Discussion :

[Stan Adkens]

Une loi allemande veut forcer WhatsApp et Apple à déchiffrer les messages
Mais une porte dérobée pour les « gentils » seulement est impossible

Le chiffrement de bout en bout est un assez fiable pour assurer la sécurité des données et des communications sur les applications de chat, de mail et même d’appel. Lorsqu’il est implémenté de manière forte, les données et les communications protégées ne sont déchiffrable que par les correspondants concernés. Mais depuis quelques années, une querelle mondiale oppose les développeurs d'applications de messagerie sécurisée et les gouvernements, qui tentent d’obliger les opérateurs de services tels que WhatsApp, Signal, Apple iMessage et Telegram à cracher des enregistrements en texte clair des conversations chiffrées privées des utilisateurs aux autorités. Les autorités du monde entier continuent de réclamer un accès généralisé aux communications chiffrées par des moyens détournés, sans tenir compte du fait que cela porterait gravement atteinte à la sécurité de tous.

Les dernières mesures en date de cette guerre anti-chiffrement proviennent de l’Allemagne. Les autorités gouvernementales allemandes seraient en train de réfléchir à une loi visant à obliger les fournisseurs d'applications de chat à transmettre les conversations cryptées de bout en bout en texte clair, d’après le site Web de Tutanota, un logiciel open source de courriel chiffré de bout en bout. En effet, le politicien conservateur Horst Seehofer (CSU), ministre allemand de l'Intérieur, veut forcer les services de messagerie chiffrés comme WhatsApp, Threema, Signal, Wire, Telegram, et les iMessages d'Apple à déchiffrer les messages de leurs utilisateurs à la demande des autorités allemandes.

Pour rappel, jusqu’à présent, la République fédérale d’Allemagne a été favorable au chiffrement fort des conversations sur Internet, a rapporté le site Web de Tutanota. En effet, en 1999 lors de la première vague anti-chiffrement, les autorités allemandes ont évalué les intérêts des parties – ceux qui s’opposent au chiffrement fort sous prétexte que les criminels, les extrémistes et les terroristes abuseraient de cette vie privée et les citoyens, les journalistes et les militants qui y trouvent un moyen pour communiquer à l'abri des regards indiscrets des régimes gouvernementaux oppressifs. Après cette analyse les autorités de l’époque avaient pris parti pour la protection et la sécurité des internautes et les entreprises allemands contre « l'espionnage, la manipulation et la destruction illégalaux des données », faisant de l’Allemagne le site de chiffrement numéro un, selon le site Web.

Selon le ministre de l’Intérieur Seehofer, le nouveau projet de loi ne serait pas qualifié de surveillance de masse parce, les autorités auraient encore besoin d'un mandat pour déchiffrer les messages chiffrés des criminels présumés. Toutefois, cela ne change rien au fait que M. Seehofer demande une porte dérobée générale, qui constitue par définition une vulnérabilité dans les plateformes.

Actuellement, le droit allemand ne permet que les communications recueillies à partir de l'appareil d'un suspect lui-même. Ainsi, la police allemande ne déchiffre pas le contenu des messages en transit, mais se contentait de s'emparer de l'appareil lui-même, où les messages sont généralement stockés en texte clair. Mais si cette nouvelle loi est adoptée, elle inclura également les sociétés fournissant des services de clavardage et des logiciels de clavardage chiffrés.

L’initiative allemande n’est pas la première dans la vague mondiale anti-chiffrement. En décembre dernier, la Chambre des représentants australienne a adopté son projet de loi anti-chiffrement Assistance and Access Bill. Ce projet de loi, tel qu'il est connu, permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de le forcer, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder. En d’autres termes, Assistance and Access Bill permet à la police de requérir des services de messagerie comme WhatsApp ou Signal qu’ils intègrent des portes dérobées afin que des chargés d’enquêtes puissent accéder à des messages.

Aussitôt adoptée, la loi a connu la contestation des entreprises de messagerie chiffrée comme Signal et FastMail. « Nous ne pouvons pas introduire de porte dérobée dans notre application », avait indiqué Signal contre la loi Assistance and Access Bill de l'Australie une semaine après son adoption.

Les autorités britanniques avaient prévu une mesure similaire en 2015. La proposition de loi britannique prévoyait d'interdire aux entreprises d’Internet d'offrir le chiffrement de bout en bout à leurs utilisateurs. Selon le ministre d'État à la Défense, en vertu de cette législation, le gouvernement britannique pourrait forcer les FAI à « développer et maintenir une capacité technique pour supprimer le chiffrement qui a été appliqué à des communications ou des données ».

Cette guerre anti-chiffrement continue et les nouvelles règles allemandes doivent être discutées par les membres du ministère de l'Intérieur lors d'une conférence en juin prochain, mais il est fort probable qu'elles se heurtent à une vive opposition non seulement pour des raisons de confidentialité, mais aussi en ce qui concerne la faisabilité technique de ces exigences.

Il est peu probable que cette nouvelle loi qui pourrait autoriser la violation de la vie privée des Allemands puisse être adoptée

Selon le site Web de Tutanota, il est très peu probable que la Cour constitutionnelle allemande autorise une telle violation de la vie privée en premier lieu. De toute évidence, une telle mesure conduira à plus de vulnérabilité qu’à plus de sécurité, selon le site Web de l’application de messagerie chiffrée.

Par ailleurs, la loi actuelle qui encourage le chiffrement fort avait été approuvée à l’époque par ce même ministère allemand de l'Intérieur qui avait décidé que de tel chiffrement était nécessaire pour protéger les citoyens et les entreprises allemands contre « l'espionnage, la manipulation et la destruction illégaux des données ».

