Discussion :

[Stéphane le calme]

Apple à l'Australie: « Ce n'est pas le moment d'affaiblir le chiffrement »,
l'entreprise fait valoir que ce projet de loi n'est pas la meilleure solution

Apple a officiellement fait opposition au nouveau projet de loi proposé par le gouvernement australien qui, selon les critiques, va contribuer à affaiblir le chiffrement.

En effet, tenter de contraindre les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients dans le cadre de nouveaux plans de sécurité pourrait « nuire gravement » à la cybersécurité du pays, a averti l’industrie.

« Les agences pourraient obliger un fabricant d'appareils à précharger (puis dissimuler) des logiciels de pistage ou de capture d'écran (logiciels espions) sur des combinés commerciaux pouvant être activés à distance », ont déclaré dans une communication conjointe la Communications Alliance (l'organe de représentation de Telstra, Optus et de fabricants d’appareils tels que Nokia et Huawei), l’Australian Information Industry Association et l’Australian Mobile Telecommunications Association.

« Le manque de clarté et de détail soulève des préoccupations importantes quant à l'intention, à la mise en œuvre effective et, en fin de compte, à la portée législative ».

Le ministre de l'Intérieur, Peter Dutton, cherche à obtenir de nouveaux pouvoirs au nom des agences de sécurité australiennes en réponse à l'utilisation croissante du chiffrement par les criminels : « Les syndicats criminels et les terroristes abusent de plus en plus de ces technologies », a déclaré Dutton dans un discours la semaine dernière tenu devant le Parlement sur The Assistance and Access Bill 2018.

« Le projet de loi prévoit des pouvoirs supplémentaires pour les forces de l’ordre en matière d'accès informatique ouvert et caché. L'accès aux ordinateurs implique l'utilisation de logiciels pour collecter des informations directement à partir de dispositifs », a-t-il déclaré.

L'industrie de la technologie s’est montré unanime en s’opposant au projet de loi, malgré les assurances de Dutton, selon lesquelles la législation ne va pas « affaiblir le chiffrement et ne va pas introduire des portes dérobées au sein des dispositifs chiffrés ».

Dans sa lettre, Apple a fait valoir que :

« Nous coopérons depuis longtemps avec le gouvernement australien sur des questions critiques et nous remercions le Parlement de nous avoir permis de partager notre point de vue sur ce sujet.

« Nous prenons extrêmement au sérieux le rôle de la technologie en général - et le rôle de Apple en particulier - dans la protection de la sécurité nationale et la vie des citoyens. Même si nous nous efforçons de livrer des expériences agréables aux utilisateurs d'iPhone, d'iPad et de Mac, notre équipe travaille sans relâche pour garder une longueur d'avance sur les agresseurs criminels qui cherchent à extraire des informations personnelles et même à s'approprier des appareils pour des agressions plus vastes qui nous mettent tous en danger. Ces menaces ne font que devenir plus sérieuses et sophistiquées avec le temps.

« C'est précisément à cause de ces menaces que nous supportons un chiffrement fort. Tous les jours, plus d’un billion de transactions se produisent en toute sécurité sur Internet comme une résultante des communications chiffrées. Celles-ci vont des opérations bancaires en ligne par carte de crédit aux échanges de dossiers médicaux, en passant par des photos d'un nouveau petit-enfant aux messages échangé entre proches. Les menaces sur ces communications et données sont très réel et de plus en plus sophistiquées ».

Une menace de violation de données

Apple indique que :

« Selon la base de données Notifiable Data Breaches du gouvernement australien, il y a eu au moins 2,5 violations de données par jour au cours du dernier trimestre de reporting - et il s’agit simplement de violations qui ont été identifiées et signalées. Ces attaques ont non seulement exploité les informations personnelles des utilisateurs, elles ont également ciblé des infrastructures critiques. L'année dernière, par exemple, le tristement célèbre NotPetya a rendu inutilisables des dizaines de milliers d'ordinateurs dans des multinationales et des hôpitaux. L’Australie a été durement touchée - elle a effectivement mis fin à l’activité de fabrication de Cadbury et a touché d’autres entreprises. Les appareils que vous transportez contiennent non seulement des courriels personnels, des informations sur la santé et des photos, mais sont également des conduits vers des sociétés, des infrastructures et d'autres services essentiels. Les infrastructures vitales, telles que les réseaux électriques et les centres de transport, deviennent plus vulnérables lorsque des appareils individuels sont piratés. Les criminels et les terroristes qui souhaitent infiltrer des systèmes et perturber des réseaux sensibles peuvent lancer leurs attaques en accédant au smartphone d’une seule personne.

« Face à ces menaces, le moment n'est pas venu d'affaiblir le chiffrement. Il y a fort à parier que cela va faciliter les opérations des criminels, au lieu de les compliquer. Renforcer le chiffrement - plutôt que l’affaiblir - est le meilleur moyen de se protéger contre ces menaces ».

Apple s’est directement attaqué à la problématique que les autorités américaines ont soulevé, notamment le chiffrement fort rend beaucoup trop difficile le travail des forces de l’ordre qui ont de la peine à accéder aux dispositifs de suspects au cours de leurs enquêtes.

Il faut aussi noter que le ministère américain de la Justice et le FBI ont réclamé en vain quelque chose de similaire pendant des décennies - aucune loi spécifique n'a été présentée aux États-Unis depuis l'échec de la proposition « Clipper Chip » sous l'administration Clinton. Cependant, les hauts responsables du DOJ et du FBI, sous les administrations Obama et Trump, ont continué à faire pression sur cette question.

« Certains suggèrent que des exceptions peuvent être faites et que l'accès aux données chiffrées pourrait être créé uniquement pour les personnes assermentées qui défendent le bien public », a poursuivi Apple. « C’est une fausse prémisse. Le chiffrement est simplement mathématique. Tout processus qui affaiblirait les modèles mathématiques protégeant les données des utilisateurs pour tout le monde affaiblirait par là-même occasion les protections offertes à tous. Ce serait une erreur d’affaiblir la sécurité de millions d’individus respectueux des lois pour pouvoir enquêter sur les rares personnes qui constituent une menace ».

Source : Apple

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Avec un contrat de 600 millions de $, Apple va se lancer dans la production de puces en Europe grâce à l'acquisition de Dialog Semiconductor
Marché du PC : Lenovo s'empare à nouveau de la première place au 3T2018 selon IDC, Apple est le seul OEM du top 5 à ne pas avoir fait de croissance
Le gouvernement US dit n'avoir aucune raison de douter d'Apple et d'Amazon qui démentent la présence de micropuces « espion » dans leurs serveurs
Un nouveau logiciel propriétaire d'Apple empêche la réparation des iMac Pro et MacBook Pro 2018 par des ateliers indépendants
La Chine aurait infiltré Apple et d'autres sociétés américaines en utilisant des micropuces « espion » insérées sur des cartes mères de serveurs

[Invité]

Et je pense que ce ne sera jamais le moment...

[Jonathan]

Le projet de loi anti-chiffrement australien sera bientôt adopté
Malgré certaines protestations des militants de la défense de la vie privée

Les entreprises de technologie s’efforcent d’assurer la sécurité et la confidentialité des données des utilisateurs en chiffrant les communications de ces derniers. En même temps, le renforcement de la protection veut dire que des criminels et potentiellement des terroristes sont eux aussi protégés, ce qui complique la tâche des enquêteurs. D’ailleurs le directeur du FBI Christopher Wray a lui aussi remis en cause en début d’année, l’implémentation de méthodes de chiffrement impossibles à outrepasser, en estimant que cela complique la tâche aux enquêteurs qui n’arrivent pas à accéder aux données présentes dans des milliers d’appareils.

