La résolution de l’UE cherche un compromis de la part des entreprises technologiques sur les portes dérobées de cryptage

  • FrançaisFrançais


  • Un projet de résolution du Conseil de l’Union européenne appelle les entreprises de technologie, les universitaires et les législateurs à développer de nouveaux mécanismes pour permettre aux forces de l’ordre et aux enquêtes sur le terrorisme de violer un cryptage fonctionnellement incassable.

    «L’Union européenne doit garantir la capacité des autorités compétentes dans le domaine de la sécurité et de la justice pénale, par exemple les autorités répressives et judiciaires, à exercer leurs pouvoirs légitimes, en ligne et hors ligne», lit-on dans la résolution, d’abord publiée par la radio autrichienne. station FM4.

    Après la sortie de l’histoire autrichienne, la résolution a pris sa propre vie sur Twitter, avec des spéculations selon lesquelles la résolution serait contraignante ou qu’une législation était imminente. Ni l’un ni l’autre ne sont vrais. Mais c’est un autre signe que le cryptage n’est pas une politique établie, même dans l’UE qui protège la vie privée.

    Les résolutions du Conseil de l’UE ne sont pas contraignantes, mais peuvent souvent donner le ton à la législation. Dans le système européen, les lois proviennent d’un organisme différent, la Commission européenne. Et, comme la résolution est plus un appel à plus d’étude qu’une demande de nouvelles règles spécifiques, ce n’est pas autant une question de tonalité.

    Le moment choisi pour l’élaboration du projet de résolution, peu de temps après les attentats terroristes de Vienne, a encore troublé la question, ce qui a amené certaines voix en ligne à penser qu’il s’agissait d’un problème à venir.

    «Je ne vois pas de vision claire de la législation dans le projet», a déclaré Triin Siil, conseil général de la société de transfert sécurisé de données Cybernetica, la société qui a créé, entre autres produits, le système de vote électronique en Estonie.

    Le projet appelle à un équilibre entre «la sécurité par le cryptage» et «la sécurité malgré le cryptage», un rappel astucieux que le cryptage de sécurité fourni à chacun protège également les criminels. Mais c’est un équilibre plus spécifique dont la gouvernance européenne doit s’inquiéter.

    «La réglementation du cryptage a déjà été discutée, mais cela ne s’est jamais produit parce que l’UE a un droit global à la vie privée parmi les citoyens européens, a déclaré Sarah Pearce, partenaire de la pratique de confidentialité et de cybersécurité de Paul Hastings et responsable de l’équipe européenne du cabinet. Bureaux de Londres et de Paris. «Mais même le RGPD a des exceptions dans certaines situations.»

    Une quasi-uniformité des experts en sécurité et des cryptographes s’opposent aux gouvernements mondiaux qui tentent d’appliquer un accès extraordinaire aux données cryptées pendant des décennies pour les mêmes raisons: une porte dérobée conçue pour les forces de l’ordre affaiblit considérablement la sécurité; les groupes terroristes peuvent créer leurs propres applications de cryptage (Al-Qaïda en avait une dès le milieu des années 2000); il y a une chance pour une portée excessive; il existe généralement d’autres moyens d’accéder aux mêmes informations (comme les logiciels malveillants sur les appareils des utilisateurs); et les utilisateurs bénéficient de la garantie de confidentialité.

    Ce n’est pas le premier effort de l’UE ou de ses pays membres individuellement pour créer une sorte de contournement afin que les forces de l’ordre ou les enquêteurs de la sécurité nationale puissent accéder aux données cryptées avec un mandat. Un document divulgué à Politico début octobre montrait les recommandations d’une réunion de technologues convoquée par l’UE sur la façon de surveiller les applications de chat pour le matériel d’exploitation d’enfants. Les idées allaient de l’évitement du cryptage E2E à l’envoi de hachages d’images et de documents joints à une base de données centralisée pour le filtrage.

    «La numérisation côté client présente quelques problèmes. Bien que toute sorte de modération du contenu puisse être automatisée, l’analyse automatisée des hachages ne peut vous mener que jusqu’à présent. Il faudra toujours qu’il y ait des humains avec un accès pour la surveillance », a déclaré Mallory Knodel, directeur de la technologie pour le Center for Democracy & Technology, qui s’oppose aux portes dérobées de cryptage.

    La réglementation du chat crypté devient un problème de chef de la sécurité de l’information, a déclaré Knodel, lorsqu’elle interfère potentiellement avec les communications entre les clients et les fournisseurs, les patients et les médecins, ou d’autres situations où une organisation a besoin de fournir la confidentialité à une partie extérieure. Cela place également les entreprises qui conçoivent des produits dans une position concurrentielle désavantageuse: étant donné le choix, les consommateurs dans une économie mondiale choisiront souvent le produit non conçu pour les écoutes clandestines.

    Si la résolution finit par devenir la règle de l’UE, ce ne sera probablement pas la course folle que certaines personnes craignent.

    «L’UE n’est pas un acteur agile et n’est pas censée en être un», a déclaré Liisa Paast, qui a occupé plusieurs postes de haut niveau dans le domaine de la cybersécurité pour le gouvernement de l’Estonie, mais qui dirige désormais le développement des activités de cybersécurité pour Cybernetica.

    Pourtant, les efforts des législateurs pour légiférer sur une méthode sécurisée pour un accès extraordinaire aux données cryptées sont une préoccupation, a-t-elle ajouté.

    «C’est une erreur de penser que vous pouvez casser le cryptage sans casser le cryptage», a-t-elle déclaré. «Une fois cassé, il est cassé.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *