Le débat sur les portes dérobées : La confiance numérique a besoin d'un cryptage fort

Dans un monde de plus en plus numérique et interconnecté, le chiffrement est devenu plus qu'une simple caractéristique technique, c'est un pilier fondamental de la cybersécurité mondiale. Il protège tout, des conversations privées ou professionnelles aux dossiers médicaux sensibles, en passant par les infrastructures critiques, les systèmes financiers et les secrets d'État. Il permet la confiance, la protection de la vie privée et la sécurité à grande échelle !

Pourtant, ce pilier pourrait bien être menacé...

Partout dans le monde, les gouvernements accentuent la pression sur les entreprises technologiques pour qu'elles créent des "portes dérobées" dans les canaux et les communications cryptés, soi-disant pour faciliter les enquêtes des forces de l'ordre et de la sécurité nationale. Qu'il s'agisse de la loi britannique sur les pouvoirs d'investigation ou des propositions controversées de la Suède en matière de surveillance, il ne s'agit plus d'un simple débat politique. Il s'agit d'un point d'inflexion mondial.

Une tendance mondiale avec des risques sérieux

• Au Royaume-Uni, les pressions exercées récemment pour obliger Apple à affaiblir son chiffrement iCloud dans le cadre d'un "avis de capacité technique" ont conduit Apple à retirer entièrement sa fonction de protection avancée des données du Royaume-Uni.
• En Suède, plus de 50 organisations ont signé unelettre ouverte ( ) avertissant que la législation proposée éroderait le chiffrement de bout en bout et compromettrait la sécurité numérique.
• En France, un amendement exigeant que les services cryptés fournissent des messages en clair sur demande a également été proposé, heureusement rétracté, mais révélateur de la tendance.

Cette vague d'efforts législatifs, souvent déployés au nom de la sécurité, cache un risque plus profond : la création de vulnérabilités systémiques qui compromettraient la sécurité même que le chiffrement est censé assurer !

Les deux arguments en faveur des portes dérobées

1. Application de la loi et sécurité nationale: Les agences affirment qu'elles ont besoin d'accéder aux canaux, bases de données et communications cryptés pour enquêter sur le terrorisme, l'exploitation des enfants et le crime organisé.
2. Prévention et intervention: L'accès à des informations critiques pourrait permettre d'éviter des attaques ou de sauver des vies dans des situations où le temps est compté.

Ces préoccupations sont réelles et valables. Mais...

Les arguments contre : La réalité d'une porte dérobée

Tout d'abord, nous devrions tous comprendre la chose la plus importante : vous ne pouvez pas construire une porte que seuls les "bons" peuvent ouvrir.

• Elle affaiblit la cybersécurité: Toute vulnérabilité intentionnelle peut être découverte et exploitée par des pirates informatiques, des cybercriminels ou des adversaires étrangers.
• La vie privée s'érode: La simple existence de portes dérobées invite à une utilisation abusive et porte atteinte aux libertés civiles.
• Impossible à contenir: D'un point de vue technologique, il est pratiquement impossible de s'assurer que l'accès est limité aux seuls acteurs autorisés.
• Un précédent mondial: Une fois qu'un pays a obtenu l'accès, d'autres demanderont la même chose, y compris les régimes autoritaires.
• Saper la confiance: La sécurité des outils dont le monde dépend, y compris ceux utilisés par les gouvernements eux-mêmes, est mise en doute.

N'oublions pas : Les gouvernements s'appuient également sur le chiffrement

L'ironie de la chose, c'est que les gouvernements, les agences de renseignement et les armées dépendent de systèmes cryptés pour protéger leurs propres communications. Ils utilisent des plateformes sécurisées pour tout ce qui concerne les conversations diplomatiques, les communications internes, les opérations sur le terrain et la protection des infrastructures. Le chiffrement assure la sécurité des dénonciateurs, protège les informateurs et garantit que la sécurité nationale n'est pas compromise. Exiger des portes dérobées pour les plateformes publiques tout en s'appuyant sur la même technologie à huis clos est une contradiction, et une contradiction dangereuse.

Si le chiffrement est affaibli pour certains, il l'est pour tous.

Avertissements historiques et modernes

Nous avons vu ce qui se passe lorsque la confiance est rompue :

• La puce Clipper (années 1990) a tenté d'imposer une clé de chiffrement accessible au gouvernement, mais elle a été abandonnée après un tollé général et des critiques techniques.
• L'algorithme Dual EC DRBG comportait une vulnérabilité insérée par la NSA et est devenu un cas d'école des raisons pour lesquelles les portes dérobées échouent.
• La faille de SolarWinds (2020), qui insérait un code malveillant dans une mise à jour logicielle fiable, a mis en évidence la fragilité du contrôle centralisé et montré comment les portes dérobées, même involontaires, peuvent avoir des conséquences mondiales.

Où cela s'arrête-t-il ?

C'est la question que nous devons tous nous poser. Faut-il s'arrêter aux applications de messagerie ? Qu'en est-il des courriels cryptés, des dossiers médicaux, des systèmes bancaires ou de l'infrastructure en nuage ? La dérive de la surveillance est réelle et une fois que l'on commence à compromettre le chiffrement, il n'y a qu'un pas à franchir pour arriver à la surveillance de masse. La limite doit être fixée au niveau du chiffrement lui-même.

La montée en puissance de l'IA et de l'informatique quantique

Les menaces évoluent. Les attaques basées sur l'IA sont de plus en plus sophistiquées. L'informatique quantique, une fois arrivée à maturité, brisera les normes de chiffrement actuelles. Ce n'est pas le moment d'affaiblir la sécurité, mais de la renforcer, d'investir dans une cryptographie résistante à l'informatique quantique et de se préparer aux défis à venir.

Les gouvernements, les entreprises technologiques et la société civile doivent collaborer sans compromettre les protections fondamentales, les exigences en matière de protection de la vie privée et les droits de l'homme.

Jetez un coup d'œil à Messaging Layer Security (MLS) by Wire.

Il existe des alternatives aux portes dérobées

• Promouvoir un chiffrement fort comme fondement de la cyber-résilience.
• Élaborer des cadres ciblés et juridiquement responsables pour accéder aux informations nécessaires sans compromettre l'infrastructure.
• Explorer les technologies de préservation de la vie privée et les méthodes d'accès sécurisé aux données qui ne nécessitent pas de compromettre le chiffrement pour tous.

Le chiffrement n'est pas un luxe. C'est une nécessité. Il ne s'agit pas seulement de protection de la vie privée, mais aussi de sécurité, de confiance et de résilience à l'ère du numérique.

Chez Wire, nous constatons de première main à quel point les communications sécurisées sont vitales non seulement pour les entreprises de tous les secteurs, mais aussi pour les gouvernements eux-mêmes. Les outils qui protègent les personnes vulnérables protègent également les institutions. Les affaiblir n'est pas une solution.

Un grand merci à la Global Encryption Coalition et à Tuta.