L’Australian Assistance & Access Bill est un cauchemar pour la vie privée

En 2017, le gouvernement australien a commencé à murmurer à propos d'un nouveau projet de loi qui obligerait les entreprises de technologie et de communication à aider les autorités à déchiffrer les messages cryptés. Selon le gouvernement de Turnbull, l'accès aux messages cryptés était devenu une nécessité vitale dans les enquêtes terroristes et autres affaires criminelles de haut niveau.

À cette époque, les autorités ont affirmé que 90% des messages interceptés par la police lors des enquêtes étaient protégés par une forme de cryptage. Au cours de l'année écoulée, il est allégué que le chiffrement a entravé les enquêtes policières dans environ 200 cas.

Maintenant, un avant-projet de loi a été publié qui expose les plans de l'Australie pour traiter ces messages cryptés gênants. Le document nouvellement publié s'intitule le projet de loi de 2018 portant modification de la législation sur les télécommunications et autres lois (assistance et accès) [PDF] et il s'agit d'une législation extrêmement préoccupante et contradictoire.

Porte de derrière

Les lois de l'Australie contre les lois des mathématiques

Malgré le fait que le chiffrement sécurisé de bout en bout (e2e) ne peut pas être intercepté sans une sorte de porte dérobée, le gouvernement australien insiste sur le fonctionnement de la nouvelle législation.

Dans une déclaration faite mardi à la presse, le ministre australien de l’application des lois et de la cybersécurité, Angus Taylor, a affirmé que la nouvelle législation «permettrait aux forces de l’ordre et aux agences d’interception d’accéder à des communications spécifiques sans compromettre la sécurité d’un réseau»."

Selon Taylor, la législation «interdit expressément» toute «faiblesse systémique ou vulnérabilité systémique» d'être promulguée sur des communications cryptées en toute sécurité.

"Ces réformes permettront aux forces de l'ordre et aux agences d'interception d'accéder à des communications spécifiques sans compromettre la sécurité d'un réseau. Les mesures empêchent expressément l'affaiblissement du cryptage ou l'introduction de soi-disant backdoors."

Si tel est le cas, le gouvernement australien pourrait tout aussi bien rester au lit, car cela signifie que le projet de loi interdit expressément les seuls mécanismes de rupture du chiffrement e2e qui existent réellement..

Christopher Parsons, associé de recherche au Citizen Lab, Université de Toronto, a déclaré à ProPrivacy.com:

«Alors que le projet de loi récemment proposé par le gouvernement australien affirme que les entreprises ne peuvent pas être obligées d’ajouter des faiblesses« systémiques »à leurs logiciels et processus, les agences gouvernementales seraient autorisées à contraindre les entreprises à affaiblir de manière sélective la sécurité offerte à certaines personnes. Ces faiblesses pourraient inclure un cryptage moins robuste qui pourrait être décrypté par les agences gouvernementales, ou la suppression à grande échelle du cryptage pour les personnes ciblées. »

Citizen Lab Nouveau

Assistance à l'industrie

Alors, comment les autorités australiennes s’attendent-elles à accomplir cette tâche apparemment impossible? La partie 15 du projet de loi sur la surveillance en conflit propose trois «outils» que les hauts responsables de la sécurité utiliseraient pour demander des informations aux fournisseurs de communications. La première est une «demande d'assistance technique» volontaire qui encourage les entreprises de technologie et de télécommunications à remettre le contenu des messages cryptés de leur propre gré (allez-y, vous savez que vous le souhaitez).

L'outil suivant est un «avis d'assistance technique» qui oblige les entreprises à coopérer avec le décryptage des messages si elles ont déjà la capacité technique de le faire..

Le troisième et le plus impressionnant outil est une demande obligatoire appelée «avis de capacité technique». Ce mandat obligerait essentiellement un «fournisseur de communications» à développer la capacité de fournir aux autorités australiennes l'accès souhaité aux messages chiffrés.

Législation en conflit

Une compréhension du chiffrement sécurisé e2e met immédiatement en évidence le problème de la législation australienne proposée. L '«avis de capacité technique» est, à toutes fins utiles, une demande pour les fournisseurs de créer une porte dérobée dans leurs plates-formes de chiffrement.

L'idée selon laquelle les entreprises technologiques devraient être en mesure de pirater leur propre cryptage - sans l'affaiblir ou créer une porte dérobée - est techniquement irréalisable. Le président de Digital Rights Watch, Tim Singleton Norton, l'a résumé le mieux quand il a souligné que l'accès aux «messages chiffrés sans casser la plate-forme sous-jacente qui les sécurise en premier lieu» est «ridicule».

