Chiffrement : entre industriels et politiques, un dialogue de sourds ?

Amit Yoran, le patron de RSA, a récemment choisi de se mêler au débat en cours outre-Atlantique – mais également ailleurs – autour du chiffrement des communications personnelles. Et sa prise de position risque de ne pas lui attirer que des sympathies. Evoquant certaines velléités d’imposer des portes dérobées par la loi, il a ainsi indiqué penser « qu’il est possible qu’il s’agisse de l’une des propositions législatives les plus absurdes des dernières décennies. Cela montre simplement une absence complète de compréhension de la manière donc fonctionne la technologie ».

Peut-être John Chen, le Pdg de BlackBerry, voit-il là une pointe de condescendance. En tout cas, lorsque l’avocat d’Apple explique à la justice américaine que forcer l’entreprise à extraire des données dans un dossier spécifique, « pourrait menacer la confiance entre Apple et ses clients et substantiellement ternir la marque », il y voit du dédain. Car pour lui : « nous sommes clairement dans une zone sombre lorsque des entreprises placent leur réputation au-dessus de l’intérêt commun ». Et tant pis s’il coupe, dans sa citation, un élément clé de l’argumentation de l’avocat : ce dernier estime que forcer Apple à extraire ces données se ferait « en l’absence d’autorité légale ».

Drapé de vertu, John Chen explique que son « engagement de confidentialité ne s’étend pas aux criminels » avant de se positionner en arbitre : « BlackBerry est dans une position unique pour aider à rapprocher les deux parties du débat, pour trouver un terrain commun et avancer ». Et tant pis si l’exercice peine à convaincre.

Car John Chen marque une claire opposition aux portes dérobées « dans ses terminaux et ses logiciels » et souligne n’avoir « jamais donné accès à nos serveurs à des gouvernements et ne le feront jamais ». Surtout, il assure que « nous rejetons toute notion d’interdiction ou de désactivation du chiffrement : l’épidémie de hacking au cours des dernières années montre que nous avons besoin de plus, pas de moins de contrôles de sécurité pour nos informations sensibles. Franchement, je suis surpris et agacé que certains responsables politiques pensent que l’interdiction du chiffrement fonctionnerait sur un plan technique ». Plein de bon sens, John Chen explique donc que « si les services de chiffrement étaient interdits, les criminels se contenteraient d’écrire leurs propres applications de chiffrement ». Une conclusion à laquelle aboutit également Amit Yoran. Et en définitive, la ligne de John Chen ne diverge pas tant que ça de celle de ceux dont il déplore qu’ils fassent preuve de « dédain ».

Parallèlement, les voix ne manquent pas de continuer de s’élever pour défendre le chiffrement. Rebecca Herold, Pdg de Privacy Professor, souligne ainsi le risque afférent aux portes dérobées : « lorsque des portes dérobées sont installées dans des technologies de sécurité, cela les affaiblit et les rend vulnérables à des détournements. Et nombreux seront ceux qui trouveront un intérêt à saisir l’opportunité d’obtenir des données de valeur et/ou récolter de l’argent ».

Elle alerte aussi sur le risque d’utilisation illégitime au sein même des autorités : « ce pouvoir pourrait être mal utilisé, et pas seulement par malveillance interne isolée, mais également par des forces de l’ordre justifiant cette utilisation par leurs missions de sécurité du public ». Et de rappeler que l’histoire ne manque pas de tels exemples, jusqu’au sein des démocraties occidentales, sans aller chercher loin dans le passé.

Au final, outre-Atlantique, comme en France ou au Royaume-Uni, peut-être les responsables politiques estiment-ils avoir trouver leur eldorado dans « les points de clair », pour reprendre l’expression de Guillaume Poupard, patron de l’Anssi. Outre-Manche, le gouvernement britannique est même allé, récemment, jusqu’à envisager d’interdire les services de communication électronique chiffrés n’offrant pas de point de clair aux autorités. Peut-être qu’en effet des criminels prêts préparant un attentat suicide hésiteraient à enfreindre une telle réglementation…

Avec nos confrères de SearchSecurity.com (groupe TechTarget).