Mike Burgess, directeur de l'Australian Security Intelligence Organisation (ASIO) – le service de renseignements intérieur australien, équivalent du FBI ou de la DGSI – a déclaré qu'il pourrait bientôt obliger les entreprises technologiques à déverrouiller les chats chiffrés pour faciliter les enquêtes de sécurité nationale, rapporte ABC :

« Si vous enfreignez la loi ou si vous représentez une menace pour la sécurité, vous perdez votre droit à la vie privée, et ce que j'ai demandé aux entreprises qui créent des applications de messagerie (c'est de) répondre aux demandes légales. Ainsi, lorsque j'ai un mandat, vous devez me permettre d'accéder à cette communication. »

Il a précisé que l'ASIO cherchait à obtenir un accès ciblé aux salons de discussion hébergés sur des plateformes chiffrées, de plus en plus utilisées par les délinquants pour protéger leurs communications : « Nous ne demandons pas une surveillance de masse. Nous avons besoin de leur coopération ».

Plus de 95 % des cibles chiffrent leurs communications

En 2018, l'Australie avait en effet adopté une législation « considérée comme révolutionnaire à l'époque », rappelle ABC, puisqu'elle exigeait que les entreprises technologiques coopèrent avec les demandes des organismes d'application de la loi afin de pouvoir accéder aux messages échangés sur des messageries chiffrées.

Le Telecommunications and Other Legislation Amendment (Assistance and Access) Act « dote les agences des outils dont elles ont besoin pour opérer efficacement à l'ère numérique et assurer la sécurité de la communauté australienne », explique son gouvernement :

« Il est important de noter que rien dans cette loi ne peut exiger de l'industrie qu'elle brise le chiffrement. Au contraire, les mesures renforcent la capacité actuelle des agences australiennes à entreprendre des activités de surveillance ciblées, proportionnées et contrôlées de manière indépendante. »

Le gouvernement australien « soutient les outils de cybersécurité, tels que le chiffrement, qui créent un environnement en ligne sûr pour les Australiens [et] garantit la sécurité des transactions numériques quotidiennes, telles que les opérations bancaires ou les achats en ligne », souligne-t-il.

Mais si « le gouvernement n'a aucun intérêt à saper ces technologies essentielles », il n'en relève pas moins que « les terroristes, les pédophiles, les trafiquants de drogue et d'êtres humains utilisent les mêmes technologies pour dissimuler des activités illicites et faciliter la criminalité ». En outre, l'évolution rapide des technologies a entraîné une « diminution de sources précieuses de preuves et de renseignements » :

• « plus de 95 % des cibles terroristes les plus dangereuses de l'Australian Security Intelligence Organisation (ASIO) utilisent des communications chiffrées ;
• le chiffrement a une incidence sur l'obtention de renseignements dans neuf des dix affaires prioritaires de l'ASIO ;
• on estime que d'ici 2020 [la page avait été mise en ligne en 2019, ndlr], toutes les communications électroniques utiles aux enquêtes seront chiffrées. »

« Si la vie privée est hors la loi, seuls les hors-la-loi auront une vie privée »

Le cryptographe Bruce Schneier relève que cette loi de 2018 prévoit plusieurs niveaux d'assistance :

• les demandes d'assistance technique (TAR) volontaires d'aide à l'accès aux données chiffrées, adressées par les services répressifs aux entreprises de télécommunications et de technologie afin de solliciter leur coopération, sans pour autant les obliger légalement à s'y conformer ;
• les avis d'assistance technique (TAN) qui ont un caractère « obligatoire » (tels que des mandats d'accès à des ordinateurs) et qui exigent des entreprises qu'elles aident, « dans la mesure de leurs moyens, à déchiffrer des données », ou à fournir des informations techniques auxquelles les services répressifs ne peuvent accéder de manière indépendante, tels que certains codes sources, algorithmes de chiffrement ou matériels électroniques.
• les avis de capacité technique (TCN), qui obligent une entreprise à développer de nouvelles capacités pour aider les services répressifs à accéder à des données chiffrées. Le procureur général doit cependant approuver une TCN en confirmant qu'elle est « raisonnable, proportionnée, pratique et techniquement réalisable ».

