Nouvelles pressions sur le chiffrement
Des représentants des autorités intervenants sur Infosecurity Europe, cette semaine à Londres, ont appelé à une plus grande coopération des géants de l’IT pour l’interception des communications chiffrées.
Fin janvier, Thomas de Maizière, ministre de l’Intérieur allemand, avait pris position en faveur d’un chiffrement qui soit… déchiffrable par les autorités Pour lui, les forces de l’ordre « doivent être capables de décrypter les communications chiffrées lorsque c’est nécessaire à leur travail de protection de la population ».
Il rejoignait ainsi la position de David Cameron qui, quelques semaines plus tôt, s’interrogeait : « dans notre pays, voulons-nous autoriser des moyens de communication entre personnes que nous ne pouvons pas lire ? Jusqu’à aujourd’hui, la réponse de ce gouvernement a été non ».
Mais tous deux ne se faisaient finalement que l’écho de voix de plus en plus nombreuses, dont celles du directeur d’Europol, Rob Wainwright, du directeur du FBI, James Comey, de l’ancien patron de l’EC3, Troels Oerting, ou encore du directeur du GCHQ, Robert Hannigan.
C’est donc sans surprise que le sujet du chiffrement s’est invité à Infosecurity Europe, cette semaine, à Londres.
Pour Alan Woodward, expert en sécurité et consultant d’Europol, il ne peut y avoir de zone de communication inaccessible aux forces de l’ordre. Mais ni les portes dérobées, ni l’affaiblissement du chiffrement ne sont des solutions pertinentes car les cybercriminels pourraient tout autant en profiter.
Le vice-président de la Commission européenne en charge du marché numérique unique, Andrus Ansip, a d’ailleurs récemment confirmé que Bruxelles ne prévoit pas de demander la création de portes dérobées. Une prise de position que l’on peut interpréter comme un soutien à l’Enisa qui appelait récemment à encourager au chiffrement.
Pour Woodward, la solution est à chercher ailleurs : dans une coopération de l’industrie IT avec les gouvernements, au travers de la création d’architectures permettant les interceptions légales : « c’est quelque chose qui pourrait être contrôlé et qui n’ouvre pas la voie à la surveillance de masse. Il s’agirait surtout de surveillance ciblée ». Et ce, sans pour autant compromettre de manière généralisée le chiffrement « parce qu’il y a un point où [les données] sont potentiellement visibles ».
Pour Andy Archibald, directeur adjoint de la division de lutte contre la cybercriminalité de l’agence britannique contre la criminalité, les forces de l’ordre doivent « développer un discours rassure le public » parce qu’au fond, la surveillance de masse ne les intéresse pas… faute de temps et de ressources pour traiter des volumes de données considérables tout en évitant les intrusions collatérales. « Nous ne voulons pas de surveillance de masse, mais nous voulons pouvoir, au travers d'échanges avec l’industrie, pour répondre ensemble le mieux possible à ce défi précis » des interceptions légales.
Même son de cloche du côté de Michael Driscoll, du FBI, pour qui le chiffrement ne peut pas être remis en question… mais « nous devons travailler avec le secteur privé » pour répondre aux « menaces sérieuses qui viennent avec le chiffrement » des communications, susceptibles d’être mises à profit par les criminels si les forces de l’ordre ne peuvent pas les intercepter.
Au final, il apparaît pour l’heure que si les agences de sécurité ne cherchent pas la surveillance de masse, elles cherchent l’interception facile, en n’ayant qu'à solliciter l’éditeur d’un service comme WhatsApp ou iMessage. Quitte à oublier qu’une telle facilité ne leur sera d’aucun secours lorsqu’il s’agira d’écouter les communications de criminels exploitant des applications Android diffusées en dehors d’un Google Play Store et fonctionnant sans intermédiaire de stockage.
Là, seule l’interception vraiment ciblée, à partir de mouchards installés localement, pourra encore fonctionner. Car c’est bien là le seul endroit où voir à coup sûr les données déchiffrées : le terminal de l’utilisateur, pendant la consultation.
Les cybercriminels, avec les logiciels espions, l’ont bien compris. Mais les forces de l’ordre semblent encore vouloir croire à la facilité.
Avec nos confrères de ComputerWeekly (groupe TechTarget)