Protections des données privées

Une « charte des fouineurs » en gestation

d'Lëtzebuerger Land du 12.02.2016

Entre les exigences des services de renseignement qui considèrent qu’aucun dispositif de communication ne doit pouvoir leur résister et les entreprises de technologie qui aspirent à offrir aux utilisateurs de leurs appareils et services la meilleure protection possible de leurs données privées, le divorce est désormais complet. On aurait pu croire, naïvement, qu’après les révélations d’Edward Snowden en juin 2013, quand les services d’espionnage américains et britanniques avaient été pris la main dans le sac à intercepter et stocker à grande échelle et à titre purement préventif des données privées, ils feraient montre d’un peu plus de retenue dans ce genre de débat. Il n’en est rien. Comme l’a révélé cette semaine le Financial Times, les services britanniques continuent au contraire de faire pression sur les firmes de la Silicon Valley pour que celles-ci leur ménagent un accès privilégié aux données privées transitant sur leurs réseaux et stockées sur leurs serveurs.

Une encryption poussée est désormais facile à intégrer dans les outils utilisés au jour le jour par les citoyens : nul besoin d’être un geek pour s’en servir. En fait, la tendance est même à ce qu’un cryptage puissant soit adopté par défaut par les entreprises de technologie pour leurs appareils et services servant aux communications personnelles, car il ne ralentit plus notablement les échanges et ne requiert, de la part de l’utilisateur, ni réglages ni connaissances particulières. C’est le cas notamment des messages échangés par des centaines de millions de personnes sur les systèmes iMessage d’Apple et Whatsapp, qui appartient à Facebook.

La demande des services de renseignement, relayées officieusement par le gouvernement britannique alors qu’officiellement celui-ci affirme vouloir préserver la sphère privée de ses citoyens, revient à contraindre les grandes firmes de la Silicon Valley à ménager une porte d’entrée (backdoor) activable à la demande pour accéder aux données de leurs utilisateurs. Un peu comme le ferait un propriétaire fouineur à l’égard de ses locataires en conservant un double des clés. Ses détracteurs estiment d’ailleurs que le projet de loi soumis à la Commission Renseignement et Sécurité du Parlement britannique reste par trop intrusif et vague, au point de l’avoir baptisé « snoopers’ charter ».

Les entreprises technologiques ne s’opposent pas seulement aux pouvoirs demandés par les services de renseignement par méfiance à l’égard de ceux-ci. Elles savent aussi que les backdoors insérées dans leurs technologies sont autant de vulnérabilités sur lesquels les cybercriminels agissant pour leur propre compte ou les hackers à la solde d’États se jettent avec délectation. Est-il possible, dans ce contexte, de séparer le grain de l’ivraie ? De concevoir des dispositifs d’inspection sûrs en ce sens que seuls les agents de renseignement du « bon bord » pourraient les actionner ? Les grandes firmes du Net répondent à cette question par la négative : une vulnérabilité est une vulnérabilité, la « force brute » requise pour les exploiter n’est plus l’apanage des grandes puissances occidentales, et chaque orifice ménagé dans une cuirasse numérique court le risque d’être détecté et exploité à des fins malfaisantes.

Bien entendu, les officiels des services de renseignement brandissent l’argument de l’utilisation des messages cryptés par les terroristes. Ils affirment aussi qu’ils ne veulent pas la clé, mais veulent juste s’assurer que s’ils viennent frapper à la porte de Google, de Facebook ou d’autres opérateurs de messageries munis d’un mandat, ceux-ci soient en mesure d’utiliser leurs ressources propres pour accéder aux données visées. Ce à quoi les entreprises techno répondent qu’en l’état actuel des technologies déployées, même si elles le voulaient, elles ne pourraient pas percer le cryptage offert par défaut à leurs utilisateurs. Quant à recoder l’ensemble de leurs systèmes pour pouvoir donner droit à la demande des espions, elles rétorquent que cela créerait en tout état de cause des failles de sécurité dans lesquelles les criminels et hackers s’empresseraient de s’engouffrer.

Jean Lasar
© 2017 d’Lëtzebuerger Land