Les médias ont fait la une ces derniers jours, après que le Times ait annoncé que «WhatsApp, Facebook et d'autres réseaux de médias sociaux seraient contraints de divulguer des messages cryptés» aux forces de l'ordre, en mettant l'accent sur «des terroristes présumés, des pédophiles et d'autres criminels graves. »Le rapport laisse entendre qu'un traité imminent entre les États-Unis et le Royaume-Uni briserait le verrou de la messagerie cryptée et donnerait enfin aux forces de l'ordre ce dont elles ont envie, à savoir un accès au contenu du message. Est-ce vrai? Parce que, dans l’affirmative, ce serait l’un des assaut les plus impopulaires sur la confidentialité généralisée des utilisateurs ces derniers temps. Eh bien, ce n'est pas si simple. Ces rapports sont presque certainement trompeurs, car ils mêlent des accords de partage de données avec des portes dérobées mandatées par le gouvernement - qui sont clairement entièrement distinctes. Oui, il existe des discussions entre les législateurs sur la messagerie et d'autres formes de cryptage, mais il serait extrêmement inhabituel qu'un changement aussi radical se concrétise sous la forme d'un traité donnant au Royaume-Uni accès aux données américaines. Comme je l'ai déjà signalé, les agences de renseignement et de lutte contre la criminalité aux États-Unis et au Royaume-Uni ont un problème majeur avec la "mise au noir", ce qui signifie qu'elles sont incapables de pénétrer les plates-formes de messagerie cryptées de bout en bout, même avec un mandat judiciaire. dans la main. Les plates-formes défendent leur position. Toute porte dérobée conçue pour les bons sera inévitablement exploitée par les méchants, une vulnérabilité est une vulnérabilité. Et de toute façon, disent-ils, qui décide qui est bon et qui est mauvais. Si la porte dérobée existe pour les États-Unis, qu’en est-il de la Russie, de la Chine ou du Moyen-Orient? En juillet dernier, le ministre de l'Intérieur du Royaume-Uni, Priti Patel, avait accusé Facebook de frustrer la lutte contre les terroristes et les abuseurs d'enfants, avec son intention d'étendre le cryptage de bout en bout utilisé par WhatsApp sur le reste de sa plateforme. «Lorsque les systèmes sont délibérément conçus en utilisant un cryptage de bout en bout, qui empêche toute forme d'accès au contenu», écrit- elle dans le Daily Telegraph, «quels que soient les crimes susceptibles de permettre, nous devons agir». Et Patel est au cœur de ces derniers rapports. Selon le Times , Patel «signera le mois prochain un accord contraignant les entreprises de médias sociaux américaines à transmettre des informations à la police, aux services de sécurité et aux procureurs. L’accord d’accès aux données, qui marque l’aboutissement de quatre années de lobbying intense de la part du Royaume-Uni, est considéré par Downing Street comme un outil essentiel dans la lutte contre le terrorisme et les abus sexuels. " Les informations de messagerie cryptées peuvent être les métadonnées associées au message, ce que les plates-formes possèdent. Mais pour divulguer le contenu, il faut repenser complètement la manière dont les messages sont envoyés d'un individu à un autre. Et là où un tel cryptage a été brisé (des piratages récents d’États-nations auraient accédé à ce contenu), c’est un compromis entre l’appareil et non la plate-forme. Pour passer de là à la conclusion que des plates-formes américaines telles que Facebook / WhatsApp, ainsi que Signal et Wickr, vont rompre la sécurité de leur cryptage à cause d'un traité de partage de données conclu entre les États-Unis et le Royaume-Uni. Les plates-formes capturent les métadonnées, essentiellement les messages indiquant qui, quand, à quelle fréquence, et ces données peuvent être récupérées et fournies aux forces de l'ordre sur la base d'une demande légale. La plupart de ces données sont capturées par des organisations américaines. Un accord de partage de données donnerait au Royaume-Uni le droit de demander ces données aux États-Unis, et inversement, mais il n'élargit pas en soi la portée des données, sans modification importante de la législation américaine. "Nous nous opposons aux tentatives du gouvernement de construire des backdoors", a déclaré Facebook dans un communiqué publié par Bloomberg, "car ils porteraient atteinte à la confidentialité et à la sécurité de nos utilisateurs partout dans le monde. Les politiques gouvernementales telles que la loi sur le cloud autorisent les entreprises à fournir les informations disponibles lorsque nous recevons des demandes légales