Cyber-sécurité

Qui veut laisser la clé sous le paillasson ?

d'Lëtzebuerger Land du 04.03.2016

Un épisode surprenant a émaillé la guerre quasi-ouverte que se livrent désormais les polices de plusieurs pays et les grands groupes technologiques au sujet de l’accès aux messages privés transitant sur les serveurs de ces groupes. Cela s’est passé à São Paulo, où le responsable pour l’Amérique latine de Facebook, Diego Dzodan, a été arrêté par les forces de sécurité brésiliennes mardi matin à l’aéroport de Guarulhos, à la demande de la justice de l’État de Sergipe (nord-est). Ce qui est reproché à Diego Dodzan : ne pas avoir donné droit à la demande de la police de Sergipe de fournir des messages échangés entre trafiquants de drogue sur WhatsApp et requis comme preuves à leur encontre. Arrêté alors qu’il se rendait à son travail dans un quartier central de la métropole brésilienne, le cadre a été emmené à l’Institut de médecine légale et devait ensuite être entendu par la Police fédérale, dans le cadre d’une procédure d’emprisonnement préventif qui ne prévoit pas de délai de libération.

WhatsApp, l’application de messagerie qui appartient à Facebook depuis 2014, compte un milliard d’utilisateurs environ. Frappés d’une amende de 50 000 réals (quelque 12 000 euros) pour n’avoir pas fourni à la justice de Sergipe les messages demandés, Facebook et sa filiale WhatsApp ont refusé de payer. L’amende a alors été portée à un million de réals. Facebook et WhatsApp ont fait part de leur étonnement et de leur déception. Facebook a estimé que la mesure d’arrestation était « extrême et disproportionnée » et a signalé que WhatsApp est opérée de manière indépendante. WhatsApp a indiqué ne pas stocker les messages de ses utilisateurs et ne pas avoir la possibilité de les intercepter. Cité par le Financial Times, Amit Yoran, directeur de RSA Security, a indiqué à l’ouverture d’une conférence sur la cybersécurité organisée par son entreprise que les plans des autorités policières pour affaiblir les dispositifs d’encryption étaient « tellement mal inspirées que ça laisse rêveur », des remarques sans doute autant inspirées par l’incident brésilien que par l’affrontement que se livrent ces jours-ci Apple et le FBI autour de l’encryption d’iPhone de terroristes ou de criminels.

Dans le cas de l’épisode de Saõ Paulo, il faut dire qu’il s’agit de la part des autorités brésiliennes d’une récidive, après un fait similaire fleurant bon lui aussi la démagogie anti-yankee, qui fait mouche auprès d’une partie de l’opinion brésilienne. En décembre dernier, les principaux opérateurs de télécommunications brésiliennes s’étaient vus intimer l’ordre de bloquer WhatsApp sur l’ensemble du territoire national pendant 48 heures. Là aussi, il s’agissait d’une mesure de rétorsion suite au non-paiement par WhatsApp d’une amende infligée parce que l’entreprise n’avait pas obéi à un ordre de justice dans le contexte d’une enquête criminelle remontant à 2013. Dans ce cas, le blocage avait éveillé la suspicion que les opérateurs téléphoniques avaient caché leur joie face à cette mesure, WhatsApp étant une application qui, en offrant aux utilisateurs une alternative bon marché aux textos et appels téléphoniques, est pour eux synonyme de manque à gagner. Il est assez ironique que des juges brésiliens cherchent à s’appuyer sur les sentiments nationalistes de leur population pour faire plier les entreprises technologiques américaines, alors que les Brésiliens font partie des adeptes les plus enthousiastes de leurs produits et applications…

De toute façon, tant le FBI que la police fédérale brésilienne font fausse route. Ce n’est pas en cherchant à imposer à Google, Facebook ou Apple de ménager dans leurs messageries, leurs appareils ou leurs serveurs des dispositifs d’interception et de décryptage qu’ils vont améliorer leur capacité à exercer leur mission. L’évolution technologique favorise chaque fois plus le caractère inviolable de la correspondance, ce qu’il faut voir comme un progrès démocratique. Et les experts en cyber-sécurité sont unanimes sur un autre point : toute installation de « back-doors » censées être utilisables par les seules autorités policières crée ipso facto des vulnérabilités que des individus ou des puissances mal intentionnés pourront exploiter : elle revient de fait à « laisser la clé sous le paillasson ».

Jean Lasar
© 2017 d’Lëtzebuerger Land