Des hommes politiques pour la création de portes dérobées dans les messages chiffrés

Amber Rudd, le ministre intérieur britannique, vient d’ajouter son nom à la liste croissante des politiciens britanniques et américains qui souhaiteraient voir des actions concrètes et rapides concernant le chiffrement des messageries instantanées qui serait à priori “totalement inacceptable”.

De telles prises de position sont devenues habituelles après les derniers événements tragiques : en effet, un rapport médiatique révélerait que Khalid Masood aurait envoyé un message WhatsApp deux minutes avant de lancer son attentat terroriste à Londres le 22 mars dernier.

N’importe qui impliqué dans la cybersécurité qui voit apparaitre les mots “attaque terroriste” et “WhatsApp” au sein d’une même histoire, peut facilement imaginer quelle peut être la prochaine étape.

WhatsApp utilise actuellement son fameux chiffrement de bout en bout, ce qui signifie que la police ne peut pas accéder au contenu du message. Même en découvrant l’identité destinataire de ce message, et sur la base de l’analyses des métadonnées de WhatsApp, le résultat reste incertain.

WhatsApp n’a aucune obligation de donner à la police l’accès aux métadonnées, mais même si cela était le cas, cela n’irait pas plus loin que le numéro de téléphone, en des données d’horodatage et (éventuellement) une localisation. Nous sommes loin de pouvoir obtenir un nom de compte et une adresse, comme cela aurait été le cas avec les numéros de téléphone d’antan !

Tout comme l’ancien premier ministre David Cameron, avait lancé l’idée d’interdire les applications de messageries chiffrées il y a deux ans. Rudd trouve que la situation s’aggrave, et a ainsi déclaré à la BBC :

Nous devons veiller à ce que des entreprises comme WhatsApp, et il en existe beaucoup d’autres comme celle-là, ne soient pas un lieu secret permettant aux terroristes de communiquer entre eux.

Le sens exact de “devons veiller” reste flou. Le discours de Rudd concernant la future législation obligeant (on l’imagine) les entreprises du web à proposer des méthodes pour contourner le chiffrement est un peu fort de la part d’un gouvernement qui s’est octroyé récemment de plus grands pouvoirs via l’Investigatory Powers Act (IPA).

En ce qui concerne la faisabilité technique de mettre en place des portes dérobées, Rudd a très peu de chance de convaincre les entreprises américaines de suivre cette voie.

Les portes dérobées ne verront pas le jour car, comme Naked Security l’a souligné auparavant, il existe de nombreux potentiels dégâts collatéraux, essentiellement au niveau de la protection de la vie privée. La réalité incontournable est qu’internet est un édifice fragile construit sur le chiffrement. Si vous désactivez ce chiffrement à un seul endroit, des répercutions pourront de faire sentir à de nombreux autres niveaux.

Si l’on décide de mettre en place des portes dérobées dans une application de messagerie utilisée par des centaines de millions de personnes, une telle approche ne pourrait-elle pas s’appliquer à d’autres applications ou aux nombreuses couches de chiffrement sur lesquelles reposent le commerce numérique et la société civile dans son ensemble ? Sincèrement, nous pouvons nous poser la question au nom du respect de la vie privée ?

Rudd demande involontairement le droit de créer une énorme faille de sécurité, tout simplement. Apparemment, une utilisatrice acharnée de WhatsApp elle-même, curieusement elle serait parmi les premières à en subir les conséquences.

Il se pourrait aussi que l’enthousiasme de Rudd déployé pour s’attaquer au chiffrement soit influencé par la sphère politique et la nécessité de se montrer intransigeante sur ce sujet. Les citoyens aiment les applications de messagerie, mais malheureusement les terroristes aussi. On pourrait aussi faire remarquer que les terroristes prennent également des trains et conduisent des voitures, mais lorsque des tragédies se produisent, une explication est nécessaire et, en ce moment, le chiffrement est en ligne de mire.

Rudd fait beaucoup parler en ce moment, même le gouvernement des États-Unis a du mal à faire face à un problème aussi complexe. Ces appels de la part des politiciens ne vont plus s’arrêter de sitôt !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Politicians call – again – for backdoors into encrypted messages, par John E Dunn, Sophos NakedSecurity.