États-Unis : la Silicon Valley s’érige contre une loi anti-chiffrement

Aux États-Unis, deux sénateurs ont publié un texte qui vient largement remettre en cause la force du chiffrement. Il imposerait aux entreprises de préparer une solution permettant le déchiffrement des données à la demande des forces de l’ordre. La Silicon Valley s’érige contre le texte, soutenue par plusieurs associations.

En tant que solution de sécurité, le chiffrement a prouvé son efficacité. Il est pourtant remis en cause un peu partout à cause de ses implications pour les forces de l’ordre. Des enquêtes ralenties ou bloquées, des procédures judiciaires qui n’avancent pas, un FBI à cran et réduit à utiliser des failles de sécurité pour passer outre, une collaboration presque honteuse de BlackBerry avec la gendarmerie canadienne : le contexte est pesant.

Un chiffrement largement sous tension

Si l’opposition très médiatisée d’Apple au FBI a bien mis en lumière un point, c’est le manque d’une législation claire qui instaurerait enfin un rôle précis au chiffrement, et quoi faire quand il devient une gêne dans les enquêtes. Il s’agit d’un véritable casse-tête car il ne semble exister aucune solution miracle : soit le chiffrement protège efficacement, soit il ne le fait pas. Les méthodes proposées jusqu’ici ont pratiquement toutes impliqué une forme de porte dérobée, dont on sait qu’elle serait tôt ou tard trouvée par des personnes malintentionnées.

Pourtant, tant qu’une telle législation ne sera pas mise en place, les entreprises – particulièrement américaines – se retrouveront dans des situations complexes. Apple n’a ainsi pas voulu être forcée de développer une solution qui aurait permis de contourner une défense instaurée dans iOS 9 sur un iPhone 5c, pour le compte du FBI. Le point majeur de sa défense était justement que l’agence se servait d’une loi dont, selon Cupertino, elle faisait une utilisation trop large. Un argument confirmé peu de temps après par un juge de New York dans une affaire impliquant un autre iPhone.

Forcer les entreprises à fournir les données réclamées

Pour en finir avec le flou juridique, deux sénateurs américains ont proposé un texte. Le républicain Richard Burr et la démocrate Dianne Feinstein sont ainsi les auteurs du « Compliance with Court Orders Act of 2016 » (CCOA), dont le titre annonce la couleur : les entreprises doivent s’exécuter quand un tribunal émet une ordonnance. Un outil que le FBI aurait sans doute aimé posséder il y a quelques mois, plutôt que de s’appuyer sur l’All Writs Act, nettement plus généraliste.

Le fait que le texte ait comme co-auteure Dianne Feinstein n’est pas anodin. La députée de Californie préside la commission du renseignement du Sénat des États-Unis depuis 2009, supervisant notamment les nombreux débats qui ont agité le pays dans le sillage des révélations d’Edward Snowden. Le texte est donc une surprise car elle avait pointé à plusieurs reprises les dangers qu’il y aurait à miner le chiffrement par des portes dérobées.

Évidemment, et comme le signale le sénateur Richard Burr sur son propre site, le texte a reçu le soutien des forces de l’ordre. Un support qui n’a rien d’étonnant puisque le CCOA supprimerait tout recours des entreprises aux requêtes formulées par la justice américaine, dès lors qu’un mandat est délivré en bonne et due forme par un juge. Dianne Feinstein s’en félicite également : « Puisque les terroristes et les criminels utilisent de plus en plus les appareils de communication chiffrés et les applications de messagerie pour éviter les actions des forces de l’ordre […], les communications chiffrées ne devraient pas être hors de portée de ces forces quand il y a ordonnance. Aucun individu ou entreprise n’est au-dessus de la loi ». Encore reste-t-il à définir la « loi ».

Quand des terroristes « complotent pour tuer des Américains »

Si le texte était en préparation depuis plusieurs mois, l’affaire San Bernardino lui donne une fenêtre de tir pour faire parler de lui. Les deux sénateurs ont beau répéter qu’un chiffrement fort est une garantie de protection pour les données personnelles, cela ne peut pas se faire au détriment de la sécurité : « nous avons aussi besoin de savoir quand des terroristes complotent pour tuer des Américains ».

Concrètement, que propose le texte pour concilier l’inconciliable ? Rien. Ni Richard Burr, ni Dianne Feinstein ne sont ingénieurs. Le CCOA revient en fait en partie sur les traces de la loi fameuse loi CALEA II, celle-là même qui avait été rejetée par le Congrès l’année dernière et qui aurait imposé aux entreprises fournissant des services de communication d’aider les forces de l’ordre, sans recours.

