Coup dur pour la vie privée numérique alors que l’Australie adopte une loi qui brise le cryptage

Les gouvernements Five Eyes (FVEY) poussent un soupir de soulagement, à la suite de la décision du parti d'opposition travailliste de se rallier au gouvernement australien et d'adopter le projet de loi de cryptage très impopulaire.

Le projet de loi sur l'assistance et l'accès 2018 appelle les entreprises à aider les autorités à briser le cryptage de bout en bout (E2E), en créant de nouvelles façons de sécuriser les communications cryptées par porte dérobée.

Selon les gouvernements de FVEY, y compris l'administration Trump, la prévalence des communications cryptées a considérablement augmenté depuis 2013, lorsque seulement 3% des messages étaient inaccessibles aux forces de l'ordre. Depuis lors, des vagues de sensibilisation (déclenchées par les révélations de Snowden) ont amené les citoyens à se précipiter vers le cryptage E2E. En 2017, 55% des communications auxquelles le gouvernement australien a eu accès étaient cryptées de manière sécurisée, des chiffres similaires sont signalés dans d'autres pays FVEY

Cryptage des données E2E

Rendez-nous nos pouvoirs Big Brother

Pour l'application de la loi, le cryptage E2E est considéré comme une barricade insurmontable pour les citoyens. Juste en face du bloc FVEY, les autorités gouvernementales poussent les entreprises technologiques à chiffrer les portes dérobées et à leur donner accès aux messages de chacun.

Désormais, la nouvelle législation australienne contribuera à ouvrir la voie à l’affaiblissement du cryptage dans le monde entier. Commentant la nouvelle loi, Danny O'Brien, de l'Electronic Frontier Foundation, a expliqué que le gouvernement peut:

«Obliger secrètement les entreprises technologiques et les technologues individuels, y compris les administrateurs réseau, les administrateurs système et les développeurs open source, à réorganiser les logiciels et le matériel sous leur contrôle, afin qu'ils puissent être utilisés pour espionner leurs utilisateurs. Les ingénieurs peuvent être pénalisés pour avoir refusé de se conformer aux amendes et à la prison; en Australie, même conseiller un technologue pour s'opposer à ces ordres est un crime. »

Malgré les affirmations de FVEY, la loi de cryptage est à la fois très dangereuse et extrêmement imparfaite. Toute faiblesse introduite dans le chiffrement E2E est irréalisable sans créer également un trou qui peut être exploité par des pirates informatiques et des cybercriminels indésirables.

Une fois que le projet de loi sur l'assistance et l'accès a été adopté avec succès, l'Australie peut commencer à faire pression sur Whatsapp (et d'autres entreprises technologiques) pour créer des portes dérobées - entraînant des exploits qui peuvent être abusés par d'autres gouvernements FVEY aux États-Unis et ailleurs, ouvrant même la porte à des gouvernements étrangers surveillance.

Échec de l'opposition

Vendredi dernier, l'Opposition fédérale du travail a rejoint les centaines d'experts en protection de la vie privée, de groupes de défense des droits et de citoyens du monde entier qui ont exprimé leur indignation face au projet de loi..

Le procureur général fantôme, Mark Dreyfus, a écrit au gouvernement pour annoncer son plan de briser la tradition de l'engagement bipartite par le biais du Comité mixte parlementaire sur le renseignement et la sécurité (PJCIS). Dans sa lettre, il a appelé à un nouvel examen des effets secondaires négatifs du projet de loi.

Digital Rights Watch

Malheureusement, le reste du banc travailliste a décidé d'apporter son soutien au gouvernement, en adoptant la loi rapidement, sans opposition et sans amendement. Exprimant son étonnement devant la décision d'adopter la loi le dernier jour de séance de l'année, le président de Digital Rights Watch, Tim Singleton Norton, a déclaré:

«Ce projet de loi est encore profondément vicié et a probablement pour effet d’affaiblir la cybersécurité globale de l’Australie, de réduire la confiance dans le commerce électronique, de réduire les normes de sécurité pour le stockage des données et de réduire les protections des droits civils. De par sa conception même, il est contraire aux droits de l'homme et aux principes démocratiques fondamentaux. Les législateurs sont informés qu'ils seront responsables des conséquences de l'introduction de faiblesses dans notre infrastructure numérique - y compris les conséquences néfastes supportées par les gens ordinaires qui comptent sur le chiffrement pour vaquer à leurs occupations quotidiennes dans une société numérique. »