Digital Rights Watch

Des implications de grande envergure

Alors, à qui s'appliquerait cette nouvelle loi? Le document explicatif (DE) publié à côté du projet de loi indique clairement que sa nouvelle loi s'appliquerait à tous "fournisseurs de communications étrangers et nationaux, fabricants d'appareils, fabricants de composants, fournisseurs d'applications et opérateurs traditionnels et fournisseurs de services de transport."

Ainsi, la loi s'appliquerait à des personnes comme Apple, Google, Microsoft, Facebook, Whatsapp, Open Whisper (Signal), Telegram et d'autres services de messagerie cryptés ou matériel fournissant le cryptage e2e. En fait, l'ED déclare que les comptes de messagerie et le stockage des appareils physiques seront également considérés comme un jeu pour le décryptage.

Pour les entreprises technologiques, dont les motivations sont motivées par les désirs des consommateurs pour les communications privées, la politique est susceptible de provoquer la discorde. Nicole Buskiewicz, directrice générale de DIGI, la société qui représente Facebook, Google, Twitter, Oath et Amazon, a déclaré à ProPrivacy.com:

"La protection du public est une priorité pour le gouvernement et l'industrie. Mais cela inclut la protection de la vie privée et des données du public contre les attaques, ce qui serait probablement une conséquence involontaire de ce projet de loi. La réalité est que la création de failles de sécurité, même si elles sont conçues pour lutter contre la criminalité, nous laisse tous ouverts aux attaques des criminels. Cela pourrait avoir des conséquences dévastatrices pour les particuliers, les entreprises, la sécurité publique et l'économie dans son ensemble. Nous sommes extrêmement préoccupés par le manque de contrôle judiciaire et de contrepoids avec cette législation..

"L'industrie a également développé un ensemble de principes mondiaux qui appellent les gouvernements du monde entier - y compris l'Australie - à adopter des lois et des pratiques de surveillance conformes aux normes établies en matière de vie privée, de liberté d'expression et de primauté du droit. Nous espérons qu'il y aura un dialogue constructif et public avec le gouvernement autour de ces principes alors que le projet de loi poursuit ses progrès au Parlement.."

Cryptage cassé

Cryptage cassé

Ce que le gouvernement australien ne semble pas comprendre pleinement, c'est que lorsque vous créez un accès aux messages chiffrés pour les autorités, vous créez également une vulnérabilité qui peut être exploitée par des tiers indésirables; tels que les cybercriminels et les pirates informatiques parrainés par l'État.

Le chiffrement solide de bout en bout fonctionne en utilisant des principes cryptographiques mathématiques qui ne peuvent pas être simplement annulés. Cela signifie que pour se conformer à un avis de capacité technique, les entreprises devraient en effet créer une faiblesse dans leur cryptage - alias - une porte dérobée.

Le porte-parole des droits numériques des Verts, Jordon Steele-John, a récemment déclaré publiquement:

«C'est extrêmement problématique quelle que soit la façon dont vous le voyez, car si le chiffrement de bout en bout fonctionne correctement, vous légiférez alors sur les entreprises pour faire l'impossible. Il n'y a pas de méthode d'accès aux données si elles ont été correctement cryptées.

"Les entreprises seront forcées de saper leur propre cryptage afin de se conformer à la loi australienne, compromettant ainsi la confidentialité et la sécurité des données des utilisateurs..

"Tout simplement, cela nécessitera des codes de surveillance, un dépôt de clés ou une autre méthodologie de décryptage des données pour permettre leur transmission si le gouvernement australien produit un mandat."

Le projet de loi australien est désormais disponible pour un débat public jusqu'au 10 septembre 2018. À ce moment-là, le projet de loi sera examiné pour être amendé avant d'être soumis au Parlement australien. Toute personne souhaitant exprimer ses préoccupations concernant le projet peut soumettre des commentaires à: [protégé par e-mail]

ProPrivacy.com encourage les Australiens à se lever contre cette législation alarmante. Comme le souligne Parsons au Citizen Lab:

"Si cette législation est adoptée sans amendement, elle pourrait avoir pour effet d’affaiblir sérieusement et de manière significative la confiance du public dans la sécurité et l’intégrité de leurs communications et des produits de communication qu’ils utilisent dans leur vie quotidienne. De plus, cela pourrait perturber des années de travail durement gagné par l'industrie pour développer et produire les produits et services les plus sécurisés possibles, car les mêmes entreprises qui travaillent pour nous garder en sécurité en ligne pourraient être forcées de travailler contre leurs propres années de progrès en matière de sécurité. Il s'agit d'une législation dangereusement rédigée, et j'espère que le gouvernement australien la rétractera ou la modifiera en profondeur pour protéger plutôt que mettre en danger les citoyens australiens. »

Article mis à jour le 21/08/2018 pour inclure la déclaration mise à jour de DIGI

Crédits image: GarryKillian / Shutterstock.com, enzozo / Shutterstock.com, hvostik / Shutterstock.com, Sergey Nivens / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me