Le Royaume-Uni renonce aux backdoors (ou presque)

Sur le web

Par Elodie le

Le gouvernement britannique renonce à imposer législativement des backdoors (ou portes dérobées) aux entreprises high-tech permettant ainsi aux services de renseignement d’accéder aux données chiffrées des internautes. En revanche, il souhaite que ces données leur soient accessibles au besoin. Bonnet blanc et blanc bonnet ?

royaume-uni_renonce_backdoors

Cette semaine la ministre de la Sécurité et de la protection en ligne, Joanna Shields, a assuré que le gouvernement britannique renonçait à réclamer des backdoors pour les services de renseignement et de sécurité tout en précisant qu’ils doivent être capables d’accéder à ces données sous présentation d’un mandat.

Elle a reconnu le « rôle essentiel » joué par un chiffrement fort dans la protection des données personnelles des internautes, faisant ainsi directement écho au renoncement de l’administration américaine.

« L’exécutif reconnaît le rôle essentiel que joue un chiffrement puissant dans la protection des données personnelles, des discussions et des échanges. Il ne préconise pas ni n’exige la fourniture d’une backdoor, pas plus qu’il ne soutient un tel affaiblissement arbitraire de la sécurité des applications et des services. De tels outils menacent l’intégrité même d’Internet », a-t-elle assuré.

Comme le rapporte Wired, la ministre s’exprimait devant la Chambre des Lords sur des questions relatives à la cybersécurité.

« Ce n’est pas une question de création de backdoor, mais de possibilité pour les entreprises d’accéder aux communications sur leurs réseaux lorsqu’un mandat leur est présenté », a expliqué Joanna Shields.

« La législation actuelle exige des entreprises qu’elles fournissent un accès ciblé, sous réserve d’un mandat, aux communications de ceux qui cherchent à commettre un crime ou causer de graves dommages au Royaume-Uni ou à ses citoyens ».

Renoncer aux backdoors mais demander des portes dérobées légales. Si le terme change, n’est-ce pas finalement la même chose ?

Pour Edward Snowden c’est du pareil au même puisque soumettre un mandat pour accéder à ces données chiffrées suppose l’existence d’une backdoor ou que les entreprises prennent leurs dispositions pour en trouver et déchiffrer ces données.

Ces déclarations, même si elles semblent encourageantes, restent en contradiction avec la volonté des géants du web d’accélérer et développer les moyens d’offrir un chiffrement des données personnelles à leurs clients. À l’image d’Apple sur iOS9 ou de WhatsApp (propriété de Facebook) qui propose un chiffrement de bout-en-bout des communications.

Autrement dit, l’utilisateur est le seul détenteur de la clé de chiffrement à même de déchiffrer ses données. Même avec un mandat établi en bonne et due forme et délivré par un juge, les autorités ne pourraient exiger d’Apple un accès aux data demandées puisque la firme sera dans l’incapacité de leur fournir. Seules les données stockées dans le cloud sont accessibles.

services_secrets_renseignement_britannique_pirater_smartphone_ordinateur-640x449

Une situation que Joanna Shields trouve « alarmante », rejoignant ainsi le premier ministre David Cameron, du moins dans ses dernières déclarations.
Ce dernier n’a jamais caché sa volonté de s’attaquer au chiffrement. Peu après les attentats perpétrés contre Charlie Hebdo et l’Hyper Casher de Vincennes, il dénonçait les applications de messagerie chiffrée (type WhatsApp, Skype, Hangout et iMessage), coupables d’octroyer un « espace sûr » aux terroristes, criminels et pédophiles.

« Dans notre pays, pouvons-nous autoriser un moyen de communication entre des personnes, même des extrémistes … que nous ne pouvons pas lire ? », s’interrogeait-il. « Non, il ne faut pas […] Le premier devoir de tout gouvernement est de garder notre pays et notre peuple en sécurité. » David Cameron

Soutenant ainsi le GCHQ, la FBI et la NSA.

Resurgit toujours cette nécessité d’offrir une réelle protection des données personnelles aux citoyens/internautes et celle de permettre aux autorités d’enquêter et résoudre des enquêtes criminelles. Apple justifie son chiffrement de bout-en-bout et le refus des backdoors par le fait qu’il ne peut être garanti qu’une porte dérobée ne soit utilisée que par des personnes bienveillantes. Mais de la même façon : les nouvelles technologies, à la portée de tous, et le chiffrement avec elles, sont également susceptibles d’être utilisées par des criminels au dessein funeste.

La solution parfaite existe-t-elle ? La BBC avance celle-ci : le gouvernement britannique pourrait obliger les citoyens à enregistrer leurs mots de passe dans une base de données accessible aux autorités uniquement sous mandat.

Aujourd’hui, il n’est plus véritablement question de chiffrement, de backdoors ou de mandat, mais semble-t-il de confiance. Qui n’existe plus ou est fortement ébranlée.
Imaginons qu’une telle solution soit mise en place : quelle garantie que les autorités passent réellement par la case mandat, qu’elles ne cherchent pas, en cas de refus ou d’urgence, à contourner le problème et accéder aux données par leurs propres moyens ou que les entreprises hébergeant cette base de données, ces clés de chiffrement et autres mots de passe ne collaborent pas officieusement par quelques accords tacites ?

Depuis les révélations d’Edward Snowden et même avant, beaucoup se sont posés ces questions et se les posent encore, même avec les meilleures garanties de protection. Une garantie ne marche que par le crédit que vous accordez à celui ou celle qui la formule.

C’est la semaine prochaine que le projet de loi « Pouvoirs d’enquête » ou « investigatory power bill » (dont nous vous parlions la semaine dernière), que certains nomment déjà « loi espion », sera publiée et avec elle les nouveaux pouvoirs alloués aux services de sécurité du Royaume-Uni pour accéder aux données des suspects.
Parmi eux, la possibilité pour les services secrets britanniques, après l’aval du ministère de l’Intérieur, de pirater le téléphone et/ou l’ordinateur d’un suspect pour récupérer l’ensemble des données transitant sur l’appareil, et ce, afin de contourner les méthodes de chiffrement des communications.