Le gouvernement australien vient d’adopter une loi obligeant les entreprises de technologie à transmettre au service de police et aux agences de sécurité les messages chiffrés de bout en bout, dans le cadre d’un plan pour lutter contre le terrorisme et la grande criminalité.
Le procureur général australien pourra obliger des entreprises telles que Apple, Facebook et Whatsapp à modifier le code de leurs applications afin de donner accès à un appareil particulier, ou à un service, aux services de police et de sécurité du pays. Les firmes de technologie devront également fournir le détail de la conception de leurs applications, et aider les autorités à se doter d’outils pour accéder à ces informations, à l’insu des utilisateurs concernés.
La loi cible les messages chiffrés de bout en bout
Mais là où ce projet de loi se distingue comme une première mondiale, c’est qu’il vise plus particulièrement les messages chiffrés de bout en bout. Le chiffrement de bout en bout est une technique de communication conduisant à brouiller les messages, afin que seuls l’expéditeur et le destinataire puisse les lire. En principe, ce système, qui fait intervenir des clés pour déchiffrer les messages, empêche l’écoute électronique par des tiers, y compris les fournisseurs d’accès Internet. « En particulier, les entreprises qui offrent un service de chiffrement de bout en bout sont incapables de remettre une version déchiffrer des messages de leurs clients aux autorités », écrit Wikipédia. Les applications Whatsapp, Signal ou encore Telegram, utilisent cette technique pour les échanges de messages de leurs utilisateurs.
Et pour cause : ces services sont particulièrement prisés des terroristes, des mafieux et des criminels qui veulent dissimuler leurs méfaits, mais aussi des dissidents dans les régimes autoritaires. La Russie et l’Iran ont d’ailleurs interdit l’application Telegram cette année, en justifiant cette interdiction par la volonté de lutter contre le terrorisme (La Russie, comme la Chine et la Turquie, ont totalement interdit l’emploi du chiffrement de bout en bout).
Les entreprises de technologie contraintes d’installer des portes dérobées
La loi australienne obligera les entreprises de technologie à construire une porte dérobée sur leur système pour avoir accès aux messages chiffrés. Celles qui refuseront de s’y soumettre encourront une amende.
C’est la raison pour laquelle le syndicat du secteur du numérique américain, Digital Industry Group Inc (Digi), auquel adhèrent Google, Facebook et Amazon entre autres, avertit que cette loi pourrait menacer la sécurité des applications et des systèmes que les utilisateurs australiens utilisent quotidiennement.
En effet, il n’est pas possible d’installer des portes dérobées ciblées sur un utilisateur, un petit groupe d’utilisateurs, ou des messages en particulier. L’entreprise en question devra modifier le code général de son application ou service, ce qui signifie que tous les utilisateurs en seront affectés. La modification du code pour installer la porte dérobée risque donc d’affaiblir la sécurité de l’ensemble de l’application et du service. Cette modification ouvrira de nouvelles opportunités aux pirates, et les services ou applications correspondants seront plus susceptibles d’être victimes de cyberattaques et de tentatives d’espionnage.
Un précédent pour des « régimes moins libéraux »… et les autres
Canberra clame qu’elle comprend bien ces difficultés, et que la loi prévoit que les forces de police ne pourront pas exiger des entreprises qu’elles remettent en cause l’inviolabilité du chiffrement de bout en bout. Les entreprises pourront refuser de se plier à leurs demandes d’information si celles-ci impliquent la création d’une « faiblesse systémique » dans leur système de chiffrement. Mais les firmes de technologie objectent que la définition de cette « faiblesse systémique » demeure vague, ce qui ouvre la voie à toutes les interprétations.
En outre, la firme américaine Cisco a adressé un message au Parlement australien pour l’avertir que le projet de loi pourrait créer un précédent pour les « régimes moins libéraux ». Elle affirme également que l’installation forcée d’une porte dérobée sur ses produits la conduirait à renier ses déclarations publiques concernant la sécurité de ces transmissions.
Fergus Hanson, responsable de la cyber-sécurité au sein du think tank de l’Australian Strategic Policy Institute, estime que la loi pourrait rapidement être généralisée au plan international : « Elle pourrait devenir un modèle à suivre pour les autres pays et c’est la raison pour laquelle les multinationales la contestent si énergiquement ».