Le directeur du FBI, James Comey, a apporté son soutien à une future proposition de loi américaine qui introduirait l’obligation pour les entreprises nationales de ménager des voies d’accès à travers le chiffrement dans le cadre d’enquêtes. Un mouvement qui illustre une situation toujours aussi tendue dans le monde de la sécurité.
Depuis les révélations d’Edward Snowden en 2013, la sécurité informatique en général est ballotée au gré des annonces des entreprises et des gouvernements. Le choc initial a provoqué une grave crise de confiance dans les entreprises du cloud, qui se sont toutes employées à communiquer abondamment sur le sujet, mettant peu à peu en place des mesures supplémentaires de chiffrement, parfois classiques, d’autres de bout en bout.
Mais, comme on a pu le voir avec l’opposition du FBI à Apple, la situation est très loin d’être réglée. Tout repose sur un curseur qui se déplace entre la sécurité des communications et celle, plus générale, des populations à travers les enquêtes des forces de l’ordre. Un nombre croissant d’appareils mobiles ne révéleraient plus ses secrets à cause du chiffrement, arguent les autorités, amenant régulièrement de nouveaux projets de loi.
C’est justement à l’un d’entre eux que le directeur du FBI apporte désormais son soutien.
Une situation qui ne cesse de se complexifier
Devant le comité juridique du Sénat américain, James Comey a répondu à une série de questions portant sur l’état actuel des enquêtes face au chiffrement. Plusieurs éléments de réponse donnent une idée assez précise de la manière dont le chiffrement peut influer négativement sur les enquêtes en cours.
Ainsi, durant les six premiers mois de l’actuelle année fiscale, plus de 3 000 appareils mobiles se seraient révélés impossibles à ouvrir. Leur contenu peut être important dans le cadre des enquêtes, notamment pour révéler les contacts fréquents d’un suspect. Selon Comey, c’est presque la moitié des smartphones et tablettes récupérés pendant cette période. Il n’a cependant pas pu fournir de réponse quand la sénatrice Dianne Feinstein lui a demandé la proportion d’appareils impliqués dans des affaires de terrorisme.
Autre point intéressant, le fait que les informations techniques mises à disposition par les constructeurs ne soient pas toujours exploitables. Il a ainsi indiqué qu’elles étaient « rapidement périssables », à cause de cycles de support trop courts. Les failles parfois utilisées peuvent être également corrigées suite à des révélations, ou simplement parce que les éditeurs concernés les découvrent.
Un énième projet de loi espérant faciliter les échanges de données
Face à une situation globale qui semble inextricable, James Comey apporte son soutien à un projet de loi qui devrait être proposé prochainement par Dianne Feinstein. La sénatrice est impliquée depuis des années dans les comités sénatoriaux imposés au FBI, à la CIA et à la NSA pour en contrôler les résultats et surtout les méthodes.
Ce projet est la reprise presque à l’identique d’un autre proposé l’année dernière, qui prévoyait d’imposer aux entreprises de déchiffrer pour les forces de l’ordre les données ciblées par une enquête. La proposition avait finalement été abandonnée, faute d’un soutien suffisant dans le Sénat. Depuis, avec un changement de présidence et certaines affaires comme la tuerie de San Bernardino (qu’elle a évoquée hier), le contexte semble plus adapté pour retenter sa chance.
Face à ce sujet, James Comey a tenté de rassurer : « Nous avons de très bonnes conversations, très ouvertes, avec le secteur privé au cours des 18 derniers mois sur ce problème, parce que tout le monde se rend compte que nous sommes tous concernés. Nous aimons tous la vie privée, nous faisons tous attention à la sécurité publique, et aucun de nous ne veut des portes dérobées – nous ne voulons pas l’accès aux appareils produits de quelque manière que ce soit ».
Et d’ajouter que tout ce qu’il souhaite, c’est qu’un terrain soit aménagé pour simplifier la vie de tout le monde et laisser les enquêtes suive leur cours. Évidemment, la situation est loin d’être aussi simple qu’il le décrit.
La même problématique, encore et toujours
« Comment pouvons-nous optimiser les fonctionnalités de vie privée et de sécurité sur leurs appareils et permettre en même temps aux mandats d’être appliqués ? » demande James Comey, avant de répondre : « Nous avons de bonnes conversations à ce sujet – franchement, je ne sais pas où elles vont mener ». Et c’est bien là tout le problème.
Tous les projets de loi en la matière se gardent bien d’évoquer le concept de porte dérobée, qui reviendrait à affaiblir volontairement le chiffrement pour garder la main sur les données en cas de besoin. Les directeurs d’agences et responsables politiques préfèrent évoquer des discussions et des aménagements, avec une finalité identique : si un mandat intime l’ordre à une entreprise de fournir des données, elle doit le faire. Ce qui revient précisément au même.
Il n’y a aucune solution miracle dans ce domaine. Si un éditeur veut récupérer des données, il lui faut une trappe par laquelle les exfiltrer. Cette trappe, c’est évidemment la porte dérobée. Le projet revient à leur demander en effet d’affaiblir le chiffrement en introduisant un trou dans la protection. Il ne reste alors essentiellement que deux possibilités.
Soit l’entreprise a la clé, soit elle ne l’a pas. Le premier cas s’applique souvent aux données stockées dans le cloud. L’affaire de San Bernardino avait rappelé notamment qu’Apple ne pouvait pas percer le chiffrement de l’iPhone (le code PIN entre dans la composition de la clé), mais elle pouvait accéder aux informations dans iCloud si elles avaient été synchronisées. Dans le second cas, l’implémentation d’une porte dérobée est obligatoire.
Le cas WhatsApp illustre les tensions actuelles
La question se pose surtout pour les services qui ont fait du chiffrement de bout en bout la sécurité par défaut de leurs communications. Parmi les applications les plus couramment utilisées, WhatsApp en est clairement le porte-étendard. Dans ce mode, l’éditeur ne possède pas la clé, ne devenant alors qu’un relais pour des informations chiffrées avant même qu’elles ne quittent le smartphone. Les caractéristiques matérielles de ce dernier servent d’ailleurs à composer la clé de chiffrement.
On rappellera que cet aspect a entrainé des problèmes pour WhatsApp, notamment au Brésil et au Royaume-Uni. À chaque fois, le problème est le même : des données sont réclamées, WhatsApp est dans l’incapacité de les fournir. Au Brésil, le service avait même dû subir plusieurs interruptions imposées par la justice.
Mais James Comey en est certain maintenant : « Je pense que les entreprises du numérique se rendent mieux compte aujourd’hui de l’obscurité – mon inquiétude était que la vie privée soit si importante qu’elles ne voient pas le coût pour la sécurité publique. Je pense qu’elles l’appréhendent mieux maintenant ».
Reste à voir la proposition de loi, et la manière dont les entreprises réagiront. Après les décrets anti-immigration et mesures pro-charbon de Donald Trump, elles se préparent sans doute à une nouvelle vague de protestations... comme elle l'avait fait l'année dernière devant le projet de Dianne Feinstein.