« C'est la dernière disposition qui constitue le véritable problème », souligne Bruce Schneier, puisque « le gouvernement australien peut obliger les entreprises technologiques à intégrer des portes dérobées dans leurs systèmes ».

Et ce, au risque de relancer une énième « crypto war », du nom donné à ces batailles technico-juridiques au sujet des problèmes posés par la possibilité offerte au grand public de pouvoir recourir au chiffrement, et que le cryptographe Phil Zimmermann avait résumé ainsi : « Si la vie privée est mise hors la loi, seuls les hors-la-loi auront une vie privée. »

• Une lettre ouverte contre les sept projets de loi anti-chiffrement

« Si vous ne faites rien de mal, vous avez une vie privée »

Lorsque la coopération volontaire échoue, les entreprises technologiques peuvent être « contraintes de fournir un accès », confirme ABC. M. Burgess rétorque de son côté que cet accès légal ne cible que des personnes faisant l'objet d'une enquête qui, dès lors, ne peuvent plus réclamer de droit à la vie privée :

« Je comprends que certaines personnes en aient vraiment besoin dans certains pays, mais dans notre pays, nous sommes soumis à l'État de droit, et si vous ne faites rien de mal, vous avez une vie privée parce que personne ne la regarde ».

Selon M. Burgess, les entreprises technologiques pourraient concevoir des applications « de manière à permettre aux forces de l'ordre et aux agences de sécurité d'accéder aux données lorsqu'elles en font la demande, sans compromettre l'intégrité du chiffrement », résume ABC.

M. Burgess n'a pas voulu préciser s'il avait exercé ce pouvoir au cours des 12 derniers mois. Il a cependant déclaré que « c'est quelque chose que j'envisage de faire ». Le patron de l'ASIO a précisé qu'il avait rencontré des entreprises technologiques pour en discuter :

« Depuis, quelques entreprises sont venues me voir. C'est une bonne chose. Je laisserai ces conversations en privé. Certaines d'entre elles sont bonnes. Il se peut que je sois sur le point d'avoir une conversation difficile, mais nous le ferons également en privé. »

Déployer un logiciel espion est « incroyablement coûteux et inefficace »

« Je n'accepte pas que cet accès légal soit une porte dérobée ou une faiblesse systémique, parce que cela, à mon avis, serait une mauvaise conception », précise M. Burgess. « Je crois que l'on peut – ce sont des gens intelligents – concevoir des choses qui sont sûres, qui donnent un accès sûr et légal » :

« Je ne crois pas que l'on puisse accepter, dans notre société, qu'il y ait des parties de l'Internet qui ne soient pas accessibles aux forces de l'ordre ou aux services de sécurité ».

ABC relève que l'ASIO dispose d'autres moyens pour accéder aux conversations chiffrées, mais M. Burgess avance qu'il s'agit d'un processus plus lent et plus coûteux : « Nous pouvons accéder aux ordinateurs, nous avons la possibilité de délivrer des mandats et nous avons des capacités de piratage qui nous permettent de le faire », mais souligne que « c'est incroyablement coûteux et inefficace ».

M. Burgess affirme que son agence pourrait dès lors avoir besoin d'un soutien accru du gouvernement, mais il insiste aussi sur le fait que les entreprises technologiques ne devraient pas pouvoir se soustraire aux pouvoirs d'investigation de l'ASIO :

« Je pourrais demander plus de ressources, mais encore une fois, je ne le ferais vraiment qu'en privé avec le gouvernement, et en fin de compte, c'est une question qui relève du Parlement et de notre pays, et de ce que nous acceptons. En fin de compte, je ne pense pas que nous devrions permettre à la technologie de fixer l'État de droit et les attentes de la société. »