Donc en théorie, même un utilisateur au profil non technique peut se protéger d’éventuels hackers et autres regards indiscrets (peu importe d’ailleurs leurs motivations ou l’aspect légal de leurs actions), qui auraient pour but de mettre la main sur vos emails personnels, vos SMS, votre historique de navigation, le contenu des pages web consultées, vos conversations téléphoniques, vos documents personnels, vos photos, vos données de géolocalisation, vos données client, et bien plus encore.
Ainsi, le débat se résume tout simplement à la question suivante : “est-ce vraiment une bonne idée ?”
Dans le camp du NON, on trouve ceux qui trouvent qu’un chiffrement renforcé rend difficile un certain nombre d’activités, telles le renseignement, la lutte contre le terrorisme et les enquêtes criminelles.
Les partisans du NON préconisent donc l’intégration de backdoors qui permettraient de conserver ainsi le système sécurisé dans sa quasi-intégralité, tout en offrant la possibilité, via une tierce partie dûment autorisée, de contourner le chiffrement, si nécessaire.
Dans le camp du OUI, on trouve ceux qui revendiquent qu’un chiffrement renforcé doit justement rester fort.
Ainsi, nous pouvons sans hésiter se reposer sur lui, pour protéger nos informations clients et nos données personnelles, d’éventuels terroristes, espions, escrocs, et autres irresponsables.
Paradoxalement, si vous retirez du débat les aspects tels que : le droit à la confidentialité, la moralité d’une surveillance, et la confiance suffisante dans les gouvernements pour leur offrir le pouvoir de révéler les secrets des uns et des autres sur simple demande…
…alors les partisans du NON et du OUI arriveront certainement aux mêmes conclusions, et ce en partant d’opinions au départ totalement différentes.
Les partisans du OUI : “si nous créons des backdoors dans les produits de chiffrement, alors les “Bad Guys” gagneront de nouveau !”.
Les partisans du NON : “si nous n’avons pas de backdoors à disposition dans les produits de chiffrement, alors les “Bad Guys” gagneront de nouveau !”.
Qui a raison ?
Des propositions de lois dans plusieurs juridictions, dont de bons exemples sont l’ “Investigative Powers Bill” en Angleterre et le projet de loi 2015-A8093 dans l’Etat de New York, suggèrent fortement que la voie à suivre, par les fonctionnaires et les législateurs, est clairement “NON : un chiffrement renforcé n’est pas une bonne idée, des backdoors doivent être mises en place en cas d’urgence !”.
Cependant, la réaction du secteur des technologies, du moins aux Etats-Unis (Tim Cook d’Apple s’étant fait clairement entendre tout comme Facebook, Google Microsoft, Twitter et Yahoo qui ont fait bloc ensemble face à ce problème) est “OUI : un chiffrement renforcé est nécessaire pour favoriser une sécurité optimale des données, et ce pour la simple raison que l’on ne peut pas renforcer quelque chose en le rendant en même temps vulnérable sur demande !”.
Comme vous pouvez vous en douter, nous sommes des fervents partisans du “OUI : un chiffrement renforcé doit rester fort”, et voici pourquoi :
La création obligatoire de backdoors cryptographiques peut tout simplement nous mettre tous en danger vis-à-vis de la perte de nos données personnelles, et ce à une grande échelle, par l’action d’escrocs et autres terroristes…
…dont les activités illégales, que nous serons en mesure d’espionner et sur lesquelles nous pourrons enquêter, se limiteront en fait à celles réalisées par le biais de logiciels de chiffrement avec des backdoors intégrées.
La bonne nouvelle, si vous êtes un partisan du OUI, est que le secteur de la cybersécurité n’est plus le seul à être du côté du OUI.
Le service public aux Pays-Bas, a récemment réfléchi à ce problème en concluant ainsi :
Le gouvernement reconnait pleinement l’importance du chiffrement renforcé pour la sécurité sur internet, pour permettre de mieux protéger la vie privée des citoyens, mais aussi pour la confidentialité des communications du gouvernement et des entreprises, et enfin pour l’économie Hollandaise en général.
Ainsi, le gouvernement pense qu’il n’est pas désirable d’adopter des mesures légales pour restreindre le développement, la mise à disposition et l’utilisation du chiffrement aux Pays-Bas.
A présent, la France fait partie du mouvement.
Axelle Lemaire, la secrétaire d’Etat française chargée du numérique a verbalisé très clairement sa pensée, laquelle ne manquera pas de plaire à nos lecteurs :
Ce que vous proposez, c’est une vulnérabilité by design […].
Bien que l’intention soit louable en soi, cette initiative néanmoins ouvre la porte à des acteurs dont les intentions sont, quant à elles, bien moins louables.
Et enfin, pour la chargée d’Etat au numérique, la conclusion est tout simplement la suivante :
Du point de vue du gouvernement, il ne s’agit pas d’une bonne solution.
Ce débat risque d’être sans fin, cependant c’est sans doute le moment idéal pour faire une pause, et réfléchir sur le sujet un instant !
POSITION DE SOPHOS AU SUJET DU CHIFFREMENT
Les technologies de chiffrement protègent des trillions de transactions et des milliards de Go de données chaque jour, et ont été de plus en plus utilisées ces 20 dernières années. Le chiffrement est la base pour la confiance et la sécurité dans les services en ligne et numérique en général, et améliore d’ailleurs la vie de milliards de personnes à travers le monde entier. Sophos, un leader dans la commercialisation de logiciels de chiffrement, développe des produits afin d’aider les entreprises à protéger et à sécuriser leurs données sensibles à forte valeur, quelle que soit sa taille et son secteur d’activité, y compris les commerces, écoles, universités, gouvernements hôpitaux et agences de renseignement. Notre philosophie et nos pratiques de développement bannissent tout simplement les backdoors, mais aussi n’importe quels autres moyens visant à compromettre l’efficacité de nos produits, et ce quel que soit le but recherché. Nous nous opposons vigoureusement à n’importe quelle loi qui forcerait Sophos (où un autre acteur de la cybersécurité d’ailleurs) à dégrader la sécurité de ses produits. Nous sommes en accord avec l’Information Technology Industry Council : “affaiblir la sécurité avec pour but d’améliorer cette dernière, n’a tout simplement aucun sens”.
Billet inspiré de “Cryptographic backdoors? France says, “Non!”” par Paul Ducklin de Naked Security
Qu’en pensez-vous ? Laissez un commentaire.