États-Unis : la Silicon Valley s’érige contre une loi anti-chiffrement
Le flou législatif devrait perdurer
Le 20 avril 2016 à 15h18
9 min
Droit
Droit
Aux États-Unis, deux sénateurs ont publié un texte qui vient largement remettre en cause la force du chiffrement. Il imposerait aux entreprises de préparer une solution permettant le déchiffrement des données à la demande des forces de l’ordre. La Silicon Valley s’érige contre le texte, soutenue par plusieurs associations.
En tant que solution de sécurité, le chiffrement a prouvé son efficacité. Il est pourtant remis en cause un peu partout à cause de ses implications pour les forces de l’ordre. Des enquêtes ralenties ou bloquées, des procédures judiciaires qui n’avancent pas, un FBI à cran et réduit à utiliser des failles de sécurité pour passer outre, une collaboration presque honteuse de BlackBerry avec la gendarmerie canadienne : le contexte est pesant.
Un chiffrement largement sous tension
Si l’opposition très médiatisée d’Apple au FBI a bien mis en lumière un point, c’est le manque d’une législation claire qui instaurerait enfin un rôle précis au chiffrement, et quoi faire quand il devient une gêne dans les enquêtes. Il s’agit d’un véritable casse-tête car il ne semble exister aucune solution miracle : soit le chiffrement protège efficacement, soit il ne le fait pas. Les méthodes proposées jusqu’ici ont pratiquement toutes impliqué une forme de porte dérobée, dont on sait qu’elle serait tôt ou tard trouvée par des personnes malintentionnées.
Pourtant, tant qu’une telle législation ne sera pas mise en place, les entreprises – particulièrement américaines – se retrouveront dans des situations complexes. Apple n’a ainsi pas voulu être forcée de développer une solution qui aurait permis de contourner une défense instaurée dans iOS 9 sur un iPhone 5c, pour le compte du FBI. Le point majeur de sa défense était justement que l’agence se servait d’une loi dont, selon Cupertino, elle faisait une utilisation trop large. Un argument confirmé peu de temps après par un juge de New York dans une affaire impliquant un autre iPhone.
Forcer les entreprises à fournir les données réclamées
Pour en finir avec le flou juridique, deux sénateurs américains ont proposé un texte. Le républicain Richard Burr et la démocrate Dianne Feinstein sont ainsi les auteurs du « Compliance with Court Orders Act of 2016 » (CCOA), dont le titre annonce la couleur : les entreprises doivent s’exécuter quand un tribunal émet une ordonnance. Un outil que le FBI aurait sans doute aimé posséder il y a quelques mois, plutôt que de s’appuyer sur l’All Writs Act, nettement plus généraliste.
Le fait que le texte ait comme co-auteure Dianne Feinstein n’est pas anodin. La députée de Californie préside la commission du renseignement du Sénat des États-Unis depuis 2009, supervisant notamment les nombreux débats qui ont agité le pays dans le sillage des révélations d’Edward Snowden. Le texte est donc une surprise car elle avait pointé à plusieurs reprises les dangers qu’il y aurait à miner le chiffrement par des portes dérobées.
Évidemment, et comme le signale le sénateur Richard Burr sur son propre site, le texte a reçu le soutien des forces de l’ordre. Un support qui n’a rien d’étonnant puisque le CCOA supprimerait tout recours des entreprises aux requêtes formulées par la justice américaine, dès lors qu’un mandat est délivré en bonne et due forme par un juge. Dianne Feinstein s’en félicite également : « Puisque les terroristes et les criminels utilisent de plus en plus les appareils de communication chiffrés et les applications de messagerie pour éviter les actions des forces de l’ordre […], les communications chiffrées ne devraient pas être hors de portée de ces forces quand il y a ordonnance. Aucun individu ou entreprise n’est au-dessus de la loi ». Encore reste-t-il à définir la « loi ».
Quand des terroristes « complotent pour tuer des Américains »
Si le texte était en préparation depuis plusieurs mois, l’affaire San Bernardino lui donne une fenêtre de tir pour faire parler de lui. Les deux sénateurs ont beau répéter qu’un chiffrement fort est une garantie de protection pour les données personnelles, cela ne peut pas se faire au détriment de la sécurité : « nous avons aussi besoin de savoir quand des terroristes complotent pour tuer des Américains ».
