Le gouvernement américain ne demande finalement pas aux entreprises du pays de créer des portes dérobées et autres mécanismes de contournement pour le chiffrement. Une victoire pour les associations de défense de la vie privée, mais qui intervient également à une date commode.
Le chiffrement était l’objet de toutes les attentions depuis plus d’un an. Il est rapidement devenu un enjeu important après les révélations d’Edward Snowden, dont les documents dérobés à la NSA montraient comment l’agence de sécurité avait le pouvoir de s’infiltrer à peu près partout. Mais lorsque iOS 8 et Android 5.0 sont arrivés, le chiffrement s’est retrouvé activé par défaut sur un nombre croissant d’appareils.
Un chiffrement qui peut également servir aux criminels
Dès lors, une véritable guerre s’est ouverte entre les entreprises américaines d’un côté, largement touchées par une crise de confiance, et les autorités qui cherchaient à endiguer la montée en puissance de technologies qui les bloquaient dans certaines enquêtes (sans parler de la surveillance et de l’espionnage). James Comey, directeur du FBI, n’avait d’ailleurs pas caché ses craintes après les annonces d’Apple et Google : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ».
Car là était tout le problème selon lui : « Les deux entreprises sont conduites par des gens bien, répondant ainsi à ce qu’ils perçoivent comme une demande du marché. Mais ils nous emmènent dans un lieu dans lequel nous ne devrions pas aller sans une réflexion approfondie et un débat en tant que pays ». En clair, le chiffrement pouvait tout aussi bien être utilisé par des utilisateurs classiques que par des terroristes. Dès lors, comment les débusquer si de telles zones d’ombre devenaient courantes ? Une réflexion qu’on a retrouvée peu de temps après au Royaume-Uni, ainsi qu’en France, le procureur de Paris ayant remis en cause l’intérêt « marginal » du chiffrement face aux enquêtes bloquées.
Crise de confiance et tentatives de communication
Depuis environ un an qu’iOS 8 et Android 5.0 sont disponibles (et remplacés depuis par de nouvelles versions), le débat s’est axé outre-Atlantique sur un point bien précis : s’il faut laisser le chiffrement envahir peu à peu les produits électroniques de consommation de masse, ne faudrait-il pas prévoir un moyen de le contourner ? Portes dérobées, système de clés fractionnées et autres méthodes ont été abordés, soulevant une vague de scepticisme. Car les risques inhérents au chiffrement se retrouvent tels quels dans les moyens de le contourner : s’ils existent, ils peuvent alors être trouvés par d’autres. Dès lors, l’intérêt même du chiffrement est perdu puisque les utilisateurs savent déjà qu’une faille existe.
La pression était devenue particulièrement importante pour les grandes entreprises du cloud grand public, dont Apple, Google et Microsoft. La plupart ont communiqué sur le sujet, rejointes par d’autres telles que Dropbox. L’important était de montrer que même si des informations étaient transmises aux autorités, c’était presque à leur corps défendant. En réalité, ces informations étaient réclamées dans le cadre d’enquêtes et faisaient l’objet de demandes spécifiques de différentes lois s’appliquant dans ce domaine. Depuis environ 18 mois, la communication des sociétés touchées par la crise de confiance passe ainsi par la publication régulière de rapports de transparence, dans lesquelles elles indiquent par exemple le nombre de demandes faites (parfois une simple fourchette, telle qu’imposée par la loi), et surtout celui des requêtes acceptées.
La situation se détend subitement
Au Sénat pourtant, le contournement des mesures de chiffrement provoquait un large débat. Un sénateur en particulier, Ron Wyden, de l’Oregon était monté en créneau déjà en décembre de l’année dernière : « Un chiffrement fort et une solide défense informatique sont les meilleurs moyens de préserver les données des Américains des pirates et menaces étrangères. Ce sont les meilleurs moyens de protéger nos droits constitutionnels à une époque où la vie entière d’une personne peut être trouvée sur son smartphone » indiquait-il alors. Et le débat a fini par enfler au point que la Maison Blanche a fait machine arrière.
Le gouvernement américain a en effet décidé de ne plus chercher à contourner le chiffrement et ne réfléchit donc plus à une législation en ce sens. La conséquence la plus directe est que les technologies mises en place ou en passe de l’être vont rester telles quelles, sans doute au grand soulagement des entreprises.
Les forces de l'ordre devront continuer à travailler comme elles le faisaient
Mais le New York Times apporte des compléments intéressants sur la manière dont l’administration Obama envisage désormais la situation. Les forces de l’ordre et les agences de sécurité continueront ainsi de procéder comme elles le font depuis longtemps, à savoir par émission de demandes spécifiques d’informations, validées par des juges. L’équivalent des commissions rogatoires et des autorisations de recherche. Cependant, et c’est un point crucial, il ne sera plus demandé aux entreprises de chercher à exploiter d’éventuelles faiblesses dans leurs propres produits. Comprendre évidemment des portes dérobées.
Cette décision risque fort de provoquer l’indignation chez les forces de l’ordre, car la problématique des enquêtes bloquées n’était pas feinte. Des statistiques indiquaient déjà l’année dernière une hausse du nombre d’affaires non résolues à cause du chiffrement des appareils mobiles. Jeudi, le sénateur Chuck Grassley, directeur du comité judiciaire, critiquait ainsi ouvertement le gouvernement pour son absence de position ferme sur le chiffrement. Avec cette décision, seules les données stockées dans le cloud pourront être fournies aux forces de l’ordre, à moins qu’elles ne réussissent à se faire communiquer les codes PIN et les mots de passe par les prévenus.
Contrebalancer la perte du Safe Harbor ?
Le New York Times indique également que les entreprises ne sont pas pleinement satisfaites, les intérêts étant évidemment contraires. Elles aimeraient ainsi que le gouvernement communique très clairement sur la question, pour que la tâche d’huile soit visible depuis l’Europe et la Chine, quand plusieurs pays réfléchissent effectivement à bannir le chiffrement. Or, cette décision américaine intervient à un moment particulièrement bien choisi : l’invalidation du Safe Harbor par la CJUE, retirant aux États-Unis le statut de « zone de confiance » pour l’hébergement des données personnelles européennes.
Cette importante décision vient frapper de plein fouet les entreprises américaines, qui ont déjà du mal à faire comprendre aux clients qu’ils peuvent avoir confiance. Il n’y a aucun secret dans l’attitude d’un Apple qui cherche à montrer ses positions strictes sur la vie privée, ou dans celle d’un Microsoft qui se bat pour que des données stockées en Irlande ne soient pas transférées à un juge de New York, même dans le cadre d’une enquête criminelle. Il est possible que la Maison Blanche ait cherché à contrebalancer ce nouveau coup aux entreprises nationales par une position beaucoup plus souple sur le chiffrement.
Notez dans tous les cas que les documents dérobés par Edward Snowden ont donné un aperçu assez précis du type d’activité que mène la NSA (entre autres). Le fait que le gouvernement renonce à pousser une législation anti-chiffrement ne signifie en aucun cas que l’agence de sécurité renoncera par exemple à débusquer les failles en vue de les exploiter, voire à plonger dans les équipements réseaux en vue de les modifier avant leur expédition vers d’autres pays. Des révélations qui avaient déjà poussé l’Allemagne à ne plus importer les produits américains dans ce domaine.
