Les responsables de l’application des lois des États et du gouvernement fédéral semblent prêts à tirer parti des inquiétudes du public concernant les attentats terroristes en France la semaine dernière pour obtenir un soutien pour des propositions qui affaibliraient fondamentalement la sécurité de la technologie de cryptage utilisée par les entreprises et les citoyens américains. Voici un aperçu de ce qui se passe et pourquoi les lecteurs devraient être à l’écoute et poser des questions.
Malgré les premiers rapports des médias largement répétés selon lesquels les terroristes qui ont tué au moins 128 personnes à Paris ont utilisé un cryptage fort pour dissimuler leurs communications, la preuve de cela ne s’est pas concrétisée. Une initiale rapport le 14 novembre à partir de Forbes intitulé « Pourquoi les terroristes de Paris ISIS ont utilisé PlayStation4 pour planifier des attaques » a ensuite été remplacé par « Comment les terroristes de Paris ISIS ont peut-être utilisé PlayStation 4 pour discuter et planifier ». Il s’avère que rien n’indiquait que les attaquants utilisaient des consoles de jeu pour cacher leurs communications ; seulement qu’ils pouvaient le faire s’ils le voulaient.
politique a couru un morceau dimanche qui citait un responsable du gouvernement belge disant que les autorités françaises avaient confisqué au moins une console de jeu PlayStation 4 de l’un des biens de l’attaquant (coup de chapeau à Insidesources.com).
« Il n’est pas clair si les suspects des attaques ont utilisé PlayStation comme moyen de communication », a expliqué l’histoire de Politico. « Mais la sophistication des attaques soulève des questions sur la capacité des forces de l’ordre à détecter les complots alors que les extrémistes utilisent des formes de technologie nouvelles et différentes pour échapper aux enquêteurs. »
Aussi le dimanche, Le New York Times a publié une histoire qui comprenait ce morceau:
« Les attaquants auraient communiqué à l’aide de la technologie de cryptage, selon des responsables européens qui avaient été informés de l’enquête mais n’étaient pas autorisés à s’exprimer publiquement. Il n’était pas clair si le cryptage faisait partie d’outils de communication largement utilisés, comme WhatsApp, que les autorités ont du mal à surveiller, ou quelque chose de plus élaboré. Les responsables du renseignement ont fait pression pour plus de marge de manœuvre pour contrer l’utilisation croissante du cryptage.
Après de vives critiques de l’histoire sur Twitter, le Times a ensuite retiré l’histoire du site (elle est archivée ici). Ce paragraphe a été adouci dans le texte suivant, qui a été inclus dans un autre article du Times plus tard dans la journée : « Des responsables européens ont déclaré qu’ils pensaient que les attaquants de Paris avaient utilisé une sorte de communication cryptée, mais n’ont fourni aucune preuve. » A son crédit, le Times a publié aujourd’hui un regard plus détaillé au débat sur le cryptage.
Les médias peuvent involontairement faire le jeu des gens que l’ancien journaliste de NBC Bob Sullivan appelle affectueusement le « opportunistes anti-chiffrement», c’est-à-dire ceux qui soutiennent l’affaiblissement des normes de cryptage des données pour permettre aux responsables de l’application des lois de surveiller légalement les personnes soupçonnées d’activités terroristes.
Les directeurs de la FBI , Agence centrale de renseignement et Agence de Sécurité Nationale ont averti à plusieurs reprises le Congrès et la communauté technologique qu’ils sont confrontés à un fossé béant en matière d’intelligence des téléphones intelligents et des technologies de communication Internet qui utilisent un cryptage que les enquêteurs ne peuvent pas déchiffrer – même après avoir été autorisés à le faire par les tribunaux américains.
De son côté, l’administration Obama aurait fait marche arrière dans son âpre différend avec la Silicon Valley sur le cryptage des données sur les iPhones et autres appareils numériques.