C’est donc dans cet objectif sécuritaire que les principaux partis politiques australiens ont passé un accord en vue de l'adoption de lois controversées et radicales accordant aux autorités le pouvoir juridique d'accéder aux communications chiffrées. Cette décision a provoqué les réactions des entreprises technologiques qui craignent que cette loi porte atteinte à la sécurité des données de leurs clients, car d’après elles il n'est techniquement pas possible de créer une porte dérobée à laquelle seules les autorités gouvernementales pourraient accéder. Dans son rapport au Parlement, le Digital Industry Group australien, qui représente des sociétés telles que Twitter et Amazon, a déclaré que la loi les obligerait à créer des vulnérabilités dans leurs systèmes, lesquelles pourraient être exploitées par des pirates informatiques.

Le gouvernement de coalition libéral-national et le parti travailliste de l'opposition ont conclu un accord en vue de l'adoption de la loi, celle-ci devrait être adoptée par le Parlement australien d’ici la fin de la séance hebdomadaire prévue jeudi. Malgré les protestations des militants de la défense de la vie privée et d'autres grandes entreprises, le gouvernement a bien laissé comprendre aux entreprises qu'elles pourraient encourir des amendes de plusieurs millions de dollars si elles ne se conformaient pas à cette loi.

Le procureur général de Shadow, Mark Dreyfus a déclaré ceci : « ce projet de loi est loin d'être parfait et il restera probablement d'importantes questions en suspens, mais ce compromis donnera aux agences de sécurité et de mise en application les pouvoirs dont elles disent avoir besoin pendant la période de Noël. »

Avec cette nouvelle loi et l’incapacité technique des entreprises à créer une porte dérobée à laquelle seules les autorités gouvernementales pourraient accéder, les entreprises hésitent donc entre l’application de la loi au risque de laisser la porte ouverte aux pirates et le non-respect de la loi en s’exposant aux lourdes sanctions financières.

Sources : Sky News

Et vous ?

Que pensez-vous de cette loi ?
Partagez-vous l'avis de ceux qui pensent qu'il s'agit d'une violation des libertés des personnes ?

Voir aussi :

Le directeur du FBI critique fermement le chiffrement des données et appelle à trouver une solution pour accéder aux contenus chiffrés
Mark Zuckerberg remet en cause le bien-fondé du chiffrement des communications qui, selon lui, entrave la lutte contre la désinformation et la haine
Chiffrement quantique : des chercheurs créent un système de distribution de clés quantiques jusqu'à dix fois plus performant que tous les précédents

[Stéphane le calme]

L'Australie adopte son projet de loi anti-chiffrement sans amendements,
malgré les protestations de l'industrie technologique

La Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill. Le projet de loi anti-chiffrement, tel qu'il est connu, permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de le forcer, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder.

Un rapport en a relevé quelques points clés. En vertu de cette loi, les agences gouvernementales australiennes pourraient émettre trois types d'avis:

• Les avis d'assistance technique (TAN - Technical Assistance Notices), qui sont des avis contraignant, obligeant un fournisseur de communications à utiliser une capacité d'interception dont ils disposent déjà;
• Les avis de capacité technique (TCN - Technical Capability Notices), qui sont des avis contraignant qui obligent un fournisseur de communications à créer une nouvelle capacité d'interception, afin qu'il puisse respecter les avis d'assistance technique ultérieurs; et enfin
• Les demandes d'assistance technique (TAR - Technical Assistance Requests), décrites par les experts comme les plus dangereuses de toutes.

Les TAN et les TCN seront soumis à des délais légaux, ainsi qu'à toute extension, renouvellement ou modification des avis.

Les recommandations du rapport appellent également à un réexamen après 18 mois de l'entrée en vigueur du projet de loi par l'Observatoire indépendant des lois sur la sécurité nationale; Les TAN délivrés par les forces de police des États et des territoires doivent être approuvés par le commissaire de la police fédérale australienne; les sociétés ayant reçu des avis peuvent faire appel au Procureur général pour révéler publiquement le fait qu'elles ont reçu un TCN et le comité examinera la loi adoptée au début de la nouvelle année et fera rapport le 3 avril 2019, à peu près au moment du déclenchement des prochaines élections.

Les entreprises ayant reçu des avis pourront demander une évaluation contraignante à un expert technique et à un juge à la retraite, afin de décider si l’avis est la mesure la moins intrusive disponible, si elle est raisonnable et proportionnée. L’expert technique doit disposer des « connaissances lui permettant d’évaluer si le TCN proposé enfreint l’article 317ZG du projet de loi et doit être autorisé, pour des raisons de sécurité, au plus haut niveau requis par les membres du personnel de l’ASIO, à moins que le Procureur général niveau de sécurité », indique le rapport.

Dans la pratique

Assistance and Access Bill va permettre à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées, afin de donner aux enquêteurs accès au contenu des messages à condition que ces portes dérobées ne constituent pas des « faiblesses systémiques » dans la sécurité du service.

Le projet de loi devra être entériné dans la loi par la sanction royale, ce qui devrait avoir lieu avant Noël.

Les experts en sécurité sont presque à l'unanimité contre les backdoors, précisément à cause de cet affaiblissement. Une fois qu'un tel mécanisme a été implanté dans l'application, il crée une cible pour les agences d'espionnage et les entreprises d'espionnage d'autres pays qui pourraient vouloir voir ce dont les gens discutent, mais également pour des hackers.

L'Australie est le premier membre du pacte de partage de renseignements « Five Eyes » (qui est constitué par les États-Unis, le Royaume-Uni, le Canada, la Nouvelle-Zélande et l’Australie) à adopter un projet de loi de ce type.

La question du chiffrement préoccupe les agences de renseignement et les législateurs du monde entier depuis plusieurs années déjà. En particulier après les révélations de surveillance du dénonciateur de la NSA, Edward Snowden, des entreprises technologiques telles qu'Apple, Google et WhatsApp se sont servis de chiffrement de plus en plus forts afin de convaincre les utilisateurs qu'ils peuvent communiquer en toute sécurité. Pendant ce temps, certains enquêteurs ont exprimé leur frustration face à leur incapacité à voir ce que les suspects disent ou ont dit.

Un projet de loi adopté sans amendements

Jeudi était le dernier jour de séance du parlement australien cette année. Le parti travailliste de l’opposition avait tenté de modifier le projet de loi, mais cela aurait impliqué de poursuivre le débat l’année prochaine. Le parti a donc abandonné ses amendements à la dernière minute. Le chef de l'opposition, Bill Shorten, a déclaré que c'était parce qu'il ne voulait pas compromettre la sécurité des Australiens dans le contexte théorique d'un attentat terroriste pendant la pause estivale.

Les travaillistes espèrent maintenant que le gouvernement apportera des modifications à la loi l'année prochaine, notamment en donnant une définition concrète du terme « faiblesse systémique ».

Un projet de loi adopté malgré les inquiétudes soulevées par l’industrie

Le mois dernier, Apple a officiellement fait opposition à ce projet de loi. Pour Apple, tenter de contraindre les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients dans le cadre de nouveaux plans de sécurité pourrait « nuire gravement » à la cybersécurité du pays.

« Les agences pourraient obliger un fabricant d'appareils à précharger (puis dissimuler) des logiciels de pistage ou de capture d'écran (logiciels espions) sur des combinés commerciaux pouvant être activés à distance », ont déclaré dans une communication conjointe la Communications Alliance (l'organe de représentation de Telstra, Optus et de fabricants d’appareils tels que Nokia et Huawei), l’Australian Information Industry Association et l’Australian Mobile Telecommunications Association.

