Le FBI travaille selon le Washington Post sur un projet de loi très particulier. La police fédérale américaine souhaite en effet rendre obligatoire la présence de portes dérobées dans les sites web. Et les premières cibles ne sont clairement pas les moindres : Facebook et Google.
Des backdoors légales
Le Washington Post cite plusieurs sources ayant confirmé qu’un projet de loi était à l’étude pour imposer des portes dérobées à certains sites web. Encore à l’état de brouillon, ce projet fait parler de lui à cause de ses implications, ainsi que pour la pression qui serait exercée sur Facebook et Google.
Le problème pour le bureau fédéral d’investigation est que les techniques utilisées pour masquer la présence en ligne ont évolué au point de rendre les enquêtes très difficiles. Une difficulté qui porte un nom pour le FBI : « going dark ». Autre souci : il n’existe actuellement aucun moyen pour les enquêteurs de demander à un juge une mise sur écoute d’un site. En effet, aucune loi n’a été prévue pour ce type d’action, même si le Patriot Act permet de réclamer l’historique dans le cadre d’une enquête anti-terroriste.
De fait, la proposition émanant du FBI est radicale : imposer la création de portes dérobées aux sites web afin qu’ils permettent une mise sur écoute des conversations en ligne. Deux points sont particulièrement importants. D’une part, la loi obligerait les sites à procéder eux-mêmes à la création des « backdoors », plutôt que de leur faire intégrer une solution développée à part. D’autre part, les sites ne répondant aux exigences de cette loi seraient soumis à une amende. Elle se chiffrerait en dizaines de milliers de dollars et fonctionnerait par paliers, jusqu’à doubler par jour de retard au-delà d’une période initiale de trois mois.
Nombreux problèmes à résoudre
Évidemment, le projet de loi a ses détracteurs. Interrogé par le Washington Post, Greg Nojeim, conseiller au Center for Democracy and Technology, ne cache pas son opinion : « Ce projet est voué à l’échec et va conduire les innovateurs vers l’étranger en coûtant des emplois américains. Ils pourraient tout aussi bien l’appeler la loi cyber-insécurité et anti-emplois ». Pour le consultant Albert Gidari Jr., cela reviendra à faire entrer de nouveaux sujets très techniques dans les tribunaux. Susan Landau, anciennement ingénieure chez Sun, estime pour sa part que la loi ouvrira des portes qui pourraient être utilisées à mauvais escient par d’autres. Un problème qui existait déjà avec les écoutes téléphoniques, mais qui empire largement avec l’informatique.
Une autre question n’a pas reçu de réponse, car tous les partis impliqués ont refusé de répondre : qui paiera la note ? Si la loi laisse la souplesse aux entreprises telles que Facebook et Google de développer leurs propres solutions, procéder ainsi et de manière sécurisée réclamera du temps, et donc de l’argent. La problématique est la même que pour les envois automatisés de notification par les FAI à la Hadopi : des comptes seront certainement demandés à l’État.
Enfin, il y aura très fort à parier que Facebook, Google ou encore Microsoft se battront avec véhémence contre une loi qui ne pourra que faire peur aux utilisateurs.