Les experts en cryptographie du monde entier sont convaincus que toute porte dérobée de chiffrement détruit la sécurité en ligne. « En exigeant des portes dérobées au chiffrement, les politiciens ne nous demandent pas de choisir entre la sécurité et la confidentialité. Ils nous demandent de ne choisir aucune sécurité », ont-t-ils déclaré dans un article, selon le rapport du site Web.

Le projet de nouvelle loi du ministre allemand de l’Intérieur, comme tous les autres déjà adopté ou à l’étude par les gouvernements dans le monde, ne servira donc qu’à fragiliser les applications des citoyens et des entreprises et à les exposer, non seulement, à la surveillance des hackers gouvernementaux, mais également, aux risques des cyberattaques - car il n'existe pas de porte dérobée seulement que pour les « gentils ». Par ailleurs, une telle loi avertirait les criminels qui se dépêcheraient de trouver des stratégies différentes, et servirait également d’exemple pour les gouvernements autocrates, qui veulent surveiller et opprimer l'opposition dans leur pays.

En janvier 2016, le gouvernement néerlandais a imposé un refus catégorique à la vague anti-chiffrement. Dans un rapport publié par le ministère de la Sécurité et de la Justice, le gouvernement s’est ouvertement opposé à toute forme de mesure allant dans le sens contraire du chiffrement. En effet, vu que le chiffrement constitue un mécanisme de sécurité largement utilisé, il « estime qu’il n’est pas convenable en ce moment d’adopter des mesures juridiques restrictives à l’encontre du développement, de la disponibilité, et de l’utilisation du chiffrement au sein des Pays-Bas ».

D’après les autorités néerlandaises de l’époque, « en introduisant un support technique dans les produits utilisant le chiffrement, cela donnerait aux autorités l’accès aux produits et par la même occasion rendrait les fichiers chiffrés vulnérables aux criminels, aux terroristes et aux services de renseignements étrangers ». Apple a livré pareil combat en 2016 contre les autorités américaines lorsque ces dernières lui faisaient obligation de déchiffrer l’iPhone d’un suspect dans Affaire San Bernardino.

Même si les gouvernements arrivent à mettre en œuvre ces capacités de déchiffrement obligatoire, il serait pratiquement impossible de les faire fonctionner correctement, sans ouvrir une nouvelle faille de sécurité massive dans les plateformes que les criminels, terroristes et autres attaquants pourraient exploiter. Finalement, les personnes que les gouvernements veulent protéger pourraient devenir des victimes, pendant que les méchants visés auront fini de changer de stratégie.

Source : Tutanota

Et vous ?

Que pensez-vous du projet de loi anti-chiffrement du ministère allemand de l’Intérieur ?
Que pensez-vous de l’avenir du chiffrement bout à bout avec ces différentes initiatives nationales de loi anti-chiffrement qui émergent ?

Lire aussi

Angleterre : une proposition de loi prévoit d'interdire aux entreprises internet d'offrir le chiffrement de bout en bout, à leurs utilisateurs
Apple refuse de se plier à l'injonction du tribunal, qui l'oblige à aider le FBI à déverrouiller un iPhone dans le cadre de son enquête
« Nous ne pouvons pas introduire de porte dérobée dans notre application », indique Signal, contre la loi Assistance and Access Bill de l'Australie
L'Australie adopte son projet de loi anti-chiffrement sans amendements, malgré les protestations de l'industrie technologique
Le gouvernement néerlandais s'oppose ouvertement à l'introduction de backdoors dans les systèmes, en éclairant sa position à travers un rapport

[Neckara]

C'est quoi l'intérêt de chiffrer si tout le monde (Allemagne, UK, Autriche, Australie, USA, ...) peut déchiffrer ?

À ce compte, autant tout envoyer en clair, cela économisera des ressources.

[el_slapper]

C'est quoi l'intérêt de chiffrer si tout le monde (Allemagne, UK, Autriche, Australie, USA, ...) peut déchiffrer ?

À ce compte, autant tout envoyer en clair, cela économisera des ressources.

Surtout, du moment ou ne serait-ce qu'un seul intervenant met en place les outils pour ça, les hackers s'engouffrent derrière dans le trou béant. Les grands de ce monde n'ont décidément rien compris à l'informatique(pas seulement internet). Comme dit dans l'article, c'est "plus de vulnérabilité". Et ils restent polis.

[air-dex]

Surtout, du moment ou ne serait-ce qu'un seul intervenant met en place les outils pour ça, les hackers s'engouffrent derrière dans le trou béant. Les grands de ce monde n'ont décidément rien compris à l'informatique(pas seulement internet). Comme dit dans l'article, c'est "plus de vulnérabilité". Et ils restent polis.

Tout est bien compris au contraire. C'est juste la définition des données privées qui pose problème : les miennes doivent absolument être inaccessibles, mais pas celles des autres bien au contraire. C'est la même définition du citoyen de base au grand de ce monde, en passant par les terroristes.

[Madmac]

Avec la dégringolade d'Intel causer par sa porte dérobée. Je crois que les entreprises vont y penser par deux fois avant d'installer des portes dérobée dans leur produits.

[Neckara]

Avec la dégringolade d'Intel causer par sa porte dérobée. Je crois que les entreprises vont y penser par deux fois avant d'installer des portes dérobée dans leur produits.

Y'en a qui croient encore au père noël.