidemment ici qu’est le cœur du problème, comme répété de nombreuses fois. Pour qu’une solution basée sur les portes dérobées soit viable, il faudrait garantir que les clés servant à les exploiter aient la garantie d’être protégées et de ne pas pouvoir être trouvées. Or, une telle garantie est impossible. Une porte, aussi protégée qu’elle le soit, pourra toujours être trouvée, et ce ne sera alors qu’une question de temps avant que la clé ne soit déduite.

Un problème que l’Electronic Frontier Foundation résume, tout en se félicitant de la nouvelle proposition de loi : « Je pense que nous avons des législateurs aux niveaux étatique et fédéral qui écoutent les experts quand ils disent qu’il est impossible aux fournisseurs et constructeurs de donner accès aux données sans affaiblir du même coup le chiffrement » indique ainsi l’avocat Andrew Crocker. « Nous avons également des législateurs qui proposent à la place des « solutions » vagues et/ou inefficaces au problème fondamental. C’est tout le souci de ces Crypto Wars : les pro-chiffrement ont tout le poids de l’expertise technique et pratique. Les antis répètent que ça peut être fait, sans jamais dire comment ».

Une lente maturation 

Le sénateur Ted Lieu n’en est pas à son premier « coup d’éclat ». Il s’en était pris l’année dernière à Daniel Conley, procureur de Suffolk County, quand ce dernier avait indiqué devant le Congrès que des entreprises comme Apple et Google aidaient les criminels avec leur chiffrement. Un avis qui faisait largement écho à celui d’Eric Holder, ancien directeur du Département de la Justice, ainsi qu’à celui de James Comey, directeur du FBI, qui ne comprenait pas comment ces entreprises pouvaient faire « la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Lieu s’était alors contenté de lui répondre qu’il n’avait qu’à « suivre cette fichue Constitution ».

Le contexte évolue cependant doucement. Plus récemment, James Baker, conseiller général du FBI, indiquait que le « génie du chiffrement » était « sorti de sa bouteille ». Il y a environ deux semaines, c’est le directeur de la NSA en personne, l’amiral Mike Rogers, qui expliquait que le chiffrement était là, que débattre de son utilité était « une perte de temps » et qu’il fallait plutôt travailler sur une infrastructure légale qui permettrait aux forces de l’ordre de faire leur travail, sans plus parler de portes dérobées. Il ne proposait cependant aucune solution concrète.

Le texte bloquerait les portes dérobées, mais pas l'interdiction de vente

La question est de savoir bien sûr si le nouveau projet de loi aurait effectivement les capacités suffisantes pour protéger le chiffrement face aux multiples attaques dont il est souvent la cible. Son point central est d’interdire toute « conception ou altération des fonctions de sécurité dans le seul d’autoriser une surveillance des utilisateurs ». Aucun État ou subdivision politique de ce dernier ne pourrait également réclamer le déchiffrement d’une information par le constructeur et qui serait, sans ce moyen, inaccessible.

Les protections sont particulièrement claires, mais elles ne court-circuitent pour autant pas complètement les propositions de lois dans les états de New York et de Californie. C’est ce que fait remarquer Amie Stepanovich, l’une des responsables d’Access Now, une association de défense des libertés civiles, notant que les deux textes « sont prévus pour bloquer la vente d’appareils possédant un chiffrement fort ». En d’autres termes, l’éventuelle nouvelle loi fédérale empêcherait les États de réclamer des modifications, mais ne leur enlèverait pas le droit de supprimer des étalages les smartphones qui ne leur plaisent pas, ou d’essayer.

Le sort du chiffrement est dans tous les cas toujours sur la sellette. Son avenir est souvent remis en question, prisonnier entre une nécessité générale de protection et celle de laisser les forces de l’ordre faire leur travail. En guise d’illustration, on rappellera qu’un tribunal fédéral de New York réclamait à Microsoft des données stockées dans le cloud, à cause d’un smartphone verrouillé et impliqué dans une enquête criminelle. La firme a jusqu’ici résisté, arguant que les données se trouvaient dans des serveurs irlandais, donc hors de portée de la justice américaine. Des problématiques nouvelles auxquelles la police et les gouvernements tentent de répondre, y compris en France avec la récente loi sur le renseignement.

Publiée le 10/02/2016 à 16:50
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...