Appel à la résistance des fournisseurs IT contre la NSA

Les révélations du scandale Prism n’en finissent pas de secouer la planète IT. Une douzaine d’experts en sécurité - dont Bruce Schneier ou encore Matthew Green, de l’université John Hopkins, ou encore Roger Dingledine, chef du projet Tor - se sont associés à l’Electronic Frontier Foundation pour appeler les fournisseurs IT à mieux protéger leurs clients des activités de renseignement de la NSA, et « regagner la confiance perdue ».

Dans une lettre ouverte publiée sur le site de l’organisation de défense des libertés individuelles, les chercheurs proposent dix mesures, à commencer par « fournir un accès public au code source à chaque fois que possible, et adopter un processus de compilation reproductible ». Ils demandent également que les entreprises IT expliquent « les choix et les paramètres d’algorithmes cryptographiques », ou encore qu’elles maintiennent un « dialogue ouvert et productif avec les communautés de la sécurité et de la protection de la vie privée ». Plus loin, les chercheurs appellent à un processus « clair et sûr » pour pouvoir rapporter les vulnérabilités, tout en demandant que celles-ci soient corrigées « promptement ». Ils réclament en outre la publication régulière de rapports dits de « transparence » sur les demandes d’interception des forces de l’ordre, « avec le plus haut niveau de granularité autorisé par la loi ». Et il leur semble nécessaire que l’industrie s’accorde sur « le principe de détruire les données utilisateurs lorsqu’elles ne sont plus nécessaires à l’activité » ainsi que sur la protection « autant que possible des données en transit avec un chiffrement fort ».

Surtout, les chercheurs appellent l’industrie IT à adopter une posture militante, en « s’opposant publiquement à la surveillance de masse et à tous les efforts d’insertion de portes dérobées », mais également en « luttant en justice contre toute tentative de gouvernement ou de tiers de compromission de la sécurité des utilisateurs ».

Au final, cet appel résonne comme un écho à celui lancé la semaine passée par Art Coviello, en ouverture de RSA Conference, demandant à l’industrie de la sécurité informatique de contribuer à l’établissement de normes sociétales pour le numérique, forte d’un rythme d’évolution plus rapide que celui des forces publiques.