« Le manque de clarté et de détail soulève des préoccupations importantes quant à l'intention, à la mise en œuvre effective et, en fin de compte, à la portée législative ».

Dans sa lettre, Apple a fait valoir que :

« Nous coopérons depuis longtemps avec le gouvernement australien sur des questions critiques et nous remercions le Parlement de nous avoir permis de partager notre point de vue sur ce sujet.

« Nous prenons extrêmement au sérieux le rôle de la technologie en général - et le rôle de Apple en particulier - dans la protection de la sécurité nationale et la vie des citoyens. Même si nous nous efforçons de livrer des expériences agréables aux utilisateurs d'iPhone, d'iPad et de Mac, notre équipe travaille sans relâche pour garder une longueur d'avance sur les agresseurs criminels qui cherchent à extraire des informations personnelles et même à s'approprier des appareils pour des agressions plus vastes qui nous mettent tous en danger. Ces menaces ne font que devenir plus sérieuses et sophistiquées avec le temps.

« C'est précisément à cause de ces menaces que nous supportons un chiffrement fort. Tous les jours, plus d’un billion de transactions se produisent en toute sécurité sur Internet comme une résultante des communications chiffrées. Celles-ci vont des opérations bancaires en ligne par carte de crédit aux échanges de dossiers médicaux, en passant par des photos d'un nouveau petit-enfant aux messages échangé entre proches. Les menaces sur ces communications et données sont très réel et de plus en plus sophistiquées ».

Source : DailyMaverick

Voir aussi :

Pays-Bas : la police réussit à casser le chiffrement de l'application de messagerie IronChat et accède à 258 000 messages chiffrés
Selon certains analystes, les ordinateurs quantiques pourraient casser le chiffrement qui protège le web actuellement, mythe ou menace réelle ?
Firefox Nightly embarque le support du chiffrement de l'extension SNI, qui permet d'empêcher aux hackers de consulter votre historique de navigation
Mark Zuckerberg remet en cause le bien-fondé du chiffrement des communications qui, selon lui, entrave la lutte contre la désinformation et la haine
France : les hackers de la gendarmerie auraient une arme secrète contre le chiffrement, qui serait en service depuis environ un an

[Patrick Ruiz]

En Australie, des programmeurs pourraient être licenciés par leurs employeurs
Pour implémentation de backdoors à l’usage des forces de l’ordre

En ce dernier jour de séance du parlement australien, la Chambre des représentants a pris une grosse décision : elle a adopté le projet de loi Assistance and Access Bill. Le pays devient ainsi le premier de l’alliance « Five Eyes » (qui regroupe les États-Unis, le Royaume-Uni, le Canada, la Nouvelle-Zélande et l’Australie) à adopter un projet de loi anti-chiffrement.

Sous son actuelle forme, le texte dispose que les forces de police et de lutte contre la corruption du pays peuvent demander un accès à des contenus que les opérateurs de télécommunications, les fournisseurs de messagerie, etc. ont en leur possession. En d’autres termes, Assistance and Access Bill permet à la police de requérir de services de messagerie comme WhatsApp ou Signal qu’ils intègrent des portes dérobées afin que des chargés d’enquêtes puissent accéder à des messages. Voilà, de façon brossée, ce qui est prévu dans le projet de loi. Le tendaily – un éditeur en ligne australien – n’a pas manqué de glisser son commentaire sur le projet de loi et en a révélé un pan intéressant, notamment, quant à ce qui concerne la façon dont le gouvernement australien compte procéder dans certains cas.

Le projet de loi permet de forcer un travailleur de la Tech. à coopérer avec le gouvernement et les forces de l’ordre pour installer des portes dérobées, mais celui-ci ne pourra divulguer la requête à des tiers au risque d’écoper de plusieurs années d’emprisonnement.

Le gouvernement australien entend recruter des travailleurs de l’IT comme espions, mais la cible n’est pas une organisation terroriste ou un gang international ; c’est l’entreprise pour laquelle ils travaillent.

Lorsqu’il y a eu fuite du code source d’iBoot en début d’année, Apple s’est remué pour établir les responsabilités et a découvert que l’homme de l’ombre était un ancien stagiaire. Nul doute qu’un employé confirmé aurait perdu son emploi et que des poursuites judiciaires (sur la base du contrat avec clause de non-divulgation qui lie généralement les entreprises à des développeurs) auraient suivi. Le sort d’un employé d’Apple découvert en train d’implémenter des portes dérobées au sein des systèmes de la firme est dès lors aisé à imaginer. On s’attaque déjà aux valeurs et l’entreprise est connue pour son positionnement quant à ce qui concerne les demandes d’introduction de backdoors par les autorités gouvernementales. Pour rappel, le géant de la Tech. est connu pour son refus de coopérer avec le FBI afin de déverrouiller l’iPhone d’un terroriste.

Le FBI souhaitait qu'Apple installe une version personnalisée du système d'exploitation iOS pour contourner des fonctionnalités de sécurité importantes comme le mécanisme qui prévoit qu’après dix tentatives infructueuses pour déverrouiller le contenu du téléphone, ce dernier s’efface automatiquement. « Dans les mauvaises mains, ce logiciel - qui n'existe pas aujourd'hui - aura le potentiel de déverrouiller n'importe quel iPhone en la possession physique d'un individu », avait prévenu Apple. « Le FBI pourrait utiliser d'autres mots pour décrire cet outil, mais ne vous y trompez pas : concevoir une version d'iOS qui contourne la sécurité de cette façon va indéniablement créer une porte dérobée. Et, tandis que le gouvernement pourrait argumenter que son usage (de ce logiciel) va se limiter à ce cas spécifique, il n'y a aucun moyen de garantir un tel contrôle. »

« Le nouveau projet de loi est de nature à provoquer le départ (du sol australien) des entreprises qui partagent des valeurs similaires. En sus, le logiciel issu d’Australie est plus que jamais éligible à la suspicion de clients hors des frontières de ce pays », écrit le tendaily.

Le passage au statut de loi devrait se faire avant Noël. Ensuite, le texte devrait être revu sur un aspect qui constitue une zone d’ombre pour les membres du parti travailliste. En effet, le projet de loi demeure ambigu en ceci qu’il dispose que l’accès au contenu des messages se fasse à condition que les portes dérobées à l’usage des forces de l’ordre ne constituent pas des « faiblesses systémiques. »

Source : tendaily

Et vous ?

Qu’en pensez-vous ?

L’approche du recrutement des espions envisagée par le gouvernement australien peut-elle donner des résultats ?

Quel serait votre comportement dans une telle situation ?

Voir aussi :

Pays-Bas : la police réussit à casser le chiffrement de l'application de messagerie IronChat et accède à 258 000 messages chiffrés
Selon certains analystes, les ordinateurs quantiques pourraient casser le chiffrement qui protège le web actuellement, mythe ou menace réelle ?
Firefox Nightly embarque le support du chiffrement de l'extension SNI, qui permet d'empêcher aux hackers de consulter votre historique de navigation
Mark Zuckerberg remet en cause le bien-fondé du chiffrement des communications qui, selon lui, entrave la lutte contre la désinformation et la haine
France : les hackers de la gendarmerie auraient une arme secrète contre le chiffrement, qui serait en service depuis environ un an

[psychadelic]

Lorsqu’il y a eu fuite du code source d’iBoot en début d’année, Apple s’est remué pour établir les responsabilités et a découvert que l’homme de l’ombre était un ancien stagiaire.

