Facebook refuse de permettre le contournement du chiffrement de bout en bout

Protection de la vie privée

Récemment, le Congrès a déclaré à Facebook et Apple qu’ils feraient mieux d’intégrer des backdoors dans leur chiffrement de bout en bout, sinon ce dernier adoptera des lois qui obligeront les entreprises technologiques à le faire.

chiffrement de bout en bout

Lors d’une récente audience du comité judiciaire du Sénat à laquelle ont assisté des représentants d’Apple et de Facebook, qui ont d’ailleurs rappelé l’importance du chiffrement qui n’a pas encore été pour l’instant affaibli d’une quelconque manière, le sénateur Linsey Graham a déclaré ceci :

Vous allez trouver un moyen de le faire ou nous allons le faire pour vous.

Nous n’allons pas vivre dans un monde où des groupes d’abuseurs d’enfants trouveront un refuge sûr pour donner libre cours à leurs activités malveillantes. Point. Fin de la conversation.

C’est la dernière offensive dans cette guerre incessante contre le chiffrement. Les salves les plus récentes ont été tirées à la suite du manifeste sur la protection de la vie privée que le CEO de Facebook, Mark Zuckerberg, a publié en mars dernier.

À l’époque, Zuckerberg a présenté la nouvelle position de l’entreprise comme un changement de stratégie majeur qui impliquait le développement d’une plateforme de communication privée hautement sécurisée basée sur les services Facebook, Messenger, Instagram et WhatsApp.

L’objectif de Facebook est de laisser ces trois services de chat comme des applications autonomes, mais également de regrouper leur infrastructure technique afin que les utilisateurs de chaque application puissent se parler plus facilement.

Le plan prévoit également l’extension à Messenger et Instagram du chiffrement de bout en bout utilisé à l’heure actuelle sur WhatsApp, et qui empêche quiconque, y compris Facebook lui-même, de lire le contenu des messages. À ce stade, Facebook Messenger prend en charge le chiffrement de bout en bout en mode “connexions sécurisées” : un mode qui est désactivé par défaut et doit être activé pour chaque conversation. Instagram ne dispose d’aucun chiffrement de bout en bout sur ses chats.

Vous feriez mieux de mettre fin, ou du moins suspendre, votre plan, ont lancé à Facebook trois gouvernements différents en octobre dernier.

Le procureur général américain William Barr et les responsables des forces de l’ordre du Royaume-Uni et d’Australie ont signé une lettre ouverte appelant Facebook à faire machine arrière concernant son plan qui a pour objectif de “tout chiffrer“, à moins qu’il ne trouve le moyen de donner aux forces de l’ordre un accès via une backdoor afin qu’ils puissent lire les messages.

“Non”, a déclaré Facebook, malgré tout le respect dû aux forces de l’ordre et à la nécessité d’assurer la sécurité des citoyens.

Facebook a alors publié une lettre ouverte rédigée en réponse à Barr.

Dans la lettre, les responsables de WhatsApp et Messenger, Will Cathcart et Stan Chudnovsky, ont déclaré que tout accès aux produits de Facebook via des backdoors, créées spécifiquement pour les forces de l’ordre, affaiblirait la sécurité et laisserait entrer des acteurs malveillants qui exploiteraient alors ce dernier. C’est pourquoi Facebook n’a pas l’intention de se conformer à la demande de Barr qui exige que l’entreprise rende ses produits plus accessibles, a déclaré le réseau social :

L’accès par “backdoor” que vous exigez pour une utilisation par les forces de l’ordre serait un cadeau pour les cybercriminels, les pirates et les régimes répressifs, qui leur permettrait de pénétrer dans nos systèmes en rendant chaque personne sur nos plateformes plus vulnérable à d’éventuelles violations de la vie privée dans la vie réelle.

Les messages privés des utilisateurs seraient moins sûrs et les vrais gagnants seraient ceux qui chercheraient à profiter de cette sécurité affaiblie. Il ne s’agit pas d’un compromis que nous sommes prêts à faire.

