Quinze des plus éminents cryptographes du monde, quatorze hommes et une femme, viennent de publier un rapport (PDF) à charge contre les projets de lois américains et anglais qui exigent la mise à disposition de mécanismes d’accès exceptionnel à toutes les données chiffrée.
Il y a plus de vingt ans, les agences du maintien de l’ordre avaient déjà tenté d’obtenir ce droit suite au développement de l’Internet, prédisant qu’elles deviendraient aveugles sans accès. Des prédictions jamais réalisées, et la demande fut finalement abandonnée, les forces de l’ordre mettant à profit les progrès technologiques pour mieux surveiller.
Suite aux révélations du dénonciateur Edward Snowden sur les surveillances de masse sans discernement et très souvent illégales des agences de renseignement comme la NSA et le GCHQ, le public perdait confiance dans les acteurs majeurs d’Internet, presque tous américains.
Ces derniers, comme Apple, Google ou Microsoft, ont alors réagi en chiffrant de plus en plus les données en transit entre centres de traitements de données, et entre les centres et les terminaux des clients.
C’est en réaction à ces nouveaux développements que les forces de l’ordre font pression pour de nouvelles lois leur donnant accès à toutes les données chiffrées. Avec les mêmes promesses sombres qu’il y a vingt ans sur la menace de cécité. Le directeur du FBI James Comey s’est ainsi plaint du chiffrement des données sur iPhone et Android.
Aux États-Unis, le directeur de la NSA souhaite une clé de chiffrement qui permettrait de tout déchiffrer, dont les bouts seraient répartis entre agences afin qu’aucune personne ou agence ne puisse l’utiliser seule.
En Angleterre, James Cameron pousse la bêtise jusqu’à menacer de rendre le chiffrement illégal.
Le groupe de cryptographe, qui rassemble les pères de la cryptographie moderne comme Whitfield Diffie, le co-inventeur de la cryptographie asymétrique, Ronald Linn Rivest, l’un des trois inventeurs de l’algorithme de cryptographie à clé publique RSA, des professeurs d’université, des chercheurs et des experts comme Bruce Schneier, a analysé les propositions.
Le groupe est parvenu à la conclusion que donner un tel accès aux gouvernements est techniquement infaisable, et que les gains potentiels sont largement annulés par des risques augmentés pour les données confidentielles et les infrastructures critiques comme les banques et le réseau électrique.
L’implémentation de telles règles serait si complexe à mettre en œuvre dans un monde de millions d’applications mobiles et de milliards de terminaux connectés, qu’elle conduirait certainement à l’introduction involontaire de nouvelles failles de sécurités prêtes à être exploitée par les criminels et les pouvoirs étrangers, contre lesquels les agences du maintien de l’ordre sont censées nous protéger.
Et les agences ne méritent pas la confiance extraordinaire qu’il faudrait pour leur confier des fragments de clés de déchiffrement : de l’Office of Personnel Management au State Department en passant par la Maison Blanche, elles sont piratées les unes après les autres, et refusent même souvent de confirmer que les accès illégaux ont été définitivement repoussés.
Enfin, un tel accès donné aux États-Unis et au Royaume-Uni serait pain béni pour tous les autres États, qui exigeraient des mesures similaires.
» Les coûts seraient substantiels, les dégâts pour l’innovation sévères, et les conséquences pour la croissance économique difficile à prévoir, les dommages subis par l’innovation grave et substantielle. Les coûts en perte de pouvoir d’influence des pays développés et à notre autorité morale serait aussi considérables. »
C’est grâce au même groupe que le projet de puce Clipper de l’administration Clinton a été abandonné en 1997. La puce aurait dû être ajoutée à tout appareil électronique et aurait permis au gouvernement américain de tout déchiffrer. Le groupe avait non seulement montré que c’était techniquement irréalisable, mais Matt Blaze, qui a contribué au nouvel essai, avait en plus démontré que toute personne avec une certaine expertise technique pouvait accéder à la clé de chiffrement des communications de la puce Clipper.
Les enjeux sont toutefois infiniment plus élevés aujourd’hui qu’il y a vingt ans, avec la généralisation de la numérisation du monde dans tous ses aspects.
Les auteurs de l’étude sont :
Harold Abelson, professeur au MIT, fondateur des Creative Commons et de la Free Software Foundation.
Ross Anderson, professeur à l’University of Cambridge.
Steven Bellovin, professeur à la Colombia University.
Josh Benalosh est cryptographe sénior à Microsoft Research.
Matt Blaze est professeur à l’University of Pennsylvania où il dirige le laboratoire des systèmes distribués.
Whitfield Diffie est l’un des pionniers de la cryptographie asymétrique, qui a permis les communications sûres à l’échelle de l’Internet.
John Gilmore est un entrepreneur et un défenseur des libertés individuelles.
Matthew Green est professeur au Johns Hopkins University Information Security Institute.
Peter G. Neumann est scientifique en chef du SRI International Computer Science Lab.
Susan Landau est professeur au Worcester Polytechnic Institute et a écrit plusieurs livres sur les enjeux de la surveillance.
Ronald Linn Rivest est professeur au MIT et l’un des trois inventeurs de l’algorithme de cryptographie à clé publique RSA ( le R de RSA).
Jeffrey I. Schiller a été le directeur de la sécurité de l’ Internet Engineering Steering Group de 1994 à 2003.
Bruce Schneier est un expert de la cryptographie et CTO de Resilient Systems.
Michael A. Specter est chercheur au MIT.
Daniel J. Weitzner est chercheur en chef du MIT Computer Science and Artificial Intelligence Lab et membre fondateur du MIT Cybersecurity and Internet Policy Research Initiative.