Il existe actuellement une vraie bataille entre les grandes entreprises technologiques et les forces de l’ordre aux États-Unis autour du chiffrement des données. Les unes veulent garder leurs clients en chiffrant tout de manière croissante, tandis que les autres veulent pouvoir mener leurs enquêtes. C’est dans ce contexte que la NSA compte proposer une solution originale : créer des morceaux de clés qui, une fois réunis, permettraient de déverrouiller un appareil.
Des intérêts devenus incompatibles
Les utilisateurs sont actuellement pris entre deux feux. D’un côté, les forces de l’ordre et le monde du renseignement aimeraient que les appareils soient plus facilement accessibles lors des enquêtes ou d’autres missions. Le problème est si « sérieux » qu’il a poussé le directeur du FBI, James Comey, à s’inquiéter ouvertement de l’arrivée du chiffrement dans un nombre croissant de produits, notamment iOS 8 et Android 5.0 : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Des membres du bureau s’étaient même rendus au sein des deux entreprises « pour comprendre leur optique et pourquoi ils pensent que tout ceci a du sens ».
Du côté des entreprises, il faut faire face à la crise de confiance engendrée par les révélations d’Edward Snowden. Le problème est simple : si les utilisateurs n’ont pas confiance dans le cloud et globalement dans tout ce qui peut stocker des données, ils iront voir ailleurs. Et voilà pourquoi le chiffrement envahit peu à peu les produits grand public. Au grand dam des enquêteurs et des analystes du renseignement.
Des morceaux de clés à réunir pour déchiffrer le contenu
Actuellement, il n’y a que deux solutions : soit l’appareil n’est pas chiffré, soit il est chiffré avec une clé unique qui n’est qu’en possession de l’utilisateur. C’est la ligne de défense d’Apple d’ailleurs sur la question de la sécurité : même en cas de commission délivrée par le tribunal, la firme ne peut pas déchiffrer les données verrouillées sur un compte. Du coup la NSA cherche une troisième voie capable de mettre tout le monde d’accord : les clés morcelées.
L’amiral Michael S. Rogers, directeur actuel de l’agence de sécurité, n’y va pas par quatre chemins : « Je ne veux pas une porte dérobée. Je veux une porte d’entrée. Et je veux que la porte d’entrée ait plusieurs verrous. De gros verrous ». Dans un article du Washington Post, on apprend ainsi que la NSA aimerait un système de clés de chiffrement divisées en autant de parties impliquées dans une possible enquête. La réunion des clés ne pourrait se faire que dans un contexte bien précis, par exemple en cas de commission d’un tribunal.
Décrite comme ça, la solution « pourrait » être idéale. Après tout, aucune partie ne pourrait déchiffrer les données sans obtenir les autres morceaux de clés. Sauf que dans la pratique, un tel système pourrait se révéler très délicat à mettre en place. Il faudrait d’abord créer l’infrastructure entre les parties concernées, puisque rien n’existe actuellement pour rassembler de telles informations entre forces de l’ordre, système juridique et entreprises. Surtout, il faudrait garantir que la clé reconstituée, une fois qu’elle a été utilisée, est bien détruite pour ne pas servir à des intérêts plus personnels. D’autres questions restent d’ailleurs en suspens, notamment sur la création de la clé elle-même, ou encore sur les vulnérabilités potentielles qui seraient introduites par un tel système.
Concilier forces de l'ordre, entreprises, tribunaux, utilisateurs...
Notez qu’il ne s’agit que l’une des pistes envisagées, même si elle semble la plus sérieuse. La démarche s’inscrit dans la préparation d’un important rapport qui doit être remis prochainement à Barack Obama, sur l’état du chiffrement et les solutions qui pourraient concilier protection des consommateurs et bonne marche des enquêtes. La situation est d’autant plus complexe que le président américain pourra difficilement faire passer une nouvelle loi, le Sénat étant désormais de majorité républicaine.
Il ne faut pas oublier non plus que même si la NSA et d'autres agences réfléchissent à de nouvelles attentions, de nombreuses techniques actuellement utilisées sont toujours valables. En février, Mike Rogers indiquait par exemple ne pas remettre en cause le bien-fondé des portes dérobées (backdoors) dans les produits logiciels et matériels, puisqu'elles garantissaient un accès efficace aux données. Une attitude qui avait d'ailleurs décidé l'Allemagne à se passer des produits réseau américains, à moins que les constructeurs ne montrent patte blanche.
Actuellement, les intérêts directs des entreprises passent dans tous les cas par un chiffrement fort des données pour court-circuiter la crise de confiance, surtout à l’heure où le cloud est devenu une stratégie gagnante pour beaucoup. L’approche prise notamment par Apple consiste à dire « Nous n’avons pas la clé », et les smartphones Android conçus pour Lollipop suivent le même chemin. Les entreprises redorent leur blason, les utilisateurs sont satisfaits, le niveau de chiffrement augmente, mais les forces de l’ordre froncent les sourcils. Selon Timothy P. Ryan, ancien agent du FBI, le nombre de crimes restant impunis ne pourra qu’augmenter avec la multiplication de ces appareils.
