Chiffrement : l’Australie tente un nouveau… coup d’épée dans l’eau ?

Les appels en faveur de moyens d’interception des communications chiffrées sont nombreux et réguliers. Mais l’Australie a franchi une étape supplémentaire. Le parlement y a adopté une loi visant à forcer les éditeurs de services de communications chiffrées à aider les autorités compétentes au déchiffrement de celles-ci, voire même à mettre en place de nouvelles fonctionnalités susceptibles d’y être nécessaires. Les entreprises s’y refusant pourraient être mises à l’amende, jusqu’à 10 millions de dollars australiens. Comme à chaque fois lors des attaques à l’encontre du chiffrement des communications personnelles, c’est la lutte contre le terrorisme et le crime organisé qui est évoquée.

Industriels et organisations de protection des libertés individuelles se sont opposées à cette nouvelle législation, en vain. Alors immédiatement et sans surprise, de nombreuses voix se sont faites entendre à l’encontre de cette décision, à commencer par celle de Digital Rights Watch, dénonçant notamment la menace d’un affaiblissement général de la cybersécurité en Australie.

Le président du barreau local ne s’est pas montré plus tendre, dénonçant, entre autres, le fait que la loi ne prévoit pas d’obligation, pour les forces de l’ordre, d’obtenir un mandat avant de demander l’assistance des fournisseurs de services de communications chiffrées, ou encore l’absence d’assurances concernant la protection du secret professionnel, notamment pour les avocats.

Une lettre ouverte dénonçant la nouvelle législation est également en ligne, recueillant les signatures des opposants au texte et accusant les parlementaires d’affaiblir la sécurité numérique de tous. Certains ne manquent pas de pointer au passage une ironie certaine : cette législation conduit, d’une certaine manière, à la mise en place de ce qu’il convient bien d’appeler des portes dérobées. Celles-là mêmes dont la crainte a été officiellement évoquée pour bannir Huawei de certains réseaux.

The EXACT reason Huawei were banned from NBN & 5G is the fear of Chinese Government back doors. Now Liberal, Nats & ALP almost legislated requiring the same thing in Australia. This is how you kill our software industry and EVERYTHING is software now. #aabill

— John Lindsay (@bigjsl) December 4, 2018

Déjà, certains éditeurs s’interrogent et réfléchissent ouvertement aux implications. Et cela commence par 1Password, mais également Signal. Et ce dernier ne manque pas de souligner l’impossibilité à laquelle la législation australienne le confronte : « par conception, Signal n’a pas de trace de vos contacts, de votre graph social, liste de conversations, localisation, avatar d’utilisateur, nom de profil, appartenance à des groupes, noms de groupes, ou avatars de groupes. Les contenus chiffrés de bout en bout de chaque message et appel voix/vidéo sont protégés par des clés qui nous sont entièrement inaccessibles. Dans la plupart des cas désormais, nous n’avons même pas accès à qui communique avec qui ».

Surtout, Signal pointe les limites d’un exercice parlementaire qui pourrait bien tourner au coup d’épée dans l’eau. Car « tout ce que nous faisons est open source ». Cela permet d’assurer l’examen du code par la communauté. Mais bien sûr, cela ouvre aussi la porte à des développements alternatifs, indépendants, installables sans contrôle. En outre, « si un pays décide de faire pression sur Apple ou Google pour supprimer certaines applications de leurs magasins applicatifs, basculer sur une autre région est extrêmement trivial, tant sur Android qu’iOS ». Sans compter les possibilités d’obfuscation de trafic réseau pour contourner d’éventuels blocages. [obfuscation : expression qui consiste à rendre illisible un programme tout en lui gardant sa fonctionnalité]

Et puis il y a une certaine ironie, sinon hypocrisie. Comme le souligne Signal, « il a été largement rapporté que Malcolm Turnbull, le 29^e premier ministre australien, est un utilisateur de Signal. Il n’est pas le seul. Des membres de gouvernements, partout, utilisent Signal ». Et la raison en est probablement qu’ils se satisfont pleinement de la confidentialité de l'outil, du moins pour eux-mêmes.