Votre vie privée ne compte pas vraiment – Comment les Five Eyes veulent s’attaquer au chiffrement
Vie privée, on ne connaît pas – Les agences de renseignement et les gouvernements cherchent des solutions pour accéder aux communications chiffrées de la population. Dans leur viseur, les sociétés tech qui produisent des outils de chiffrement de bout en bout.
Les Cinq Yeux appellent à la fin du chiffrement de bout en bout
Le FVEY (Five Eyes) est l’alliance des services de renseignement des États-Unis, du Royaume-Uni, du Canada, de l’Australie et de la Nouvelle-Zélande.
Cette alliance supranationale appelle les entreprises technologiques à coopérer avec les gouvernements. Le FVEY s’attend à ce que ces firmes leur permettent d’accéder au contenu chiffré s’échangeant sur leurs plateformes.
La déclaration internationale, datée du dimanche 11 octobre, est également signée par les représentants gouvernementaux de l’Inde et du Japon.
« Des implémentations particulières des technologies de chiffrement posent des défis importants pour la sécurité publique, et incluant les membres très vulnérables de nos sociétés, comme les enfants exploités sexuellement. Nous exhortons l’industrie à répondre à nos préoccupations lorsque le chiffrement est utilisé d’une manière qui exclut totalement tout accès légal au contenu. »
Les solutions « raisonnables et techniquement faisables » proposées dans cette déclaration sont les suivantes :
- Tout d’abord, les entreprises doivent concevoir des systèmes de communication leur permettant d’agir efficacement contre les contenus et activités illégaux. Ces systèmes devraient faciliter les enquêtes et les poursuites, tout en protégeant les personnes vulnérables ;
- Ensuite, les forces de l’ordre devraient pouvoir accéder au contenu de ces systèmes, dans un format lisible et utilisable (moyennant une autorisation légalement délivrée) ;
- Enfin, les sociétés technologiques devraient s’engager dans des consultations avec les gouvernements pour concevoir de tels systèmes.
Concrètement, il s’agit de mettre en place des backdoors. Ces brèches secrètes au sein des fonctions de chiffrement permettraient aux autorités d’accéder au contenu des échanges.
L’Union européenne a la même volonté
L’UE veut également mettre un point final au chiffrement de bout en bout.
Elle souhaite lutter contre l’exploitation enfantine et la pédo-criminalité. Le 9 juin, la Commission européenne et l’intergroupe du Parlement sur les droits de l’enfant ont animé un webinaire sur le sujet.
Ylva Johansson, Commissaire aux Affaires intérieures de l’Union européenne, a appelé à trouver des « solutions techniques » au « problème du chiffrement ».
Le site Politico a fait fuiter le document décrivant ces solutions. Paradoxalement, l’idée est d’accéder aux données chiffrées … tout en gardant les bénéfices du chiffrement.
Le client-side scanning est jugé particulièrement efficace. Cette technique intervient avant le chiffrement des données. L’application scanne leur contenu en temps réel, sur l’appareil de l’utilisateur, puis le compare avec une « liste noire ».
Tout d’abord, l’app hache les données de l’utilisateur (non chiffrées) avant l’envoi. Ensuite, les hashes sont comparés avec la liste noire. Cette base de données comprend les hashes des données jugées illégales (par exemple, des images pédo-pornographiques). S’il y a correspondance, le contenu du message est jugé illégal et l’application ne le chiffrera pas.
Une guerre de longue haleine… partout
Le gouvernement chinois a choisi cette approche pour combattre l’utilisation de WeChat. Bien entendu, elle sonne le glas du chiffrement de bout en bout. En effet, l’expression « de bout en bout » veut dire que seuls l’émetteur et le destinataire d’un message peuvent avoir accès à son contenu.
Par conception, cette technique ne permet pas de connaître le contenu de la liste noire. En effet, les fonctions de hachage sont à sens unique. De ce fait, seuls les détenteurs des données illégales peuvent savoir si les hashes de la liste noire se limitent à du contenu pédo-criminel.
Les agences américaines mènent depuis plusieurs années ce combat contre le chiffrement de bout en bout. Désormais, elles peuvent compter sur des gouvernements alliés et sur les autorités européennes.
Bien entendu, lutter contre la pédo-criminalité est plus que louable. Cependant, s’attaquer au chiffrement de bout en bout est peine perdue pour combattre ce fléau. Les criminels n’auront qu’à passer par des applications open source, et non par celles des grosses entreprises qui mettront en place ces systèmes de surveillance.