Concrètement, que propose le texte pour concilier l’inconciliable ? Rien. Ni Richard Burr, ni Dianne Feinstein ne sont ingénieurs. Le CCOA revient en fait en partie sur les traces de la loi fameuse loi CALEA II, celle-là même qui avait été rejetée par le Congrès l’année dernière et qui aurait imposé aux entreprises fournissant des services de communication d’aider les forces de l’ordre, sans recours.
Là encore, la porte reste ouverte. Aucune solution technique n’est avancée, le texte mettant simplement un cadre d’exécution aux requêtes dument mandatées. Traduction : à charge pour les entreprises de trouver elle-même la solution. A minima, cela imposerait l’utilisation d’une clé de déchiffrement globale pour l’ensemble des services en ligne, alors même que le chiffrement de bout-en-bout se répand petit à petit. WhatsApp a ainsi annoncé son activation il y a quelques semaines, Viber ayant suivi hier.
Un texte poliment torpillé par la Silicon Valley
Comme on pouvait s’y attendre, le texte a déjà de nombreux adversaires, dans pratiquement tous les camps. Comme le rapporte Reuters, le président Barack Obama lui-même a annoncé qu’il ne le soutiendrait pas. Une position pas si surprenante, car s’il avait appelé de ses vœux les entreprises à coopérer avec les forces de l’ordre. Il espérait que cela se ferait avant que les politiques entrent en piste avec des textes « lourds ».
Du côté de la Silicon Valley et plus généralement des entreprises américaines, c’est le branle-bas de combat. Les membres de la coalition Reform Government Surveillance (Apple, Dropbox, Facebook, Google, Microsoft, Twitter, Yahoo et autres) ont ainsi publié hier une lettre ouverte. Elle est également cosignée par trois autres associations : la Computer and Communications Industry Association, l‘Internet Infrastructure Coalition, et l’Entertainment Software Association.
Adressée aux deux sénateurs, elle pointe les dangers de ce texte. « La conséquence d’une telle obligation est qu’elle forcera les entreprises à prioriser les accès gouvernementaux au détriment d’autres considérations, notamment la sécurité numérique. Résultat, durant la conception des produits ou services, les entreprises pourraient être forcées de prendre des décisions qui créeraient des opportunités d’exploitation par des tiers malveillantes cherchant à nuire à nos clients et que nous voulons tous stopper. […] Ce mandat signifierait qu’à l’instant où une société ou un particulier décide d’utiliser une technologie de chiffrement, elle devrait avoir été conçue pour permettre à certaines tierces parties d’y avoir accès. Cet accès pourrait à son tour être exploité par des tiers malveillantes ».
Des arguments entendus ad nauseam, mais dont la portée n’est apparemment pas perçue par les auteurs. Tout comme le suivant : si de telles modifications doivent être mises en place, il sera impossible de les limiter au seul bénéfice des forces de l’ordre américaines. Tous les gouvernements s’engouffreront dans la brèche et réclameront le même type d’accès. Avec le danger, agité comme un signe annonciateur d’impact économique, que les utilisateurs aillent se servir dans d’autres pays.
Le projet a peu de chances de se concrétiser
Cela étant, le texte a de fortes chances de ne pas être soutenu au Congrès. Le sénateur Ron Wyden, pourtant allié de Richard Burr sur une grande partie des sujets, a indiqué dans un tweet la semaine dernière qu’il ferait tout ce qui est en son pouvoir pour bloquer la proposition de loi. Il avertit d’un danger inhérent : « Ce texte anti-chiffrement rendrait en réalité hors-la-loi les technologies utilisées par les Américains pour se protéger ».
Mais même si le texte ne passe pas, ce qui a évidemment de grandes chances de se produire, il illustre bien une situation instable. Le curseur va continuer de se déplacer entre la protection de la vie privée, désormais pleinement installée comme argument commercial par les entreprises (surtout celles du cloud), et la sécurité. Les forces de l’ordre auront toujours des enquêtes à mener, et si le chiffrement doit encore se renforcer, les cas de blocage ne feront que s’accumuler. Une tendance qui ne pourra qu’accentuer la pression sur la recherche des failles 0-day, comme on a pu le voir avec la solution finalement trouvée par le FBI pour obtenir les données coincées dans l’iPhone 5c de San Bernardino.