valables, sans demander aux entreprises de créer des portes arrière. " Il est essentiel de noter que la loi CLOUD de 2018 sur la clarification de l'utilisation licite des données à des fins légales permet aux États-Unis de partager des données avec des gouvernements étrangers et donne aux autorités un accès aux données qu'elles stockent, mais ne contient aucune disposition permettant d'exiger le déchiffrement. de ces données quand il est crypté par les clients. Et avec le cryptage de bout en bout, les données sont cryptées par le client avec les clients détenant les clés. Des mesures ont été prises pour étendre la portée des droits légaux du gouvernement de rendre obligatoire l'accès à des informations restreintes, mais c'est un très gros problème. Cela commencera par un énorme combat politique aux États-Unis avant que cela ne se produise. Plus tôt cette année, il a été signalé que le gouvernement américain était en train d'explorer de telles options législatives pour interdire les formes de cryptage que les forces de l'ordre ne peuvent pas supprimer. Depuis lors, le procureur général des États-Unis, William Barr, a fait valoir que les entreprises technologiques ne devaient pas empêcher les backdoors d'être introduits sur leurs plates-formes. Tout cela a créé une énorme réaction dans les secteurs de la technologie et de la protection de la vie privée. Patel a fait ses déclarations de juillet au beau milieu d'une réunion «Five Eyes» qu'elle organisait à Londres, avec des représentants d'agences de renseignement américaines, britanniques, canadiennes, australiennes et néo-zélandaises discutant de mesures permettant aux forces de l'ordre d'accéder aux informations de bout en bout. plates-formes cryptées. Selon eux, alors que la charge de travail liée au terrorisme, à la mise en danger des enfants et au crime organisé transfrontalier augmente, «nous devons veiller à ce que nos agences de maintien de l'ordre et de sécurité et de renseignement puissent obtenir un accès légal et exceptionnel aux informations dont ils ont besoin». «La technologie évolue rapidement et la confidentialité doit évoluer», m'a confié Joel Wallenstrom, PDG de la plate-forme de messagerie ultra sécurisée Wickr, après la révélation des discussions aux États-Unis. "Ce sont toutes des préoccupations tout à fait légitimes, compréhensibles, voire prévisibles, émanant des forces de l'ordre et ailleurs." Peut-être. Mais le défi pour le gouvernement est qu'il n'y a pas de bonne solution pour résoudre ce problème. La confidentialité est un problème, tout comme la compromission des données. Et tout abandon de la sécurité totale peut être exploité. Patel a cité le Protocole Fantôme idée proposée par l' agence d'espionnage britannique GCHQ comme une option. Ce document de réflexion appelait à «une fin supplémentaire» dans la messagerie cryptée de bout en bout, permettant aux gouvernements (le cas échéant) d'écouter. Mais les sociétés de technologie, les experts en matière de protection de la vie privée et les groupes de défense des droits humains ont publié une réponse ouverte , affirmant que cela introduirait vulnérabilités non intentionnelles potentielles, accroissent les risques d’abus ou d’abus des systèmes de communication. " «L’idée d’un protocole fantôme a été prouvée à maintes reprises comme non viable», m’a dit Wallenstrom. "Déterminer qui a accès à ce type de technologie [d'interception] signifie que nous devons déterminer qui est bon et qui est mauvais." Il a également souligné que la suppression des protections de la confidentialité ouvre du contenu afin que les plateformes elles-mêmes puissent "espionner à travers l'utilisateur". Les données." Il semble que cette histoire de partage de données ait eu de graves conséquences, dont aucune n’était claire dans le rapport initial. Pour être clair, pour que WhatsApp et d'autres plates-formes américaines rompent leur cryptage, des modifications techniques majeures seraient nécessaires. Ils vont se battre dur contre de tels mouvements. Et il existe d'autres plates-formes, telles que Telegram, qui seraient en dehors des règles. Si nous étions sur le point de voir une véritable rupture du chiffrement de la messagerie, je m'attendrais à voir les propositions techniques discutées, exactement comme nous l’avons vu avec l’idée du «protocole fantôme». Nous n'avons encore rien vu de tel. Clairement aucune garantie, mais dans l'ensemble le contenu des messages cryptés semble toujours sûr pour le moment. Si cela change, ce sera l'histoire technologique de l'année jusqu'à présent.