[humour Noir]
Apple devrait fliquer tout ces employés sur l'ensemble de leurs données sociaux/numériques, pour s’assurer qu'aucun d'eux ne va à l'encontre des intérêts d'Apple.
[/humour Noir]

[Stan Adkens]

La vague loi anti-chiffrement de l’Australie établit un terrible précédent mondial
Et représente « un risque énorme pour notre sécurité numérique »

Le projet de loi anti-chiffrement, Assistance and Access Bill, a été adopté le jeudi dernier par la Chambre des représentants australienne, permettant aux forces de police et de lutte contre la corruption du pays de demander avant de forcer les sociétés Internet, les opérateurs télécoms, les fournisseurs de messagerie ou toute personne censées pouvoir aider à avoir accès au contenu auquel les agences souhaitent accéder. À l'aide de mandats secrets, les agents du gouvernement pourront même obliger une entreprise à exécuter des logiciels malveillants à distance sur les périphériques de leur client pris pour cible, l’objectif de la loi Assistance et Accès étant de casser le chiffrement de la communication, véritable bête noire pour les enquêteurs de la police.

En effet, certaines entreprises comme Apple refusent de coopérer avec les autorités quant à donner accès aux données d’une cible dans le cadre d’une enquête. En effet, Apple a refusé de se plier à l'injonction du tribunal qui l'obligeait à aider le FBI à déverrouiller un iPhone dans le cadre de son enquête concernant l'attentat de San Bernadino. Dans une lettre, Apple a manifesté son mécontentement face à la décision de justice qui l'oblige à aider le FBI à avoir accès au fichier d'un de ses dispositifs. « Le gouvernement des États-Unis a demandé à Apple de prendre une mesure sans précédent qui va menacer la sécurité de nos clients. Nous nous opposons à cette injonction, qui a des implications qui vont bien au-delà du cas d'espèce ». Toute fois, le FBI a pu débloquer l'iPhone du terroriste de l'attaque de San Bernadino en ayant recours à des hackers professionnels.

Le projet de loi controversé a pu être adopté le jeudi lors de la dernière séance du parlement australien cette année sans amendements. Le parti travailliste de l’opposition avait tenté de modifier le projet de loi, mais cela aurait impliqué de poursuivre le débat l’année prochaine. Le parti a donc abandonné ses amendements à la dernière minute en espérant que le gouvernement de coalition apportera des modifications à la loi l'année prochaine, notamment en donnant une définition concrète du terme « faiblesse systémique » qui pourrait être interpréter diversement. Le chef de l'opposition, Bill Shorten, a déclaré que c'était parce qu'il ne voulait pas compromettre la sécurité des Australiens dans le contexte théorique d'un attentat terroriste pendant la pause estivale.

De nombreux pays à travers le monde fournissent d’énormes efforts pour contrecarrer le chiffrement de la communication. C’est le cas de la Grande Bretagne avec la loi britannique sur les pouvoirs d'investigation et des Etats-Unis avec les programmes de décryptage de la NSA. Ces deux pays font d’ailleurs partie des Five Eyes qui, pour lutter contre la montée du terrorisme, ont décidé qu’il fallait intensifier la pression sur les géants des télécommunications et de la technologie afin de faciliter l’accès au contenu déchiffré des messages chiffrés des personnes soupçonnées de terrorisme.

Cependant, selon Business Insider, la loi anti-chiffrement de l’Australie, qui va plus loin, pourrait créer un précédent terrifiant pour le reste du monde en mettant en grand danger le chiffrement numérique.

En effet, les géants mondiaux de la technologie tels que Apple, Facebook et Amazon qui ont déjà condamné la mesure anti-chiffrement australienne, invoquant des risques potentiels pour la sécurité numérique, craignent que le gouvernement contraigne les fournisseurs de communications à créer une « porte dérobée » afin de permettre aux enquêteurs d’obtenir des preuves chiffrées. Selon ces entreprises, cette pratique pourrait affaiblir la technologie de chiffrement et créer un dangereux précédent pour les gouvernements du monde entier.

Plusieurs acteurs et organisations du numérique abordent dans le même sens que les grandes entreprises du numérique.

« Toute tentative des agences d'interception, comme on les appelle dans le projet de loi, de créer des outils pour affaiblir le chiffrement représente un risque énorme pour notre sécurité numérique », a déclaré à Reuters en octobre, Lizzie O'Shea, porte-parole de l'Alliance pour un Internet sûr et sécurisé.

Le doute sur la loi est partagé par le Law Council of Australia. « Les lois à moitié modifiées sur l'accès au chiffrement adoptées au Sénat sont meilleures que celles d'origine, mais de sérieuses préoccupations subsistent », a déclaré le président du Law Council, Morry Bailes, à l'Australian Broadcasting Company .

Selon Suelette Dreyfus, chercheuse en cybersécurité et protection de la vie privée à l'Université de Melbourne, l'autorisation de tout accès à des données chiffrées pourrait alimenter des activités malveillantes. « Il y aura des criminels intelligents qui trouveront et utiliseront ces portes dérobées de toutes sortes de manières dangereuses », a-t-elle déclaré.

Les limites de la loi anti-chiffrement

La loi adoptée le jeudi par l’ensemble des législateurs n'impose pas techniquement de porte dérobée, cependant, les entreprises devraient aider la police à créer un logiciel capable de déchiffrer les données d'un utilisateur ciblé. Toute fois, selon ProtonMail, cette loi reste vague et confuse et pourrait être interpréter diversement.

L’Australian Computer Society, une association de professionnels de l'informatique, a décrit plusieurs problèmes potentiels qui pourraient nuire à la sécurité numérique des personnes et des organisations dans sa lettre au Parlement.

Premièrement, selon l’association, certaines entreprises ne possédant pas le savoir-faire technique nécessaire risque d’exposer accidentellement l'intégralité du système de la société et celui de la cible avec des logiciels malveillants. Deuxièmement, il va se poser, au niveau des entreprises, un problème de planification budgétaire pour des éventuels travaux de surveillance gouvernementaux. Un autre problème que soulève la loi est qu’il sera difficile de vérifier si les éléments de preuve tirés des dispositifs innocentent ou incriminent le suspect.

La loi anti-chiffrement pourrait affaiblir la sécurité

En effet, si les utilisateurs, avertis qu’ils pourraient recevoir des logiciels malveillants donnant l’accès à leur dispositif à la police en vertu de la loi, arrêtaient de télécharger toutes les mises à jour logicielles (y compris des mises à jour de sécurité) parce qu'ils avaient peur des logiciels espions gouvernementaux, cela pourrait créer des faiblesses systémiques.

Aussi, même si la loi Assistance et Accès se trouve limiter à la seule juridiction australienne, elle pourrait porter atteinte à la confiance mondiale dans tout fabricant de logiciels ayant une présence australienne, y compris Facebook, Google et Apple, susceptible d’aider le gouvernement à faire intrusion dans l’appareil d’un utilisateur à tout moment.

La sécurité peut aussi être davantage dégradée, non seulement, avec l’adoption par d’autres gouvernements de leur propre loi, vu la facilité avec laquelle l’Australie a pu adopter la sienne, mais également, par le fait que les gouvernements des États-Unis, du Royaume-Uni, du Canada et de la Nouvelle-Zélande, membres du des Five Eyes, pourraient accéder à toutes les informations collectées par les espions australiens grâce à leurs nouveaux pouvoirs.

Cependant, la loi Assistance et Accès ne s’applique qu’aux entreprises sous la juridiction australienne. Par exemple, elle ne pourrait s’appliquer à ProtonMail, société suisse de messagerie web chiffrée de bout en bout, dont les centres de données sont situés uniquement en Suisse.


Source : ProtonMail, Business Insider

Et vous ?

Qu’en pensez-vous ?

