Inde : une proposition de loi sur la régulation du chiffrement
suscite la controverse
Le gouvernement indien voudrait s’assurer que ses forces de l’ordre puissent avoir facilement accès à des informations chiffrées. « Sous la section 84A de la loi sur les Technologies d’Information, les règles doivent être encadrées afin de prescrire des modes ou des méthodes pour le chiffrement », a expliqué le gouvernement. Aussi, un groupe d’experts a été constitué par le département de l’électronique et des technologies d’information (DeitY) pour établir un projet de loi sur les politiques de chiffrement.
Ce projet de loi se donne pour mission « d’assurer la confidentialité de l’information dans le cyber espace pour les particuliers, la protection des informations sensibles ou propriétaires des particuliers et des entreprises, assurer la fiabilité et l’intégrité continues des systèmes d’informations critiques et des réseaux nationaux ». Un objectif somme toute louable. Mais qu’en est-il en réalité ?
Au niveau institutionnel, les transactions sur les sites d'e-commerce, les transactions bancaires et les services gouvernementaux en ligne utilisent le chiffrement pour protéger les données personnelles, comme le font d’ailleurs plusieurs sites qui stockent des données de l'utilisateur à l’instar de Facebook et de Google, pour ne citer que ceux-là. Au niveau individuel, les réseaux privés virtuels (VPN), ou des applications de messagerie sécurisées sont quelques exemples de technologies de chiffrement. De par le monde, nombreux sont les militants qui cherchent à chiffrer leurs échanges numériques pour éviter l’espionnage exercé par des régimes répressifs.
Pranesh Prakash, Policy Director au Center for Internet and Society basé à Bangalore, a traité la proposition de « mauvaise idée conçue par des gens qui ne comprennent pas le chiffrement ». Le projet de loi indique que les fournisseurs de service utilisant des technologies de chiffrement ou ceux qui fournissent de tels services en Inde « doivent conclure une entente avec le gouvernement pour fournir de tels services en Inde. Prakash estime « qu’une telle politique nécessiterait que des dizaines de milliers de sites viennent à conclure un accord avec le gouvernement de l'Inde. Est-ce que le gouvernement a la capacité de faire entrer en vigueur ces nombreux accords ? »
Il a fait référence à l’article qui prévoit que les utilisateurs « doivent reproduire les paires de texte en clair et texte chiffré. Toutes les informations doivent être conservées par les entités concernées B / C (Business / Citoyen) sur une période de 90 jours à compter de la date de transaction et mises à la disposition des forces de l’ordre dès lors qu’elles sont exigées conformément aux dispositions des lois du pays ».
Pour Prakash, « cela signifie que si quelque chose comme Ashley Madison devait exister en Inde, ils doivent garder les mots de passe en texte clair (non chiffrés, et donc vulnérables) avec eux pendant 90 jours. Cela pose un problème. En outre, certaines formes de chiffrement ne maintiennent pas des journaux qui pourraient être stockés par les utilisateurs. Le groupe qui a émis cette proposition ne l’a pas pris en considération ».
« Le gouvernement doit comprendre que les connaissances et l'expertise des citoyens ordinaires peuvent être insuffisantes pour comprendre les nuances du chiffrement », a expliqué Na Vijayashankar, expert en droit numérique. « Bien que les citoyens soient indirectement touchés par la politique mise en œuvre par le gouvernement ou les utilisateurs professionnels, les citoyens ne peuvent pas à ce niveau assumer la responsabilité à la conformité directe de cette politique étant donné que leur ignorance sera exploitée par des intermédiaires pour des gains ».
« S’attendre à ce que les utilisateurs et les entreprises conservent la combinaison texte en clair / texte chiffré est non seulement ridicule mais aussi dangereux », a avancé Sandesh Anand, un professionnel de la sécurité. « Ridicule parce que cela signifie que des téraoctets de données seront conservés et récupérés sur une simple injonction. Dangereux parce que le but du chiffrement est (parfois) de s’assurer que le texte en clair ne soit pas accessible, à moins qu’un déchiffrement ne soit effectué. Ainsi, dans les cas où le chiffrement est utilisé pour stocker des données sensibles en toute sécurité, les termes de ce projet de loi affaiblissent la sécurité ».
Mahendra Palsule, un éditeur au sein de l’agrégateur Techmeme, estime que « le projet de loi national sur le chiffrement en Inde pourrait très bien être un projet qui énonce la vision de la NSA / GCHQ ».
Mais le projet a également ses défenseurs. Krupakar Manukonda, un ingénieur logiciel, a estimé que « le gouvernement ne vous demande pas de transférer inconditionnellement vos informations privées. S’il a un soupçon, il vous demandera simplement de lui présenter un contenu non chiffré. Est-ce que le gouvernement peut décider des règles autour du chiffrement ? Oui, conformément à la loi Informatique, il le peut. Je ne vois pas comment des agences de sécurité peuvent fonctionner sans qu’il y ait un certain contrôle sur les communications ».
Il faut préciser que « ce projet de loi n’est pas applicable aux ministères / organismes sensibles du gouvernement désignés pour effectuer des rôles sensibles et stratégiques ».
Source : projet de loi (au format PDF), billet de Na Vijayashankar, billet de Sandesh Anand, tweet de Pranesh Prakash, tweet de Mahendra Palsule, tweet de Krupakar Manukonda
Et vous ?
Qu'en pensez-vous ?
Partager