Chiffrement : 14 experts contre les portes dérobées
Alors que les pressions se multiplient sur un chiffrement qui se généralise, plusieurs experts soulignent les dangers de l’installation de portes dérobées.
Dans le monde de l’informatique, et encore plus dans celui de la sécurité, on ne les présente plus. Harold Abelson, Ross Anderson, Steven M. Bellovin, Josh Benaloh, Matthew Blaze, Whitfield Diffie, John Gilmore, Matthew Green, Peter G. Neumann, Susan Landau, Ronald L. Rivest, Jeffrey I. Schiller, Bruce Schneier, Michael Specter, et Daniel J. Weitzner viennent de signer une longue lettre ouverte dans laquelle ils expliquent pourquoi des portes dérobées permettant aux forces de l’ordre d’accéder librement aux communications privées chiffrées seraient une très mauvaise idée.
Ils répondent ainsi aux velléités ouvertement exprimées aux Etats-Unis, au Royaume-Uni ou encore Allemagne, tant par des gouvernants que par des représentants des autorités, de disposer de portes dérobées dans systèmes de chiffrement.
Pour les 14 experts signataires, les nouvelles attentes en matière d’accès légal exceptionnel aux communications chiffrées « posent de graves risques de sécurité, menacent l’innovation et soulève d’importants problèmes pour les droits de l’Homme et les relations internationales ».
Selon eux, trois problèmes clés sont là posés. Pour eux, il y a en premier lieu un revirement total par rapport aux pratiques de référence « désormais déployées pour rendre Internet plus sûr ». Et puis ouvrir des portes dérobées « augmenterait significativement la complexité des systèmes ». Là, « les chercheurs en sécurité à l’intérieur et à l’extérieur des gouvernements s’accordent pour dire que la complexité est l’ennemi de la sécurité. Chaque nouvelle fonction peut interagir avec les autres pour créer des vulnérabilités ». Et là, pour répondre aux demandes de certaines autorités, il s’agit de « nouvelles fonctions technologiques qu’il faudrait déployer et tester avec littéralement des centaines de milliers de développeurs dans le monde entier ».
Pour les chercheurs, le constat est sans appel : « c’est un environnement largement plus complexe que la surveillance électronique aujourd’hui déployée dans les services de télécommunications et d’accès à Internet ».
Enfin, et surtout, ouvrir des portes dérobées et fournir les clés à quelques agences représentantes des forces de l’ordre « créerait des cibles concentrées susceptibles d’attirer les acteurs malicieux. […] Si les clés des forces de l’ordre garantissent l’accès à tout, un attaquant ayant eu accès à ces clés profiterait du même privilège ». Et comme les chercheurs le relèvent avec un brin de malice, « les récentes attaques sur le bureau de gestion du personnel du gouvernement des Etats-Unis (OPM) montent tout le mal qui peut émerger lorsque plusieurs organisations font confiance à une seule institution elle-même vulnérable ».