Lire aussi

Angleterre : le ministre d'État à la Défense admet que la nouvelle législation permettra, de demander la suppression du chiffrement de bout en bout
Les cinq pays membres des Five Eyes s'allient contre le chiffrement, qu'ils considèrent comme un obstacle pour leurs services de renseignement
Grande-Bretagne : Theresa May veut créer un nouvel Internet contrôlé et réglementé, par le gouvernement
Le FBI aurait eu recours à des hackers professionnels, pour débloquer l'iPhone du terroriste de l'attaque de San Bernadino
Fallout 76 : le support client de Bethesda fait fuiter des données clients confidentielles par accident, l'éditeur donne des éclaircissements

[Fagus]

(Je vais me faire allumer par la communauté)
Si certaines entreprises australiennes donnent les clés privées des systèmes de communication, ce n'est peut être pas si grave pour la sécurité (je ne parle pas des libertés individuelles...), tant que le gouvernement ne perd pas les clés. J'ai cru comprendre que la CIA avait déjà obtenu des clés privées des compagnies... Au pire, ça permet juste l'espionnage industriel de masse sous couverture de protection des citoyens.

S'il s'agit d'implémenter des portes dérobées, c'est déjà plus glissant.

[Invité]

Oké alors demain on remet en cause le fondement du chiffrement des transactions par CB ? On sera contraint de donner notre code de CB à la police ou une autre entreprise plus ou moins sombre et douteuse ?

Des bureaucrates qui n'y connaissent rien nous pondent ce genre de lois ! Sans savoir que le risque de détricoter l'existant est extrêmement dangereux ! On reparle des violations massives de carte CB chez Target en 2013 ?

[Christian Olivier]

FastMail perdrait des clients en Australie depuis l’adoption de lois anti-chiffrement
Et ferait face à des demandes de transfert de ses opérations

Le fournisseur australien de messagerie hébergé, FastMail, a déclaré avoir perdu des clients et être confronté à des demandes « régulières » de transfert de ses opérations en dehors de l’Australie suite à l’adoption par ce pays de lois anti-chiffrement. Et ce ne serait pas la seule entreprise technologique opérant sur le sol australien à déplorer cette situation, puisque d’autres, comme le groupe Senetas qui conçoit des solutions de chiffrement certifiées pour protéger les informations des gouvernements et des entreprises, font état d’un constat similaire.

FastMail, qui propose des services de courrier électronique sans publicité aux utilisateurs de 150 pays, a signalé à un comité du parlement australien que les effets négatifs de l’adoption des dernières lois en matière de confidentialité des données et de sécurité dans ce pays commençaient à se faire ressentir, même si elle minimise leurs conséquences sur ses activités. La société en a également profité pour faire part de ses craintes au sujet des « capacités techniques secrètes » ajoutées aux produits et services destinés à aider les forces de l’ordre dans le cadre de la mise en œuvre de ces lois anti-chiffrement.

À ce propos, Bron Gondwana, directeur général de FastMail, a déclaré : « La manière dont [les lois] ont été introduites, débattues et finalement adoptées ... donne l’impression que l’Australie a changé — que nous ne sommes plus un pays qui respecte le droit à la vie privée ». FastMail aurait déjà noté l’impact négatif de cette perception sur ses activités et des clients lui demanderaient « régulièrement s’il ne prévoit pas déménager ».

Toujours d’après l’entreprise, les « capacités techniques secrètes » précédemment évoquées ne resteront probablement pas secrètes longtemps. Elles pourraient être supprimées et compromises en interne par des codeurs ne connaissant pas ces capacités ou identifiant leur présence comme anormale.

À ce sujet, Gondwana a expliqué : « Notre personnel est curieux et capable. Si notre système se comporte de manière inattendue, il tentera de comprendre pourquoi. C’est un élément clé de la découverte de bogues et de la sécurité de nos systèmes ».

D’après lui, « des codes secrets d’exfiltration de données peuvent être découverts par des bricoleurs ou même par des sociétés antivirus examinant un comportement inattendu ». De plus, il estime qu’à « mesure que le code est remanié et les produits changent au fil du temps, s’assurer qu’une capacité technique n’est pas perdue implique que tous ceux travaillant à la conception et à l’implémentation doivent savoir que la capacité technique existe et en tenir compte ».

Source : Correspondance de FastMAil au Comité parlementaire australien (PDF)

Et vous ?

Qu’en pensez-vous des déclaration du PDG de FastMail ?
Le gouvernement australien devrait révéler aux entreprises ses portes dérobées et collaborer avec eux ou simplement faire machine arrière ?

Voir aussi

La vague loi anti-chiffrement de l'Australie établit un terrible précédent mondial, et représente « un risque énorme pour notre sécurité numérique »
Angleterre : le ministre d'État à la Défense admet que la nouvelle législation permettra, de demander la suppression du chiffrement de bout en bout
Les cinq pays membres des Five Eyes s'allient contre le chiffrement, qu'ils considèrent comme un obstacle pour leurs services de renseignement
« Nous ne pouvons pas introduire de porte dérobée dans notre application », indique Signal, contre la loi Assistance and Access Bill de l'Australie

[NBoulfroy]

Au delà de la question de la violation de la vie privée, il se pose une question assez intéressante : comment cela se passe t'il si le gouvernement bascule vers un extrême qui désire ficher et espionner la vie des gens ? On est pas à l'abri de ce fait, je vous rappel que des pays ont déjà fait un tour de ce côté (non, je ne parle pas d'un pays en particulier avant 1945, il n'y a pas eu que celui-là !).

[Cassoulatine]

Bron Gondwana, directeur général de FastMail

Le Gondwana est un supercontinent formé à la toute fin du Néoprotérozoïque (– 600 millions d'années) et qui a commencé à se fracturer au Jurassique (– 160 millions d'années).

[Stan Adkens]

La loi anti-chiffrement d'Australie ridiculisée sur la scène mondiale par des experts internationaux en cryptographie
La loi ne serait pas productive

La loi anti-chiffrement de l’Australie rencontre une autre opposition, après celle de toute l’industrie de la technologie. La loi qui contraint les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients a été ridiculisée par des experts internationaux en cryptographie lors de la conférence annuelle sur la sécurité, RSA. Selon l’un des Experts, cette loi adoptée à la hâte en décembre dernier ne serait pas productive.

En effet, La Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill le 6 décembre dernier malgré l’opposition de toute l’industrie de la technologie. Selon la dernière rédaction du projet de loi anti-chiffrement de l’Australie, la loi permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de forcer les sociétés Internet, les opérateurs télécoms, les fournisseurs de messagerie ou toute personne jugée nécessaire pour avoir accès au contenu auquel les agences souhaitent accéder.

Dans la pratique, Assistance and Access Bill va permettre à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées, afin de donner aux enquêteurs accès au contenu des messages à condition que ces portes dérobées ne constituent pas des « faiblesses systémiques » dans la sécurité du service. Le projet de loi controversé a pu être adopté lors de la dernière séance du parlement australien l’année dernière sans amendements. Le parti travailliste de l’opposition, qui avait tenté de modifier le projet de loi, a dû abandonner ses amendements à la dernière minute pour éviter que le débat sur le projet se poursuive en 2019. Le chef de l'opposition, Bill Shorten, a également déclaré que c'était parce qu'il ne voulait pas compromettre la sécurité des Australiens dans le contexte théorique d'un attentat terroriste pendant la pause estivale.

De nombreux pays à travers le monde fournissent d’énormes efforts pour contrecarrer le chiffrement de la communication. C’est le cas de la Grande-Bretagne avec la loi britannique sur les pouvoirs d'investigation et des Etats-Unis avec les programmes de décryptage de la NSA. Ces deux pays font d’ailleurs partie des Five Eyes qui, pour lutter contre la montée du terrorisme, ont décidé qu’il fallait intensifier la pression sur les géants des télécommunications et de la technologie afin de faciliter l’accès au contenu déchiffré des messages chiffrés des personnes soupçonnées de terrorisme. Cependant, la loi anti-chiffrement de l’Australie va plus loin en mettant en grand danger le chiffrement numérique.

