La Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill. Le projet de loi anti-chiffrement, tel qu'il est connu, permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de le forcer, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder. Un rapport en a relevé quelques points clés. En vertu de cette loi, les agences gouvernementales australiennes pourraient émettre trois types d'avis:
- Les avis d'assistance technique (TAN - Technical Assistance Notices), qui sont des avis contraignant, obligeant un fournisseur de communications à utiliser une capacité d'interception dont ils disposent déjà;
- Les avis de capacité technique (TCN - Technical Capability Notices), qui sont des avis contraignant qui obligent un fournisseur de communications à créer une nouvelle capacité d'interception, afin qu'il puisse respecter les avis d'assistance technique ultérieurs; et enfin
- Les demandes d'assistance technique (TAR - Technical Assistance Requests), décrites par les experts comme les plus dangereuses de toutes.
Les TAN et les TCN seront soumis à des délais légaux, ainsi qu'à toute extension, renouvellement ou modification des avis.
Les recommandations du rapport appellent également à un réexamen après 18 mois de l'entrée en vigueur du projet de loi par l'Observatoire indépendant des lois sur la sécurité nationale; Les TAN délivrés par les forces de police des États et des territoires doivent être approuvés par le commissaire de la police fédérale australienne; les sociétés ayant reçu des avis peuvent faire appel au Procureur général pour révéler publiquement le fait qu'elles ont reçu un TCN et le comité examinera la loi adoptée au début de la nouvelle année et fera rapport le 3 avril 2019, à peu près au moment du déclenchement des prochaines élections.
Les entreprises ayant reçu des avis pourront demander une évaluation contraignante à un expert technique et à un juge à la retraite, afin de décider si l’avis est la mesure la moins intrusive disponible, si elle est raisonnable et proportionnée. L’expert technique doit disposer des « connaissances lui permettant d’évaluer si le TCN proposé enfreint l’article 317ZG du projet de loi et doit être autorisé, pour des raisons de sécurité, au plus haut niveau requis par les membres du personnel de l’ASIO, à moins que le Procureur général niveau de sécurité », indique le rapport.
Dans la pratique
Assistance and Access Bill va permettre à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées, afin de donner aux enquêteurs accès au contenu des messages à condition que ces portes dérobées ne constituent pas des « faiblesses systémiques » dans la sécurité du service.
Le projet de loi devra être entériné dans la loi par la sanction royale, ce qui devrait avoir lieu avant Noël.
Les experts en sécurité sont presque à l'unanimité contre les backdoors, précisément à cause de cet affaiblissement. Une fois qu'un tel mécanisme a été implanté dans l'application, il crée une cible pour les agences d'espionnage et les entreprises d'espionnage d'autres pays qui pourraient vouloir voir ce dont les gens discutent, mais également pour des hackers.
L'Australie est le premier membre du pacte de partage de renseignements « Five Eyes » (qui est constitué par les États-Unis, le Royaume-Uni, le Canada, la Nouvelle-Zélande et l’Australie) à adopter un projet de loi de ce type.
La question du chiffrement préoccupe les agences de renseignement et les législateurs du monde entier depuis plusieurs années déjà. En particulier après les révélations de surveillance du dénonciateur de la NSA, Edward Snowden, des entreprises technologiques telles qu'Apple, Google et WhatsApp se sont servis de chiffrement de plus en plus forts afin de convaincre les utilisateurs qu'ils peuvent communiquer en toute sécurité. Pendant ce temps, certains enquêteurs ont exprimé leur frustration face à leur incapacité à voir ce que les suspects disent ou ont dit.
Un projet de loi adopté sans amendements
Jeudi était le dernier jour de séance du parlement australien cette année. Le parti travailliste de l’opposition avait tenté de modifier le projet de loi, mais cela aurait impliqué de poursuivre le débat l’année prochaine. Le parti a donc abandonné ses amendements à la dernière minute. Le chef de l'opposition, Bill Shorten, a déclaré que c'était parce qu'il ne voulait pas compromettre la sécurité des Australiens dans le contexte théorique d'un attentat terroriste pendant la pause estivale.
Les travaillistes espèrent maintenant que le gouvernement apportera des modifications à la loi l'année prochaine, notamment en donnant une définition concrète du terme « faiblesse systémique ».
Un projet de loi adopté malgré les inquiétudes soulevées par l’industrie
Le mois dernier, Apple a officiellement fait opposition à ce projet de loi. Pour Apple, tenter de contraindre les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients dans le cadre de nouveaux plans de sécurité pourrait « nuire gravement » à la cybersécurité du pays.
« Les agences pourraient obliger un fabricant d'appareils à précharger (puis dissimuler) des logiciels de pistage ou de capture d'écran (logiciels espions) sur des combinés commerciaux pouvant être activés à distance », ont déclaré dans une communication conjointe la Communications Alliance (l'organe de représentation de Telstra, Optus et de fabricants d’appareils tels que Nokia et Huawei), l’Australian Information Industry Association et l’Australian Mobile Telecommunications Association.
« Le manque de clarté et de détail soulève des préoccupations importantes quant à l'intention, à la mise en œuvre effective et, en fin de compte, à la portée législative ».
Dans sa lettre, Apple a fait valoir que :
« Nous coopérons depuis longtemps avec le gouvernement australien sur des questions critiques et nous remercions le Parlement de nous avoir permis de partager notre point de vue sur ce sujet.
« Nous prenons extrêmement au sérieux le rôle de la technologie en général - et le rôle de Apple en particulier - dans la protection de la sécurité nationale et la vie des citoyens. Même si nous nous efforçons de livrer des expériences agréables aux utilisateurs d'iPhone, d'iPad et de Mac, notre équipe travaille sans relâche pour garder une longueur d'avance sur les agresseurs criminels qui cherchent à extraire des informations personnelles et même à s'approprier des appareils pour des agressions plus vastes qui nous mettent tous en danger. Ces menaces ne font que devenir plus sérieuses et sophistiquées avec le temps.
« C'est précisément à cause de ces menaces que nous supportons un chiffrement fort. Tous les jours, plus d’un billion de transactions se produisent en toute sécurité sur Internet comme une résultante des communications chiffrées. Celles-ci vont des opérations bancaires en ligne par carte de crédit aux échanges de dossiers médicaux, en passant par des photos d'un nouveau petit-enfant aux messages échangé entre proches. Les menaces sur ces communications et données sont très réel et de plus en plus sophistiquées ».
Source : DailyMaverick
Voir aussi :
Pays-Bas : la police réussit à casser le chiffrement de l'application de messagerie IronChat et accède à 258 000 messages chiffrés Selon certains analystes, les ordinateurs quantiques pourraient casser le chiffrement qui protège le web actuellement, mythe ou menace réelle ? Firefox Nightly embarque le support du chiffrement de l'extension SNI, qui permet d'empêcher aux hackers de consulter votre historique de navigation Mark Zuckerberg remet en cause le bien-fondé du chiffrement des communications qui, selon lui, entrave la lutte contre la désinformation et la haine France : les hackers de la gendarmerie auraient une arme secrète contre le chiffrement, qui serait en service depuis environ un an 