Logo du site DiGi

L'annonce intervient juste une semaine après que Digital Industry Group Inc (DIGI) - une association qui comprend Google, Twitter, Oath et Facebook dans ses rangs - a fait une soumission supplémentaire à PJCIS. Dans le document, DIGI a réitéré sa désapprobation des portes dérobées:

«Le problème le plus important du projet de loi est qu'il propose de nouveaux pouvoirs au gouvernement pour ordonner aux fournisseurs de technologies de créer ou d'installer de nouvelles façons d'accéder à des systèmes et des données sécurisés. Le gouvernement semble vouloir maintenir le cryptage, tout en mandatant également les fournisseurs de technologie de mettre en œuvre un moyen de décrypter les données et de fournir ces données sans créer de vulnérabilité. C'est une aiguille qui ne peut pas être enfilée - vous ne pouvez pas casser le chiffrement sans introduire une vulnérabilité dans l'ensemble du système. »

Une spirale descendante

L'Australie étant désormais à bord, les autorités britanniques ont mis la pression. Le Dr Ian Levy, directeur technique du National Cyber ​​Security Center (NCSC) a annoncé jeudi dernier que les services de renseignement britanniques recherchaient des options pour forcer les fournisseurs de technologies à créer des «clips de crocodile virtuels» pour intercepter et décoder les e-mails cryptés de bout en bout, les messages texte et communications vocales.

Dans la proposition du NSCS produite au nom du GCHQ, Levy a suggéré que tous les messages de bout en bout soient une conversation à trois, non seulement entre l'expéditeur et le destinataire prévu, mais aussi le gouvernement - en leur donnant le pouvoir d'écouter tout. Selon Levy, ce serait l'équivalent du processus à l'ancienne d'utiliser des pinces à crocodile pour espionner physiquement les appels téléphoniques des gens.

Big Brother vous regarde

Ce que Levy omet de mentionner, c'est que contrairement à l'ancien temps où une telle attaque était singulière, isolée et dirigée uniquement contre le suspect d'une enquête (et seulement avec un mandat approprié), la nouvelle "clips de crocodile virtuel" serait attaché à chaque fil, sur chaque téléphone, dans chaque rue de Grande-Bretagne, faisant écho aux niveaux de surveillance de la Stasi.

C'est exactement le type de surveillance de masse qui a amené le grand public à utiliser des messagers cryptés en premier lieu. Le grand public a voté du pouce et c'est exactement ce niveau d'invasion gouvernementale qu'il s'oppose.

De façon inquiétante, après le Brexit, le Royaume-Uni prévoit de remplacer la loi européenne sur les droits de l'homme par une loi britannique sur les droits de l'homme conçue pour affaiblir le droit d'une personne à la vie privée. Dans un tel environnement, les citoyens britanniques risquent de ne pas pouvoir protéger leurs conversations personnelles du GCHQ.

Si le gouvernement parvient à ses fins, les portes dérobées qui permettent au gouvernement de diffuser les messages de tout le monde deviendront un maillon faible que tout le monde pourra extorquer. Le chiffrement est sécurisé ou non, et appeler une porte dérobée un clip de crocodile virtuel est intentionnellement trompeur.

La bonne nouvelle est que même si les gouvernements FVEY parviennent à forcer WhatsApp à créer une porte dérobée, il y aura toujours Signal ou un autre nouveau messager open source vers lequel les gens pourront se tourner. En fin de compte, les gouvernements devront interdire l'utilisation de messagers cryptés et transformer leurs pays en États totalitaires complets s'ils veulent gagner leur guerre incessante contre la vie privée.

Si cette histoire vous a fait reconsidérer votre propre sécurité en ligne, pourquoi ne pas jeter un œil à notre meilleure page de services VPN pour plus d'informations. De plus, si vous êtes citoyen australien, consultez notre meilleure page VPN pour l'Australie, pour assurer votre sécurité en ligne.

Crédits image: Bro Studio / Shutterstock.com

LuckyStep / Shutterstock.com

durantelallera / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me