L’un des experts réunis à la conférence RSA, le pionnier de la cryptographie Whitfield Diffie et également membre d'un panel régulier à la conférence, a déclaré que la loi australienne ne sera pas « productive ». « Je pense que le problème est en gros le suivant : il est en fait facile de perturber l'utilisation de la cryptographie par des organisations commerciales légitimes à grande échelle pour leur causer beaucoup de problèmes, mais il n'est pas certain que ces techniques causeront autant de problèmes aux terroristes, par exemple », a déclaré M. Diffie. « Donc je pense que c'est une étape qui ne sera pas productive », a-t-il ajouté.

Diffie a également attaqué le fondement de la loi australienne en faisant référence à la citation immortelle de l'ancien premier ministre Malcolm Turnbull selon laquelle « les lois des mathématiques sont très louables, mais la seule loi qui s'applique en Australie est celle de l'Australie ».

Whitfield Diffie a été rejoint ensuite par Paul Kocher, chercheur indépendant dans le domaine de la sécurité, pour continuer à dépeindre les limites de la loi anti-chiffrement australienne. Kocher s’en est pris, en particulier, à la section de la loi qui permet aux forces de l'ordre de cibler des employés individuels pour affaiblir secrètement les systèmes et ensuite ne le dire à personne, y compris à leur propre employeur, sous peine d'une peine importante de prison.

« La nouvelle loi australienne peut mettre les développeurs en prison s'ils refusent de mettre des portes dérobées dans leurs produits ou s'ils disent à qui que ce soit qu'ils l'ont fait », a déclaré M. Kocher, avant d’ajouter que « Pour moi, c'est 100 % à l'envers ». Selon M. Kocher, « Si quelqu'un devait aller en prison, ce sont les développeurs qui se faufilent à travers les portes dérobées des produits et ne disent pas à leurs managers et à leurs clients qu'ils l'ont fait ».

M. Kocher a également mis en doute la capacité de l'Australie à éviter que les faiblesses introduites ne tombent entre les mains des personnes malveillantes. « Les portes dérobées secrètes sont un peu comme des agents pathogènes, et les gouvernements ont fait un travail épouvantable pour leur gestion », a déclaré M. Kocher.

M. Kocher a fait référence à la cyberattaque NotPetya aux Etats-Unis pour dire que l’Australie ne pourra pas être en mesure de contenir les menaces qui pourraient profiter des faiblesses introduites dans les produits. « Pour tous ceux qui ont dû faire face à la situation de NotPetya, qui a coûté environ 10 milliards de dollars aux entreprises, c'est essentiellement la militarisation des exploits qui a fait l'objet de fuites de la part de l’Agence National de la Securité des Etats-Unis », a dit M. Kocher.

« Je ne pense pas que l'Australie puisse faire un meilleur travail que la NSA, donc cela ne va vraiment pas bien se terminer pour nous tous d'avoir ce genre de politique qui soit adoptée, que ce soit en Australie ou ailleurs dans le monde. », a-t-il ajouté.

Dès le départ, cette loi a soulevé des inquiétudes chez les entreprises de la technologie. « Les agences pourraient obliger un fabricant d'appareils à précharger (puis dissimuler) des logiciels de pistage ou de capture d'écran (logiciels espions) sur des combinés commerciaux pouvant être activés à distance », ont déclaré, en septembre dernier, dans une communication conjointe la Communications Alliance (l'organe de représentation de Telstra, Optus et de fabricants d’appareils tels que Nokia et Huawei), l’Australian Information Industry Association et l’Australian Mobile Telecommunications Association.

En novembre, Apple a officiellement fait opposition à ce projet de loi. Pour Apple, tenter de contraindre les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients dans le cadre de nouveaux plans de sécurité pourrait « nuire gravement » à la cybersécurité du pays.

Par ailleurs, en février, le fournisseur australien de messagerie hébergé, FastMail, a déclaré avoir perdu des clients et être confronté à des demandes « régulières » de transfert de ses opérations en dehors de l’Australie suite à l’adoption par ce pays de lois anti-chiffrement. De nombreuses autres entreprises telles que le groupe Senetas qui conçoit des solutions certifiées de chiffrement, se sont plaintes depuis l’adoption de la loi.

Source : RSA Conference

Et vous ?

Qu’en pensez vous ?
La loi anti-chiffrement de l’Australie ne sera pas productive. Quel est votre avis par rapport à cette affirmation ?
A votre avis, quel impact cette loi aura sur les entreprises en Australie ?

Lire aussi

Dix géants de la Silicon Valley regroupés autour du RGS réaffirment leur opposition à la loi anti-chiffrement, et s'accordent sur six principes
Apple à l'Australie: « Ce n'est pas le moment d'affaiblir le chiffrement », l'entreprise fait valoir que ce projet de loi n'est pas la solution
Australie : refuser de déverrouiller son smartphone pourrait bientôt être sanctionné de 10 ans de prison, dans le cadre d'une enquête
Des chercheurs contournent le chiffrement des machines virtuelles SEV d'AMD, et parviennent à récupérer en clair des données normalement chiffrées
Le chiffrement bout-en-bout de WhatsApp empêche des enquêteurs d'avancer dans une affaire criminelle, les enquêteurs dans l'impasse vu les enjeux

[Stéphane le calme]

Microsoft prévient que les entreprises ne sont « plus à l'aise » à l'idée de stocker leurs données en Australie,
depuis l'adoption de la loi anti-chiffrement

Brad Smith, le responsable en chef des affaires juridiques de Microsoft, a prévenu que les entreprises et les gouvernements étrangers n'étaient « plus à l'aise » pour envoyer leurs données en Australie après que le projet de loi Assistance and Access Bill, qui donne aux agences de sécurité des pouvoirs renforcés pour accéder aux données chiffrées des suspects, a été adopté à la hâte par le Parlement et légiféré à la fin de l'année dernière.

Smith a déclaré à un auditoire de Canberra que les lois étaient trop vagues et nuisaient à l'industrie technologique australienne ainsi qu’à l'économie en général, car les entreprises s'inquiétaient pour la protection de la vie privée et se tournaient vers les marchés étrangers.

« Lorsque je voyage dans d'autres pays, j'entends des entreprises et des gouvernements dire "nous ne sommes plus à l'aise de placer nos données en Australie". Ils nous demandent donc de créer davantage de centres de données dans d'autres pays », a déclaré Smith.

À la fin de l’année dernière, la Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill. Le projet de loi anti-chiffrement permet aux forces de police et de lutte contre la corruption du pays de demander, avant de les y contraindre, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder.

Un rapport en a relevé quelques points clés. En vertu de cette loi, les agences gouvernementales australiennes pourraient émettre trois types d'avis:

• Les avis d'assistance technique (TAN - Technical Assistance Notices), qui sont des avis contraignant, obligeant un fournisseur de communications à utiliser une capacité d'interception dont ils disposent déjà;
• Les avis de capacité technique (TCN - Technical Capability Notices), qui sont des avis contraignant qui obligent un fournisseur de communications à créer une nouvelle capacité d'interception, afin qu'il puisse respecter les avis d'assistance technique ultérieurs; et enfin
• Les demandes d'assistance technique (TAR - Technical Assistance Requests), décrites par les experts comme les plus dangereuses de toutes.

Dans la pratique, Assistance and Access Bill va permettre à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées, afin de donner aux enquêteurs accès au contenu des messages à condition que ces portes dérobées ne constituent pas des « faiblesses systémiques » dans la sécurité du service.