Dans sa récente déclaration liminaire, le sénateur Graham, le président du comité judiciaire du Sénat, a déclaré aux représentants d’Apple et de Facebook qu’il appréciait “le fait que personne ne puisse pirater mon téléphone”, mais que les appareils et les messages chiffrés créaient un véritable “refuge” pour les cybercriminels et l’exploitation infantile.

Dans la lettre de Facebook, Cathcart et Chudnovsky ont souligné que les experts en cybersécurité ont montré à plusieurs reprises que l’affaiblissement d’une partie d’un système chiffré signifiait qu’il serait finalement affaibli “pour tout le monde et partout“. Selon eux, il est impossible de créer une backdoor juste pour les forces de l’ordre, sans que d’autres acteurs ne puissent l’utiliser à leur tour.

Ils ne sont pas les seuls à avoir adopté cette approche, ont-ils précisé. Plus de 100 organisations, dont le Center for Democracy and Technology et Privacy International, ont répondu à la lettre de Barr pour partager leurs points de vue sur les raisons pour lesquelles la création de backdoors compromettrait grandement la sécurité des utilisateurs. La lettre de Facebook a également cité le Professeur en Cryptographie Bruce Schneier, reprenant des commentaires qu’il avait faits plus tôt cette année :

Vous devez faire un choix. Soit tout le monde peut espionner, soit personne ne peut espionner. Vous ne pouvez pas avoir “Nous pouvons espionner, mais par contre vous, vous ne pouvez pas”. La technologie ne fonctionne pas du tout de cette manière.

Selon l’entreprise, à l’heure actuelle, Facebook travaille déjà à rendre ses plateformes plus sécurisées. Cette initiative a obligé la plateforme sociale à plus que doubler le nombre d’employés qui travaillent sur la sûreté et la sécurité, en utilisant l’Intelligence Artificielle (IA) pour détecter le contenu malveillant avant que quiconque ne le signale ou, parfois, ne le voit. Pour sa part, WhatsApp détecte et interdit deux millions de comptes chaque mois, sur la base de modèles d’abus. Il analyse également les informations non chiffrées, telles que les informations de profil et de groupe, à la recherche de contenu bien particulier tel que des images de maltraitance infantile.

Facebook dit qu’il a rencontré des experts en sécurité, des avocats de victimes, des plateformes téléphoniques d’assistance aux enfants ainsi que d’autres acteurs pour mettre en évidence comment mieux signaler les abus commis sur des enfants, de manière à faciliter leur utilisation ultérieure par les forces de l’ordre. La plateforme sociale mène ce chantier tout en essayant d’équilibrer les demandes répondant à d’autres besoins : par exemple Facebook travaille également à collecter moins de données personnelles, comme les gouvernements l’exigent, et à garder privées les interactions entre utilisateurs, comme ces derniers le demandent également.

Lors d’un récent événement organisé par la Wall Street Journal, AG Barr a admis que oui, le chiffrement présentait des avantages, tels que la sécurisation des communications avec une banque … une institution financière qui donnerait, ou du moins pourrait donner, aux enquêteurs ce dont ils ont besoin s’ils sont en possession d’un mandat.

Mais il a déclaré que l’augmentation du nombre d’applications grand public, comme WhatsApp et Signal, avec un chiffrement de bout en bout rendant ainsi les mandats inefficaces, ont aidé “les organisations terroristes, les cartels de la drogue, les groupes d’abuseurs d’enfants et d’autres de type pornographie infantile”.

Cette guerre contre le chiffrement se poursuit depuis les nombreuses tentatives du FBI pour créer des backdoors au niveau du chiffrement de l’iPhone d’Apple dans le récent cas des terroristes de San Bernardino.

Les deux parties s’en tiennent aux mêmes arguments qu’ils ont mis en avant depuis le début de ce débat. La seule vraie différence dans les récents événements est le nouvel appel à une législation pour forcer les backdoors : une menace qui, apparemment, unit les deux côtés de ce Congrès, d’ailleurs massivement en faveur d’une telle mesure, donnant ainsi beaucoup plus de poids à cette dernière offensive pour l’intégration de backdoors.


Billet inspiré de Facebook refuses to break end-to-end encryption, sur Sophos nakedsecurity.

Leave a Reply

Your email address will not be published.