James Baker, conseiller général du FBI, était hier à une conférence sur la cybersécurité. Accompagné d’autres intervenants importants, il a brossé un portrait général de la sécurité, du chiffrement et des différentes facettes d’une équation délicate à résoudre. En définitive, il estime que ce sera au peuple américain de choisir s’il veut être espionné ou non.
Aux États-Unis, un faisceau particulier de conséquences a débuté avec les révélations d’Edward Snowden sur l’état de la surveillance et de l’espionnage aux États-Unis. Les activités de la NSA, placardées au grand jour, ont provoqué diverses réactions, notamment sur le plan technique avec une montée en flèche de l’utilisation du chiffrement. Jusqu’à ce qu’Apple et Google notamment fassent de cette technologie un cheval de bataille pour leurs plateformes mobiles, au grand dam de James Comey, directeur du FBI.
Les révélations ont poussé le chiffrement, qui a poussé à son tour l’ensemble des forces de l’ordre à s’interroger sur la faisabilité tant des enquêtes que de la poursuite de la surveillance elle-même. La principale inquiétude, comme en témoigne actuellement un procès dans lequel Apple a été invitée à donner son avis, est que les enquêtes criminelles soient bloquées à cause de terminaux mobiles au chiffrement trop complexe à contourner. Un contexte qui avait un temps fait réfléchir la Maison Blanche à des « portes dérobées officielles » dans les mesures de chiffrement, idée finalement abandonnée… mais dont le spectre n’est jamais très loin.
Le délicat équilibre entre vie privée et sécurité
Hier se tenait la conférence annuelle de l’ACSC (Advanced Cyber Security Center), à laquelle participait notamment James Baker, conseiller général du FBI. Il a souhaité aborder l’ensemble de la question du chiffrement, et ce de manière beaucoup plus consensuelle et récapitulative que ce à quoi le Bureau était habitué jusque-là. Comment conjuguer le chiffrement, la vie privée et la sécurité publique ?
Pour Baker, le FBI est une émanation du peuple américain et il en est donc le serviteur, comme l'indique Ars Technica. Mais ce même peuple doit prendre en compte une conséquence directe de l’arrivée globale du chiffrement un peu partout : les enquêtes ont parfois de grosses difficultés à avancer. Le processus n’a pas changé : le Bureau demande un mandat à un juge pour procéder à l’extraction de données. Mais ce processus échoue parfois, même s’il existe d’autres moyens d’obtenir des informations.
Contourner le chiffrement par le cloud
C’est ici qu’entre en piste le cloud. Oui les enquêteurs peuvent être frustrés par des données locales bloquées sur un terminal, mais ces mêmes informations peuvent avoir un autre point d’accès. La grande majorité des smartphones sont connectés en permanence et sont liés à des environnements de synchronisation chez Apple, Google ou Microsoft. L’idée est à chaque fois identique : l’utilisateur doit pouvoir accéder à ses données depuis un simple navigateur. Du coup, si les données sur un iPhone ne sont pas accessibles, elles le seront peut-être dans le compte iCloud. Et cette fois, l’impossibilité de contourner le chiffrement n’aura pas d’importance.
La récupération des données dans le cloud tombe bien entendu à plat dès qu’un utilisateur utilise des applications sans synchronisation ou qu’il a désactivé cette dernière sur l’ensemble des fonctionnalités. James Baker indique que les enquêteurs doivent se débrouiller, et qu’il devient forcément tentant de faire voter des lois qui obligeraient l’ensemble des entreprises à introduire des solutions à ce problème, comme les fameux fragments de clés dont il avait été question cet été.
Clés fragmentées : une solution impraticable
Comme le rapportent nos confrères, le conseiller du FBI semble clairement s’être fait une raison sur ce point : « Il est tentant d’espérer que, par magie, l’extraordinaire secteur technologique que nous avons aux États-Unis peut trouver une solution, c’est peut-être un point simplement trop grand à construire. C’est peut-être scientifiquement et mathématiquement impossible ». L’avis d’Eric Wenger, directeur de la cybersécurité et de la vie privée chez Cisco, est nettement plus tranché : « Plus le système est complexe, plus il est difficile à sécuriser. Je ne vois pas comment vous pourriez développer une solution basée sur des clés, qui sécurise les choses comme nous le souhaitons sans créer en même temps une grande dose de complexité dans la capacité à donner accès au gouvernement ». Une question de beurre et d’argent du beurre, en somme.
Et si tous les pays se lançaient dans cette voie ? Pour Susan Landau, professeur de cybersécurité à l’institut polytechnique de Worcester, ce serait impossible : « La complexité d’avoir 200 nations, chacune avec son accès aux clés, est simplement inimaginable ».
Il est selon ces experts impossible de marier l’idée d’une sécurité et d’un chiffrement efficaces avec un accès simple par les forces de l’ordre. Toute tentative de contournement se solderait par un affaiblissement de la sécurité, alors même qu’elle joue un rôle crucial. Une entreprise pourrait par exemple se faire dérober de la propriété intellectuelle. Et les enjeux économiques du monde professionnel sont également en jeu, surtout quand on considère par exemple que plus de la moitié du chiffre d’affaires de Cisco provient d’autres pays.
« C’est la réalité, nous devons l’accepter »
Enfin, devant la possibilité pour les terroristes de mieux se protéger grâce à un chiffrement plus répandu, les avis du FBI et des autres experts s’éloignent. Baker estime ainsi que laisser ce chiffrement progresser comme il le fait actuellement revient à rendre les criminels pratiquement invisibles pour la loi. Susan Landau n’est pas d’accord : une hausse de la difficulté n’équivaut pas à une impossibilité. Elle possède une anecdote amusante à ce sujet, une personne de la NSA lui ayant dit un jour : « Écoutez, la loi en cas de mandat pour une mise sur écoute nous donne le droit de collecter l’information, elle ne dit pas que ça devrait être facile ».
Dans tous les cas, le FBI semble s’être fait une raison, estimant selon Baker que « le génie du chiffrement est sorti de sa bouteille » et que cette technologie est « largement disponible dans le monde ». Il a ajouté : « C’est la réalité, nous devons l’accepter ». Cela étant, si un tel avis montre une évolution profonde de la manière de considérer le chiffrement, le terrain juridique sera peut-être amené à changer dans le futur. Il suffit de se rappeler comment les attentats du 11 septembre ont puissamment modifié les lois américaines relatives à la sécurité.