Rappelons qu’en France, le projet de loi sur la réforme pénale prévoit une hausse des peines encourues par les personnes physiques ou morales qui refuseraient d’aider les forces de l’ordre. C’est particulièrement le cas de tout constructeur qui ne fournirait pas à la justice des données protèges par une solution dont il est le concepteur, notamment dans le cadre de la lutte anti-antiterroriste et contre le crime organisé.
États-Unis : la Silicon Valley s’érige contre une loi anti-chiffrement
-
Un chiffrement largement sous tension
-
Forcer les entreprises à fournir les données réclamées
-
Quand des terroristes « complotent pour tuer des Américains »
-
Un texte poliment torpillé par la Silicon Valley
-
Le projet a peu de chances de se concrétiser
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/04/2016 à 15h22
et avec toutes ces histoires de chiffrement ces entreprises font du chiffre.
Le 20/04/2016 à 15h34
@RonWyden, enfin un qui a compris qu’il n’y a pas du sécurisé “uniquement quand la loi le veut.”
Le 20/04/2016 à 15h47
Le truc le plus stupide la dedans, c’est que les terroristes et les méchants, ils utiliseront plus les outils “FBI approved”, bien vu les gars…
Le 20/04/2016 à 16h54
L’argument « on veut accès à tout parce qu’on en a besoin pour notre enquête » me paraît un peu fallacieux…
Imaginons qu’une personne A ait une balle dans le corps, et que celle balle soit la seule preuve qui permet de condamner le tireur B. A refuse qu’on extraie la balle car cela nécessite une opération chirurgicale qui peut mettre sa vie en danger. Le FBI peut-il obliger A à subir l’opération, même s’il la refuse, car l’enquête en dépend ?
Le 20/04/2016 à 17h07
Inquisition numérique de complaisance et non contestable (on aura tout vu)
Le 20/04/2016 à 18h08
Le 20/04/2016 à 22h05
Les terroristes se cachent dans un appartement muni d’une porte d’entrée blindée.Celle-ci ralenti fortement l’intervention des forces de l’ordre voulant interpeller les dangereux individus.
Doit-on interdire ou munire les portes bindées d’un “verrou spécial forces de l’odre” ?
C’est un peu comme les voitures haut de gamme soit disant munis d’antivol électronique efficace, résultat elles sont pratiquement encore plus facile à voler puisqu’il suffit de faire un double de clé électronique chez “un revendeur agréé dans la combine”.
Le 20/04/2016 à 22h41
Et bien sur, quand le FBI aura les clés de déchiffrement de IOS/WP/Android, les terroristes continueront a chiffrer leurs messages avec IOS/WP/Android. Parce que les terroristes, ils seront trop bête pour installer TerrorCrypt sur leur smartphone.
Le 21/04/2016 à 06h34
Allez, demain, tout le monde à poil dans les rues, et surtout en marchant avec les jambes bien écartées dès fois qu’une bombe soit cachée dans un anus !
M’enfin ! La médiocrité n’a pas fini de sévir.
Le 21/04/2016 à 07h12
haaa, le bon temps que tout le monde a oublié et qu’un certain nombre de politicien doivent bien regretter : quand les moyens de chiffrements étaient considérés en France comme une arme de guerre de catégorie 2.. ( lien :https://fr.wikipedia.org/wiki/Chiffrement#En_France )
Le 21/04/2016 à 07h26
Et après, les terroriste feront comme les dealers anglais, ils prendront des téléphone genre 8210 pour faire ça.
Ils utiliseront encore plus le courrier, etc…
Bref, si officiellement c’est pas sur d’utiliser nos appareils actuel, ils feront autre chose.
Le mieux, c’est la bonne entente entre entreprises et service d’état. Pouvoir profiter d’un bug dès qu’il se présente. Des bug y en aura toujours, suffit d’être patient.
Le 21/04/2016 à 07h32
Le 21/04/2016 à 07h40
Une simple abréviation sans cryptage comme : “A+” pourrait aussi bien faire des ravages, on sait tous que crypter c’est pour emmerder le décrypteur " />
Le 22/04/2016 à 04h35
Beaucoup de caricatures dans les commentaires, mais si sa passe a grand coups de mallettes de billets verts, on va grincé des dents.