« Alors que l’administration a déclaré qu’elle continuerait d’essayer de persuader des entreprises comme Apple et Google de participer à des enquêtes criminelles et de sécurité nationale, elle a déterminé que le gouvernement ne devrait pas les forcer à violer la sécurité de leurs produits », a écrit Nicole Perlroth et David Sanger pour le New York Times en octobre. « Essentiellement, les enquêteurs devront espérer trouver d’autres moyens d’obtenir ce dont ils ont besoin, à partir de données stockées dans le cloud sous forme non cryptée ou transmises sur des lignes téléphoniques, qui sont couvertes par une loi qui affecte les fournisseurs de télécommunications mais pas les géants de la technologie. ”
Mais cela n’a pas empêché les partisans de l’affaiblissement du chiffrement d’identifier des opportunités pour faire avancer leur cause. Robert Littun avocat du bureau du directeur du renseignement national, a écrit que le soutien public à l’affaiblissement du cryptage « pourrait se transformer en cas d’attaque terroriste ou d’événement criminel où il peut être démontré qu’un cryptage fort a entravé l’application de la loi ».
À cette fin apparente, les responsables de l’application des lois de Manhattan et de la ville de Londres devraient publier mercredi un « livre blanc sur le cryptage des smartphones », lors d’un symposium annuel sur les crimes financiers et la cybersécurité à La Banque fédérale de réserve de New York. Un avis aux médias (PDF) concernant l’événement a été envoyé par Procureur du district de Manhattan, Cyrus R. Vance Jr., l’un des orateurs de l’événement et un fervent partisan de la construction d’un accès spécial pour les forces de l’ordre aux communications cryptées. Voici Vance dans un éditorial récent du New York Times sur la nécessité d’étendre les pouvoirs de surveillance.
Les critiques disent que tout plan conçu pour construire des «portes dérobées» secrètes qui permettent un accès ordonné par le tribunal aux communications cryptées finirait par se retourner contre eux une fois que ces portes dérobées auraient été découvertes par des escrocs et des États-nations. Dans sa chronique intitulée « Après les attentats de Paris, voici ce que le directeur de la CIA se trompe sur le chiffrement», Wired.com’s Kim Zetter examine les failles de sécurité dans les arguments en faveur de l’affaiblissement du chiffrement.
Le susmentionné Bob Sullivan nous rappelle que l’affaiblissement des lois nationales sur le cryptage garantirait simplement que les criminels que nous souhaitons surveiller utilisent une technologie de cryptage non américaine :
« Pour commencer, les entreprises américaines qui vendent des produits utilisant le cryptage créeraient des portes dérobées, si elles étaient forcées par la loi. Mais des produits créés en dehors des États-Unis ? Ils ne créeraient des portes dérobées que si leurs gouvernements l’exigeaient. Vous voyez où je veux en venir. Il n’y aura pas de loi globale sur les clés principales à laquelle toutes les entreprises adhèreront. A présent, je suis sûr que vous avez réalisé que de telles lois ne fonctionneraient que dans la mesure où elles sont respectées. De nombreuses entreprises créeraient des produits de chiffrement escrocs, maintenant que leur marché allait exploser. Et bien sûr, les terroristes travaillent dur pour créer leurs propres schémas de cryptage.
« Il y a aussi le problème des produits existants, créés avant une telle loi. Ceux-ci n’ont pas de portes dérobées et pourraient toujours être utilisés. Vous pourriez considérer cela comme le problème du génie sorti de la bouteille, ce qui est réel. Il est très, très difficile d’annuler une avancée technologique.
« Pendant ce temps, la création de portes dérobées nous rendrait tous moins en sécurité. Feriez-vous confiance aux gouvernements pour stocker et protéger une telle clé principale ? Gérer la défense d’un tel tueur secret universel est l’étoffe des intrigues de films. Non, la clé principale sortirait très probablement ou la porte dérobée serait piratée. Cela signifierait que les acteurs illégaux auraient toujours un cryptage qui fonctionnait, mais pas le reste d’entre nous. Nous nous battrions avec une main dans le dos.
« Au final, c’est un argument familier : désactiver le cryptage ne ferait qu’empêcher les gens de l’utiliser légalement. Les criminels et les terroristes l’utiliseraient encore illégalement.
Où en êtes-vous dans ce débat, chers lecteurs ? Tirez-vous parti des types de technologies et de services, comme Signal, Télégramme et Osier – qui utilisent un cryptage que le gouvernement dit qu’il ne peut pas déchiffrer ? Sonnez dans les commentaires ci-dessous.