RIM, Nokia, Skype en Inde : menace généralisée sur les communications chiffrées
Après le service de messagerie électronique d’entreprise Blackberry, le gouvernement indien s’attaque au service de messagerie en mode «push» de Nokia. Mais il vise plus large : ce sont tous les services de communication électronique chiffrés qui sont dans son collimateur. Une approche motivée par un impératif sécuritaire que l’on retrouve aussi dans une récente décision des Emirats Arabes Unis. Deux situations qui posent la question des capacités à communiquer de manière sûre des personnes en transit pour affaires dans ces pays. Mais aussi, peut-être, de l’avenir du chiffrement sur Internet.
Alors qu’en France, la libéralisation de la cryptographie vient de fêter son douzième anniversaire, celle-ci semble de plus en plus menacée dans certains pays. Depuis l’été dernier, RIM est engagé dans un bras de fer avec le gouvernement indien. Ce dernier veut pouvoir intercepter et écouter en temps réel les échanges de messages chiffrés des services Blackberry grand public (BIS) et d’entreprise (BES). Si, pour le BIS, l’affaire semble entendue, pour le BES, RIM assure ne pas disposer des moyens techniques permettant ce genre d’interception : ses clients sont seuls maîtres des clés de chiffrement utilisées. Et tant pis si une entreprise indienne assurait récemment avoir trouvé le moyen de passer ces barrières de confidentialité, pour l’heure, la situation a des airs de paix armée.
Mais RIM n’est pas seul dans le collimateur du gouvernement indien : les services protégés de Google ou encore de Skype sont également visés. Une préoccupation à l’égard des moyens de communication électronique chiffrés que l’on a vu émerger au grand jour à l’été 2008, à la suite des attentats d’Admedabad et de Bangalore, quelques mois avant ceux de Mumbai.
Les opérateurs priés de ne pas proposer le pushmail de Nokia
Et c’est maintenant Nokia, et ses services de pushmail/powermail d’entreprise qui sont ciblés. Selon nos confrères indiens, le ministère de l’intérieur local a sommé son collègue des télécommunications de demander aux opérateurs mobiles du pays de ne pas mettre en place ces services tant qu’une solution d’écoute et d’interception temps réel adaptée ne serait pas disponible. De son côté, Nokia a indiqué avoir commencé à coopérer avec le gouvernement indien, notamment en installant des serveurs pour ses services de pushmail sur le sol du sous-continent.
Le bureau indien du renseignement souhaite disposer de capacités d’écoute et d’interception en temps réel sur les communications électroniques, sur la base de numéros de téléphones mobiles, de numéros de série de terminaux, d’adresses de messagerie électronique, adresses IP ou encore de mots clés. Pour l’heure, ce seraient environ 8000 ordres d’écoutes légales qui seraient émis chaque mois pour les communications téléphoniques, en Inde. L’extension de ces dispositions à toutes les communications électroniques ne devrait pas manquer, à terme, de soulever la question de l’ensemble des échanges chiffrés par Internet... Pour mémoire, les appels vidéo sur les réseaux 3G ont été interdits durant quelques temps dans le pays; les opérateurs ont jusqu’au 31 juillet pour fournir une solution d’interception en temps réel de ce type d’appel.
Mais à moins d’inspecter systématiquement tous les paquets de données transitant sur les réseaux des FAI et des opérateurs indiens, le blocage simple de ports standard associés à IMAP-SSL/IMAPS et SSMTP ou encore SSL-POP, par exemple, pourrait bien s’avérer inefficace. Un blocage qui n’est d’ailleurs pas mis en place à ce jour. Et déjà, certains, en Inde, s’inquiètent ouvertement des menaces pesant sur la vie privée.
Un effet boule de neige ?
Mais l’Inde n’est pas un cas isolé. L’Arabie Saoudite et les Emirats Arabes Unis ont clairement exprimé leur intérêt plus que vif pour des solutions d’écoute en temps réel des échanges Blackberry. Le Liban et l’Algérie seraient également intéressés. D’ailleurs, les Emirats Arabes Unis viennent tout juste de décider de restreindre significativement l’accès aux services de communication chiffrés Blackberry de RIM : seules les entreprises comptant plus de 20 utilisateurs seront autorisées à utiliser les services fournis par un BES. Les autres devront se contenter des services proposés par les opérateurs sur la base du serveur BIS dont les échanges pourront être aisément interceptés par les autorités locales. Selon DNA India, ces exigences de capacités d’interception devraient entrer en vigueur le 1er mai et concerner d’autres services de communication chiffrés.
Mais nombre de questions restent sans réponse : quid des entreprises étrangères partenaires d’entreprises locales ? L’accès à leur BES leur sera-t-il fermé ? Faudra-t-il demander une autorisation spéciale pour y accéder ?