Des lois essentielles pour lutter contre le terrorisme, selon le gouvernement

Le gouvernement fédéral soutient que ces lois sont essentielles pour lutter contre le terrorisme et les crimes graves, mais l'industrie technologique les a décrites comme disposant d’une portée excessive qui nuirait à l'industrie et porterait atteinte à la vie privée.

Les experts en sécurité sont presque à l'unanimité contre les backdoors, précisément à cause de cet affaiblissement. Une fois qu'un tel mécanisme a été implanté dans l'application, il crée une cible pour les agences d'espionnage et les entreprises d'espionnage d'autres pays qui pourraient vouloir voir ce dont les gens discutent, mais également pour des hackers.

L'Australie est le premier membre du pacte de partage de renseignements « Five Eyes » (qui est constitué par les États-Unis, le Royaume-Uni, le Canada, la Nouvelle-Zélande et l’Australie) à adopter un projet de loi de ce type.

La question du chiffrement préoccupe les agences de renseignement et les législateurs du monde entier depuis plusieurs années déjà. En particulier après les révélations de surveillance du dénonciateur de la NSA, Edward Snowden, des entreprises technologiques telles qu'Apple, Google et WhatsApp se sont servis de chiffrement de plus en plus forts afin de convaincre les utilisateurs qu'ils peuvent communiquer en toute sécurité. Pendant ce temps, certains enquêteurs ont exprimé leur frustration face à leur incapacité à voir ce que les suspects disent ou ont dit.

Smith a rappelé que l'Australie avait acquis une réputation qui faisait d’elle une destination pour les entreprises désireuses d’y stocker les données de leurs clients. Cette image s’est altérée au cours des six derniers mois.

« Cela n'a pas changé, à ce jour, tout ce que nous avons dû faire en Australie, mais nous nous inquiétons de certains aspects du droit en termes de conséquences potentielles ».

Microsoft s'inquiète de la confidentialité en Australie

Smith a déclaré qu'il ne croyait pas que les lois visaient à créer une « porte dérobée » qui saperait la technologie de cryptage, mais a qualifié la législation de vague.

Smith a déclaré qu'il était dans l'intérêt du gouvernement australien d'atténuer les inquiétudes concernant la législation ou de la modifier : « Il existe une phrase merveilleuse qui permet aux entreprises d'éviter de créer une faiblesse systémique, mais cette phrase n'est pas définie », a-t-il déclaré.

« Jusqu'à ce qu’elle soit définie, je pense que les gens vont s'inquiéter et que nous serons parmi ceux qui vont l'inquiéter parce que nous pensons qu'il est d'une importance vitale de protéger la vie privée de nos clients ».

L’industrie technologique australienne a réitéré cette semaine ses demandes de modification des lois avant les élections, estimant qu’il devrait y avoir davantage de contrôle et une réduction de la portée.

Les entreprises australiennes, des Huawei en devenir ?

La Direction australienne des transmissions (ASD - Australian Signals Directorate) a rejeté les accusations selon lesquelles les lois donneraient aux agences de sécurité un pouvoir sans entrave ou que des entreprises de technologie seraient forcées de se tourner vers l’étranger.

« L'Australie n'est pas le premier pays à adopter ce type de législation - et nous ne serons pas les derniers », a déclaré le directeur général de l'ASD, Mike Burgess.

« Les agences britanniques ont déjà des pouvoirs similaires et d’autres pays envisagent leurs options. Les affirmations selon lesquelles la législation conduira les sociétés de technologie à l'étranger sont elles aussi défectueuses »..

Mike Burgess a finit par qualifier de « mythe » les peurs des entreprises autraliennes qui craignent pour leur réputation à l’international du fait de la loi sur le chiffrement. Lors du forum de Sydney, cette affirmation a été rejetée par les participants de l'industrie. Eddie Sheehy, un investisseur technologique et ancien directeur général du fournisseur de cybersécurité Nuix, a déclaré à ce propos que Burgess « ne sait pas ce qu’il dit ».

Il a ajouté que, en réponse à une question ultérieure, la loi avait la « capacité de transformer de nombreuses entreprises australiennes en Huawei en ce sens qu’en plusieurs endroits, plusieurs pourraient hésiter à faire appel à elles ».

Nicola Nye, directeur de cabinet chez FastMail, a déclaré que certains clients n'utilisaient plus ses services en raison de la loi, tandis que d'autres avaient exprimé leurs préoccupations par le biais de soumissions au comité mixte parlementaire sur le renseignement et la sécurité. Le comité étudie les amendements proposés et fera rapport la semaine prochaine.

Source : Guardian

[Stéphane le calme]

L'application de messagerie chiffrée « Session » quitte l'Australie pour la Suisse après une visite de la police
au domicile d'un de ses employés à qui elle a posé des questions concernant l'application et un utilisateur

Session, une application de messagerie chiffrée qui prône une confidentialité absolue, a pris la décision de déplacer ses opérations hors de l'Australie et de se relocaliser en Suisse. Cette décision fait suite à une visite inattendue de la police fédérale australienne au domicile d'un employé de Session, où des questions ont été soulevées concernant l'application et un utilisateur en particulier. Bien que les détails de cette visite n'aient pas été divulgués en intégralité, l'événement a jeté une ombre sur l'engagement du gouvernement australien envers la protection de la vie privée numérique.

L'Assistance and Access Bill (ou loi d'assistance et d'accès), officiellement connue sous le nom de Telecommunications and Other Legislation Amendment (Assistance and Access) Act 2018, est une législation australienne adoptée en décembre 2018. Cette loi vise à donner aux agences de sécurité et de maintien de l'ordre les outils nécessaires pour accéder aux données numériques dans le cadre de leurs enquêtes, tout en respectant la confidentialité et la sécurité des communications chiffrées.

Principaux objectifs de la loi

• Améliorer la coopération avec l'industrie : La loi vise à renforcer la coopération entre les agences de sécurité et les entreprises fournissant des services de communication.
• Améliorer les pouvoirs d'accès aux ordinateurs : Elle permet aux agences de demander une assistance spécifique pour accéder aux données nécessaires à leurs enquêtes.
• Surveillance ciblée et proportionnée : Les mesures introduites par la loi sont censées être ciblées, proportionnées et soumises à un contrôle indépendant.

Points critiques

La loi a suscité des débats sur le sujet de la vie privée et de la sécurité numérique. Certains craignent que cette législation puisse être utilisée pour forcer les entreprises à créer des vulnérabilités dans leurs systèmes de chiffrement, ce qui pourrait compromettre la sécurité des données des utilisateurs. Cependant, les partisans de la loi soutiennent qu'elle est nécessaire pour lutter contre le crime et le terrorisme dans l'ère numérique.

Réactions et implications

La loi a reçu des réactions mitigées de la part de diverses parties prenantes, y compris des entreprises technologiques, des groupes de défense des droits de l'homme et des experts en cybersécurité. Certains craignent que cette législation puisse nuire à la confiance des utilisateurs dans les services de communication sécurisés, tandis que d'autres la voient comme une étape nécessaire pour garantir la sécurité nationale.

Le pionnier de la cryptographie Whitfield Diffie a déclaré que la loi australienne ne sera pas « productive ». « Je pense que le problème est en gros le suivant : il est en fait facile de perturber l'utilisation de la cryptographie par des organisations commerciales légitimes à grande échelle pour leur causer beaucoup de problèmes, mais il n'est pas certain que ces techniques causeront autant de problèmes aux terroristes, par exemple », a déclaré Diffie. « Donc je pense que c'est une étape qui ne sera pas productive », a-t-il ajouté.

