Après le bras de fer qui a opposé le FBI à Apple dans une enquête criminelle, le débat a également pris de l’ampleur aux États-Unis où l’utilisation généralisée généralisée du chiffrement fort a entraîné des plaintes de la part des forces de l’ordre qui évoquaient la difficulté croissante d’accéder aux communications des criminelles et donc de progresser dans leurs enquêtes. Les forces de l’ordre avaient alors demandé au gouvernement d’intimer aux entreprises technologiques l’installation de portes dérobées sur le chiffrement qu’ils utilisent pour faciliter les enquêtes. Des demandes qui ont été vivement critiquées par des spécialistes qui n’ont pas manqué de faire valoir que les portes dérobées vont apporter peu d’avantages aux forces de l’ordre contre l’affaiblissement de la sécurité et la protection de la vie privée des utilisateurs.
En mars 2016 a été créé au congrès un groupe de travail sur le chiffrement. Ce dernier a multiplié les réunions avec les collectivités locales, les États, des experts juridiques, des universitaires et des cryptographes pour examiner la question du chiffrement. Le groupe de travail a publié un rapport de fin d’année pour souligner les points clés issus de ces discussions.
Les points principaux notés par le rapport sont :
- toute mesure visant à affaiblir le chiffrement va contre l’intérêt national ;
- les technologies de chiffrement sont des technologies mondiales qui sont de plus en plus disponibles.
- la diversité des intervenants, des technologies et d'autres facteurs crée des défis différents et divergents en ce qui concerne le chiffrement et le phénomène de « l'obscurité », il n'existe donc pas de solution unique pour parvenir à résoudre le défi posé par le chiffrement ;
- le congrès devrait favoriser la coopération entre la communauté des forces de l’ordre et les entreprises technologiques.
« Le chiffrement est inexorablement lié à nos intérêts nationaux, il protège nos secrets personnels et notre prospérité économique, contribue à prévenir le crime et à protéger la sécurité nationale », a estimé le rapport. Il reconnaît tout de même que « l'utilisation généralisée des technologies de chiffrement complique la mission de la police et des services de renseignement », soulignant que ces complications ne peuvent être ignorées.
« Telle est la réalité d’une société moderne : nous devons nous efforcer de trouver un terrain d'entente dans notre responsabilité collective : prévenir la criminalité, protéger la sécurité nationale et offrir les meilleures conditions possible pour la paix et la prospérité ». Raison pour laquelle « nous ne pouvons plus être enfermés dans un débat isolé ou binaire. Il n’y a pas de “nous contre eux”, ou des “pro-chiffrement contre les forces de l’ordre”. Cette discussion implique tout le monde et toute chose qui dépend des technologies connectées ».
Il pourrait y avoir un revers aux tentatives visant à obliger les entreprises américaines à mettre des portes dérobées dans leur chiffrement, a estimé le groupe de travail qui a expliqué par exemple que les clients pourront simplement passer à des services disponibles dans d’autres pays et que cela pourrait même encourager certaines entreprises à quitter les États-Unis. « Les conséquences d’une telle politique peuvent être profondes, mais elles ne sont pas susceptibles d'empêcher les mauvais acteurs d'utiliser le chiffrement ».
Pour le groupe de travail, les législateurs devraient examiner les possibilités d'aider les forces de l’ordre à naviguer dans le processus d'accès à l'information des entreprises privées en se penchant par exemple sur des options pour améliorer la capacité des forces de l’ordre à tirer parti des métadonnées.
Le groupe a également déclaré que le Congrès envisage une autre question potentiellement controversée : le « piratage légal », plus précisément l'utilisation de failles zero day dans un logiciel pour en contourner le chiffrement.
« Nombreuses sont les personnes qui soutiennent que, plutôt que de placer de nouvelles vulnérabilités dans des produits sécurisés afin d’en faciliter l'accès aux forces de l’ordre, ces dernières devraient disposer de ressources pour exploiter les failles qui existent déjà dans les produits sécurisés. Toutefois, plusieurs organismes d’application de la loi ont rappelé que le piratage légal est une approche très onéreuse en temps et en ressources en plus d’être limitée à un sous-ensemble de cas ».
Source : rapport du groupe de travail
Voir aussi :
France : l'ANSSI se dit en faveur du chiffrement et contre l'installation de portes dérobées, dans une missive adressée à plusieurs ministères
La France en passe de lancer une initiative européenne contre le chiffrement au nom de la lutte contre le terrorisme