L'affaiblissement du cryptage ne renforce pas la sécurité

Le ministère de l'intérieur du Royaume-Uni aurait remis à Apple une ordonnance secrète exigeant que l'entreprise mette hors service son offre de stockage de données cryptées la plus performante afin de permettre aux forces de l'ordre du pays d'accéder aux sauvegardes de données des utilisateurs dans le cadre d'enquêtes. Cette ordonnance, émise le mois dernier, affecterait les clients d'Apple non seulement au Royaume-Uni, mais dans le monde entier, et créerait un dangereux précédent que d'autres pays pourraient utiliser pour justifier des demandes similaires.

L'ordonnance, rapportée par le Washington Post, représente un défi important pour l'accès des consommateurs à un cryptage fort et constitue le dernier chapitre d'une longue et sordide histoire de résistance des gouvernements au cryptage des données au repos et en transit. Selon le degré de liberté que l'on souhaite accorder à ses définitions et l'ancienneté de ses recherches, on peut trouver des dizaines d'exemples de ce type de comportement au cours des dernières décennies de la part de gouvernements du monde entier, y compris de démocraties telles que le Royaume-Uni et les États-Unis. La plupart de ces exemples ont trait aux efforts déployés pour compromettre le cryptage des données en transit, comme les portes dérobées dans les services de messagerie sécurisée ou l'absurde proposition de puce Clipper.

Mais l'ordonnance britannique concerne les données au repos, en particulier les données stockées par les utilisateurs d'Apple dans leurs sauvegardes iCloud. Et plus précisément encore, les données stockées par les utilisateurs qui ont activé Advanced Data Protection, le service de sauvegarde chiffrée de haut niveau d'Apple, une option qui permet aux utilisateurs de prendre le contrôle de leurs propres sauvegardes et de s'assurer qu'eux seuls, et non Apple, sont en possession des clés permettant de déchiffrer ces sauvegardes. Cette option permet d'éviter l'une des principales méthodes utilisées par les forces de l'ordre pour accéder aux données de l'iPhone : un mandat de perquisition pour la sauvegarde iCloud. Le service ADP n'est pas disponible dans tous les pays, mais il l'est au Royaume-Uni et aux États-Unis, entre autres.

L'ordonnance obligerait Apple à créer une méthode permettant aux forces de l'ordre d'accéder à ces sauvegardes - ce qui irait totalement à l'encontre de l'objectif du service - ou... quoi ? Cesser de faire des affaires au Royaume-Uni ? Cette dernière solution est la plus probable, mais elle ne règle pas le problème général, à savoir les efforts constants déployés par les gouvernements pour affaiblir ou désactiver le cryptage et les services cryptés. Ces efforts sont, au mieux, contre-productifs et, au pire, activement nuisibles.

En ce qui concerne l'impact potentiel de ce décret, Thorin Klosowski, de l'Electronic Frontier Foundation, a écrit : "Il n'y a pas de compromis technologique entre un cryptage fort qui protège les données et un mécanisme qui permet au gouvernement d'avoir un accès spécial à ces données. Toute "porte dérobée" construite pour le gouvernement expose tout le monde à un risque accru de piratage, d'usurpation d'identité et de fraude. Il n'existe pas de monde où, une fois construites, ces portes dérobées ne seraient utilisées que par des gouvernements ouverts et démocratiques. Ces systèmes peuvent être, et seront rapidement, utilisés par des gouvernements plus répressifs dans le monde entier pour lire les communications des manifestants et des dissidents".

Le cryptage moderne n'est rien de moins qu'un miracle. A lire Le livre du code ou tout ce qu'a écrit Matthew Green si vous avez besoin d'un peu d'information. Le fait que tout cela fonctionne est incroyable. Des mathématiques incroyablement étranges constituent essentiellement la base de la sécurité de l'internet moderne. Il a fallu une bonne centaine d'années pour en arriver là, et cela pourrait être réduit à néant en l'espace de quelques jours. Les cryptographes et les informaticiens mettent en garde contre les dangers de ces idées depuis des décennies, et les ingénieurs en sécurité ont travaillé avec diligence pour mettre au point des cryptosystèmes et des produits résistants et défendables. Ces systèmes sont à la base de nos plateformes bancaires, de commerce électronique et de communication.

Pourtant, les efforts visant à entraver ces systèmes se poursuivent sans relâche. Il n'existe aucun scénario dans lequel l'affaiblissement du cryptage conduirait au renforcement d'un pays.