Là encore, la porte reste ouverte. Aucune solution technique n’est avancée, le texte mettant simplement un cadre d’exécution aux requêtes dument mandatées. Traduction : à charge pour les entreprises de trouver elle-même la solution. A minima, cela imposerait l’utilisation d’une clé de déchiffrement globale pour l’ensemble des services en ligne, alors même que le chiffrement de bout-en-bout se répand petit à petit. WhatsApp a ainsi annoncé son activation il y a quelques semaines, Viber ayant suivi hier.

Un texte poliment torpillé par la Silicon Valley

Comme on pouvait s’y attendre, le texte a déjà de nombreux adversaires, dans pratiquement tous les camps. Comme le rapporte Reuters, le président Barack Obama lui-même a annoncé qu’il ne le soutiendrait pas. Une position pas si surprenante, car s’il avait appelé de ses vœux les entreprises à coopérer avec les forces de l’ordre. Il espérait que cela se ferait avant que les politiques entrent en piste avec des textes « lourds ».

Du côté de la Silicon Valley et plus généralement des entreprises américaines, c’est le branle-bas de combat. Les membres de la coalition Reform Government Surveillance (Apple, Dropbox, Facebook, Google, Microsoft, Twitter, Yahoo et autres) ont ainsi publié hier une lettre ouverte. Elle est également cosignée par trois autres associations : la Computer and Communications Industry Association, l‘Internet Infrastructure Coalition, et l’Entertainment Software Association.

Adressée aux deux sénateurs, elle pointe les dangers de ce texte. « La conséquence d’une telle obligation est qu’elle forcera les entreprises à prioriser les accès gouvernementaux au détriment d’autres considérations, notamment la sécurité numérique. Résultat, durant la conception des produits ou services, les entreprises pourraient être forcées de prendre des décisions qui créeraient des opportunités d’exploitation par des tiers malveillantes cherchant à nuire à nos clients et que nous voulons tous stopper. […] Ce mandat signifierait qu’à l’instant où une société ou un particulier décide d’utiliser une technologie de chiffrement, elle devrait avoir été conçue pour permettre à certaines tierces parties d’y avoir accès. Cet accès pourrait à son tour être exploité par des tiers malveillantes ».

Des arguments entendus ad nauseam, mais dont la portée n’est apparemment pas perçue par les auteurs. Tout comme le suivant : si de telles modifications doivent être mises en place, il sera impossible de les limiter au seul bénéfice des forces de l’ordre américaines. Tous les gouvernements s’engouffreront dans la brèche et réclameront le même type d’accès. Avec le danger, agité comme un signe annonciateur d’impact économique, que les utilisateurs aillent se servir dans d’autres pays.

Le projet a peu de chances de se concrétiser

Cela étant, le texte a de fortes chances de ne pas être soutenu au Congrès. Le sénateur Ron Wyden, pourtant allié de Richard Burr sur une grande partie des sujets, a indiqué dans un tweet la semaine dernière qu’il ferait tout ce qui est en son pouvoir pour bloquer la proposition de loi. Il avertit d’un danger inhérent : « Ce texte anti-chiffrement rendrait en réalité hors-la-loi les technologies utilisées par les Américains pour se protéger ».

Mais même si le texte ne passe pas, ce qui a évidemment de grandes chances de se produire, il illustre bien une situation instable. Le curseur va continuer de se déplacer entre la protection de la vie privée, désormais pleinement installée comme argument commercial par les entreprises (surtout celles du cloud), et la sécurité. Les forces de l’ordre auront toujours des enquêtes à mener, et si le chiffrement doit encore se renforcer, les cas de blocage ne feront que s’accumuler. Une tendance qui ne pourra qu’accentuer la pression sur la recherche des failles 0-day, comme on a pu le voir avec la solution finalement trouvée par le FBI pour obtenir les données coincées dans l’iPhone 5c de San Bernardino.

Rappelons qu’en France, le projet de loi sur la réforme pénale prévoit une hausse des peines encourues par les personnes physiques ou morales qui refuseraient d’aider les forces de l’ordre. C’est particulièrement le cas de tout constructeur qui ne fournirait pas à la justice des données protèges par une solution dont il est le concepteur, notamment dans le cadre de la lutte anti-antiterroriste et contre le crime organisé.