Paul Kocher, chercheur indépendant dans le domaine de la sécurité, lui a emboîté le pas et a dépeint les limites de la loi anti-chiffrement australienne. Kocher s’en est pris, en particulier, à la section de la loi qui permet aux forces de l'ordre de cibler des employés individuels pour affaiblir secrètement les systèmes et ensuite ne le dire à personne, y compris à leur propre employeur, sous peine d'une peine importante de prison.

« La nouvelle loi australienne peut mettre les développeurs en prison s'ils refusent de mettre des portes dérobées dans leurs produits ou s'ils disent à qui que ce soit qu'ils l'ont fait », a déclaré M. Kocher, avant d’ajouter que « Pour moi, c'est 100 % à l'envers ». Selon Kocher, « Si quelqu'un devait aller en prison, ce sont les développeurs qui se faufilent à travers les portes dérobées des produits et ne disent pas à leurs managers et à leurs clients qu'ils l'ont fait ».

Le cas de Session

Session, une petite application de messagerie chiffrée de plus en plus populaire, transfère ses activités en dehors de l'Australie après que les autorités fédérales chargées de l'application de la loi se sont rendues au domicile d'un employé et lui ont posé des questions sur l'application et sur un utilisateur particulier. Désormais, Session sera géré par une entité en Suisse.

Cette décision témoigne de la pression croissante exercée sur les gestionnaires d'applications de messagerie chiffrée, à la fois par les gouvernements qui cherchent à obtenir davantage de données sur les utilisateurs de l'application et par les sociétés d'applications de messagerie elles-mêmes, comme l'a montré l'arrestation du PDG de Telegram au mois d'août.

« En fin de compte, nous avons eu le choix entre rester en Australie ou nous installer dans une juridiction plus respectueuse de la vie privée, comme la Suisse. Pour que le projet se poursuive, il ne pouvait pas être centré sur l'Australie », a déclaré Alex Linton, président de la Session Technology Foundation (STF), nouvellement créée, qui publiera l'application Session. L'application fonctionnera toujours en Australie, a ajouté Linton.

Lancée pour fournir un service de messagerie hautement sécurisé et décentralisé, Session a attiré un public croissant, atteignant récemment un million d'utilisateurs actifs. La particularité de Session réside dans sa capacité à anonymiser les métadonnées des utilisateurs et à éviter les points de faiblesse centralisés souvent exploités dans les autres applications de messagerie.

La visite de la police

Linton a indiqué que l'année dernière, la police fédérale australienne avait rendu visite à un employé de la Session à son domicile dans le pays. « Il n'y a pas eu de mandat ni de réunion organisée, ils sont simplement entrés dans leur complexe d'appartements et ont frappé à leur porte d'entrée », a déclaré Linton. La police fédérale a posé des questions sur l'application et la société Session, ainsi que sur les antécédents de l'employé dans le cadre du projet, a ajouté Linton. Les agents ont également posé des questions sur une enquête en cours concernant un utilisateur spécifique de Session, a-t-il ajouté.

Linton a montré aux médias un courriel envoyé par les représentants légaux de Session à la police fédérale, qui reflète cette série d'événements. Une partie de la frustration de Session concernant l'incident est venue du fait que la police a décidé de « rendre visite à un employé à son domicile plutôt que d'organiser une réunion par le biais de nos canaux appropriés (publiquement disponibles) », a déclaré Linton.

« Ils ont fini par vouloir organiser une autre réunion, au cours de laquelle ils ont posé des questions beaucoup plus techniques sur Session et des questions plus générales sur le développement futur », a ajouté Linton.

De son côté, la police a déclaré être « au courant de [l'existence de] l'application Session » et avoir « vu l'utilisation de Session par des délinquants pendant qu'ils commettaient des délits graves dans le Commonwealth ». Cependant, elle a refusé de commenter spécifiquement l'incident impliquant l'employé.

Relocalisation en Suisse

La Session Technology Foundation (STF), nouvellement formée et basée en Suisse, dirigera désormais toutes les opérations de Session. Alex Linton, président de la STF, a souligné que ce déménagement était essentiel pour permettre à l'application de continuer à fonctionner de manière indépendante et sans entrave. La Suisse, connue pour ses lois strictes en matière de confidentialité et de protection des données, semble offrir un environnement plus favorable à l'innovation technologique en matière de chiffrement.

Session est différente des autres plateformes technologiques : elle ne dépend pas d'une seule personne. Au contraire, elle fonctionne sur la base d'un protocole décentralisé conçu dans un but précis : la préservation et la protection de la vie privée. Le code de Session est entièrement ouvert et ses serveurs sont exploités par une communauté diversifiée d'opérateurs du monde entier. Il s'agit d'un protocole de communication véritablement décentralisé.

Cependant, un steward est toujours nécessaire pour s'acquitter de tâches telles que la publication dans les magasins d'applications, la maintenance des référentiels et la rédaction de la documentation. Le rôle de l'intendant n'est pas de posséder ou de contrôler la session, mais de la guider et de la soutenir. Cependant, compte tenu de l'environnement réglementaire actuel en Australie concernant les technologies de protection de la vie privée et la messagerie cryptée, le gestionnaire initial de Session, l'OPTF, a choisi de transmettre ses responsabilités en tant que gestionnaire du projet.

Désormais, Session sera géré par une nouvelle fondation suisse, la Session Technology Foundation.

Le modèle de fondation suisse est aligné sur la mission de Session, et la Fondation technologique de Session apporte stabilité et sécurité en tant que nouveau gestionnaire de Session.

La Suisse offre certaines des réglementations les plus strictes au monde en matière de protection de la vie privée, ce qui permet à de nombreux créateurs de technologies de protection de la vie privée, comme Proton, Threema et Nym, de s'y installer. C'est un pays qui a une longue tradition de respect de la vie privée et d'encouragement de l'innovation technologique.

Malgré cette relocalisation, Session continuera à être disponible et pleinement fonctionnelle en Australie

Analyse critique

Bien que le déménagement de Session en Suisse soit présenté comme une victoire pour la confidentialité, certains critiques soutiennent qu'il pourrait s'agir d'un double tranchant. D'un côté, la Suisse offre un cadre réglementaire plus favorable, mais cette décision pourrait également isoler l'application de son marché domestique et des utilisateurs australiens qui ont été les premiers à adopter ce service.

Les implications pour la sécurité et la vie privée

Ce déménagement pose également des questions plus larges sur l'équilibre entre sécurité nationale et vie privée. Alors que les gouvernements du monde entier cherchent à renforcer les mesures de surveillance pour des raisons de sécurité, les applications de messagerie chiffrée comme Session se retrouvent à naviguer dans un paysage juridique de plus en plus complexe. La relocalisation de Session pourrait ainsi être vue comme une étape vers une plus grande fragmentation du secteur de la technologie en fonction des juridictions nationales, ce qui pourrait compliquer davantage la protection de la vie privée des utilisateurs à l'échelle globale.

Sources : Session Technology Foundation, Telecommunications and Other Legislation Amendment (Assistance and Access) Act

Et vous ?

Pensez-vous que la relocalisation de Session en Suisse améliore réellement la sécurité et la confidentialité des utilisateurs ? Pourquoi ?
Dans quelle mesure les gouvernements devraient-ils intervenir pour accéder aux données chiffrées en cas de menace à la sécurité nationale ?
La réglementation australienne concernant la vie privée et la sécurité numérique est-elle trop stricte ou adéquate à votre avis ?
Comment cette décision de Session pourrait-elle influencer d'autres applications de messagerie chiffrée en Australie et ailleurs ?
Selon vous, quels sont les avantages et les inconvénients d'utiliser une application de messagerie chiffrée comme Session ?