Un sénateur américain souhaite désormais que soient interdites les portes dérobées dans les produits capables d’en avoir. Sa proposition de loi vise à court-circuiter une partie du travail des forces de l’ordre et des agences de renseignement, afin de garantir que les données des citoyens soient bel et bien protégées.
L'accroissement du chiffrement des données fait craindre le pire au FBI
Depuis qu’Apple et Google ont annoncé un renforcement significatif du chiffrement des données au sein de leurs systèmes mobiles respectifs, le FBI craint de véritables problèmes au sein des enquêtes. Son directeur, James Comey, avait révélé ses craintes en septembre : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Des membres du FBI s’étaient même rendus au sein des deux entreprises « pour comprendre leur optique et pourquoi elles pensent que tout ceci a du sens ».
Dans un communiqué datant du 16 octobre, James Comey avait davantage détaillé son point de vue. Il indiquait que le chiffrement des données pouvait tout autant être utilisé par les pirates et les terroristes pour se protéger eux-mêmes des tentatives de détection des forces de l’ordre. Il estimait que le FBI était en danger de plonger « dans l’obscurité » si rien n’était fait pour s’adapter à cette nouvelle situation. « Les deux entreprises sont conduites par des gens biens, répondant ainsi à ce qu’ils perçoivent comme une demande du marché. Mais ils nous emmènent dans un lieu dans lequel nous ne devrions pas aller sans une réflexion approfondie et un débat en tant que pays ».
Pour James Comey, le grand public se fait une idée très exagérée des capacités du FBI en termes de suivi des informations, de leur capture et de leur déchiffrement. Voilà selon lui où réside le danger : si rien n’est fait, les enquêtes seront sérieusement plus complexes à résoudre dès qu’un ordinateur, un smartphone ou encore une tablette seront impliqués. Il proposait donc que la loi CALEA (Communications Assistance for Law Enforcement Act) soit adaptée : âgée de vingt ans, elle permet de forcer les entreprises à mettre en place un système de suivi ou d’écoute, mais la progression de la technologie rend, pour le directeur du FBI, le texte presque caduc. Et pour cause, puisque ni Apple, ni Google ne sont en capacité de déchiffrer eux-mêmes les données.
Interdire les portes dérobées réclamées par les agences gouvernementales
Mais là où Comey parle d’adaptation, le sénateur Ron Wyden, de l’Oregon, n’hésite pas à parler de portes dérobées. Dans un communiqué publié hier, il propose un texte de loi, baptisé Secure Data Act, qui interdirait aux agences fédérales d’exiger l’ouverture de backdoors dans les logiciels et produits électroniques américains.
« Un chiffrement fort et une solide défense informatique sont les meilleurs moyens de préserver les données des Américains des pirates et menaces étrangères. Ce sont les meilleurs moyens de protéger nos droits constitutionnels à une époque où la vie entière d’une personne peut être trouvée sur son smartphone. Et une sécurité informatique forte peut reconstruire la confiance des clients, qui a été malmenée par des années de déclarations mensongères des agences de renseignement au sujet de la surveillance de masse des Américains. Cette proposition de loi envoie un message aux dirigeants de ces agences pour qu’ils arrêtent de trouver sans cesse de nouvelles manières d’aspirer les données privées américaines, et pour qu’ils investissent à la place cette énergie dans la reconstruction de la confiance du public » indique ainsi le sénateur.
Comment contenter tout le monde ?
L’équation sera particulièrement difficile à résoudre : comment placer le curseur sur une ligne allant de la préservation totale de la vie privée aux nécessités de pouvoir enquêter en cas de menace ? Mais Wyden rappelle qu’une fois une porte dérobée ouverte dans un produit, rien n’empêche un tiers de la trouver et de l’exploiter. Il s’agit donc de failles de sécurité permanentes qui peuvent se retourner contre leurs créateurs, et donc contre les utilisateurs.
Pour le sénateur, il y a deux conséquences majeures à ces portes dérobées. Premièrement, une baisse des investissements potentiels dans la sécurité générale, les entreprises étant moins enclines à concevoir de nouvelles solutions si elles doivent dès le départ les saborder. Deuxièmement, une érosion renforcée de la confiance des utilisateurs. Les agences ne devraient donc pas être autorisées à pouvoir exiger des entreprises de telles brèches dans les murailles de leurs produits. La proposition de loi, telle qu’elle est rédigée actuellement, ne contient cependant aucun chapitre « punitif ». Elle établit bien que les agences ne peuvent certes pas forcer une entreprise, mais ne prévoit rien dans le cas où elles le feraient quand même.
Reste que le Secure Data Act illustre très clairement le contexte actuel aux États-Unis et la réflexion menée actuellement sur l’impact du chiffrement, à la fois sur le grand public et sur les forces de l’ordre.
