Un nouveau chapitre de la guerre du chiffrement (« crypto war »), qui oppose les adeptes de la cryptographie et les forces de l’ordre, vient de s’ouvrir aux États-Unis. Trois sénateurs républicains viennent de déposer une proposition de loi qui, en substance, vise à casser le chiffrement de bout en bout dans les communications et les supports de stockage électroniques.
Baptisé « Lawfull Access to Encrypted Data Act » (LAEDA), ce texte législatif est présenté comme « une solution équilibrée qui garde à l’esprit les droits constitutionnels accordés à tous les Américains, tout en fournissant aux forces de l’ordre les outils nécessaires pour protéger le public contre les crimes violents de tous les jours et les menaces à notre sécurité nationale ».
Cette loi, si elle est votée, permettrait aux forces de l’ordre de contraindre les fabricants et les fournisseurs de services de les « aider à accéder aux données chiffrées », après l’accord d’un juge. Cela ne concerne, en réalité, que les données chiffrées de bout en bout, car pour les autres, les forces de l’ordre ont déjà tous les moyens légaux et techniques nécessaires pour y accéder.
D’après la proposition de loi, le gouvernement pourrait également sommer ces acteurs à créer des « capacités d’assistance », autrement dit des backdoors. En l’espace de trente jours, l’organisation visée devrait alors préciser comment elle compte s’y prendre, et dans quel laps de temps. Évidemment, elle pourrait toujours essayer de dire que c’est « techniquement impossible », mais il faudrait alors le prouver. Bonne chance.
Les fabricants qui seraient concernés par cette loi sont ceux qui réalisent des équipements électroniques avec plus d’un gigaoctet de stockage et qui les commercialisent à plus d’un million d’exemplaires. Côté fournisseurs de services, la loi s’appliquerait à partir du moment où il y aurait plus d’un million d’utilisateurs par mois. Bref, toutes les marques high-tech connues seraient affectées : Apple, Google, Facebook, Samsung, Huawei, WhatsApp, Signal, FaceTime, Fitbits, Rokus, etc.
Trouver la backdoor parfaite
Et ce n’est pas tout. La proposition de loi prévoit également la mise en place d’un grand concours scientifique pour créer la backdoor parfaite, celle qui serait capable d’assurer la sécurité des utilisateurs tout en garantissant un accès aux forces de l’ordre. Les lauréats recevraient une récompense d’un million de dollars au maximum. Le concours disposerait d’un fond total de 50 millions de dollars.
Pour l’association EFF, ce concours est ridiculement vain et s’apparente à la « quadrature du cercle ». La création d’une backdoor sécurisée « n’a pas échoué en raison d’un manque de ressources ou d’incitations monétaires appropriées. C’est simplement parce qu’il est impossible de concevoir un système qui donne de manière fiable l’accès aux données à certains sans affaiblir de façon catastrophique sa sécurité », explique l’association dans une note de blog.
Les cryptographes estiment, en effet, qu’une backdoor dans un dispositif de chiffrement finira tôt au tard à tomber dans de mauvaises mains, mettant en péril les communications d’un grand nombre de personnes et d’organisations. C’est un risque général pour toute la société qui dépasserait de loin le bénéfice donné aux seules forces de l’ordre, pensent les experts.
source : 01net