La loi anti-chiffrement de l’Australie rencontre une autre opposition, après celle de toute l’industrie de la technologie. La loi qui contraint les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients a été ridiculisée par des experts internationaux en cryptographie lors de la conférence annuelle sur la sécurité, RSA. Selon l’un des Experts, cette loi adoptée à la hâte en décembre dernier ne serait pas productive. En effet, La Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill le 6 décembre dernier malgré l’opposition de toute l’industrie de la technologie. Selon la dernière rédaction du projet de loi anti-chiffrement de l’Australie, la loi permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de forcer les sociétés Internet, les opérateurs télécoms, les fournisseurs de messagerie ou toute personne jugée nécessaire pour avoir accès au contenu auquel les agences souhaitent accéder.
Dans la pratique, Assistance and Access Bill va permettre à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées, afin de donner aux enquêteurs accès au contenu des messages à condition que ces portes dérobées ne constituent pas des « faiblesses systémiques » dans la sécurité du service. Le projet de loi controversé a pu être adopté lors de la dernière séance du parlement australien l’année dernière sans amendements. Le parti travailliste de l’opposition, qui avait tenté de modifier le projet de loi, a dû abandonner ses amendements à la dernière minute pour éviter que le débat sur le projet se poursuive en 2019. Le chef de l'opposition, Bill Shorten, a également déclaré que c'était parce qu'il ne voulait pas compromettre la sécurité des Australiens dans le contexte théorique d'un attentat terroriste pendant la pause estivale.
De nombreux pays à travers le monde fournissent d’énormes efforts pour contrecarrer le chiffrement de la communication. C’est le cas de la Grande-Bretagne avec la loi britannique sur les pouvoirs d'investigation et des Etats-Unis avec les programmes de décryptage de la NSA. Ces deux pays font d’ailleurs partie des Five Eyes qui, pour lutter contre la montée du terrorisme, ont décidé qu’il fallait intensifier la pression sur les géants des télécommunications et de la technologie afin de faciliter l’accès au contenu déchiffré des messages chiffrés des personnes soupçonnées de terrorisme. Cependant, la loi anti-chiffrement de l’Australie va plus loin en mettant en grand danger le chiffrement numérique.
L’un des experts réunis à la conférence RSA, le pionnier de la cryptographie Whitfield Diffie et également membre d'un panel régulier à la conférence, a déclaré que la loi australienne ne sera pas « productive ». « Je pense que le problème est en gros le suivant : il est en fait facile de perturber l'utilisation de la cryptographie par des organisations commerciales légitimes à grande échelle pour leur causer beaucoup de problèmes, mais il n'est pas certain que ces techniques causeront autant de problèmes aux terroristes, par exemple », a déclaré M. Diffie. « Donc je pense que c'est une étape qui ne sera pas productive », a-t-il ajouté.
Diffie a également attaqué le fondement de la loi australienne en faisant référence à la citation immortelle de l'ancien premier ministre Malcolm Turnbull selon laquelle « les lois des mathématiques sont très louables, mais la seule loi qui s'applique en Australie est celle de l'Australie ».
Whitfield Diffie a été rejoint ensuite par Paul Kocher, chercheur indépendant dans le domaine de la sécurité, pour continuer à dépeindre les limites de la loi anti-chiffrement australienne. Kocher s’en est pris, en particulier, à la section de la loi qui permet aux forces de l'ordre de cibler des employés individuels pour affaiblir secrètement les systèmes et ensuite ne le dire à personne, y compris à leur propre employeur, sous peine d'une peine importante de prison.
« La nouvelle loi australienne peut mettre les développeurs en prison s'ils refusent de mettre des portes dérobées dans leurs produits ou s'ils disent à qui que ce soit qu'ils l'ont fait », a déclaré M. Kocher, avant d’ajouter que « Pour moi, c'est 100 % à l'envers ». Selon M. Kocher, « Si quelqu'un devait aller en prison, ce sont les développeurs qui se faufilent à travers les portes dérobées des produits et ne disent pas à leurs managers et à leurs clients qu'ils l'ont fait ».
M. Kocher a également mis en doute la capacité de l'Australie à éviter que les faiblesses introduites ne tombent entre les mains des personnes malveillantes. « Les portes dérobées secrètes sont un peu comme des agents pathogènes, et les gouvernements ont fait un travail épouvantable pour leur gestion », a déclaré M. Kocher.
M. Kocher a fait référence à la cyberattaque NotPetya aux Etats-Unis pour dire que l’Australie ne pourra pas être en mesure de contenir les menaces qui pourraient profiter des faiblesses introduites dans les produits. « Pour tous ceux qui ont dû faire face à la situation de NotPetya, qui a coûté environ 10 milliards de dollars aux entreprises, c'est essentiellement la militarisation des exploits qui a fait l'objet de fuites de la part de l’Agence National de la Securité des Etats-Unis », a dit M. Kocher.
« Je ne pense pas que l'Australie puisse faire un meilleur travail que la NSA, donc cela ne va vraiment pas bien se terminer pour nous tous d'avoir ce genre de politique qui soit adoptée, que ce soit en Australie ou ailleurs dans le monde. », a-t-il ajouté.
Dès le départ, cette loi a soulevé des inquiétudes chez les entreprises de la technologie. « Les agences pourraient obliger un fabricant d'appareils à précharger (puis dissimuler) des logiciels de pistage ou de capture d'écran (logiciels espions) sur des combinés commerciaux pouvant être activés à distance », ont déclaré, en septembre dernier, dans une communication conjointe la Communications Alliance (l'organe de représentation de Telstra, Optus et de fabricants d’appareils tels que Nokia et Huawei), l’Australian Information Industry Association et l’Australian Mobile Telecommunications Association.
En novembre, Apple a officiellement fait opposition à ce projet de loi. Pour Apple, tenter de contraindre les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients dans le cadre de nouveaux plans de sécurité pourrait « nuire gravement » à la cybersécurité du pays.
Par ailleurs, en février, le fournisseur australien de messagerie hébergé, FastMail, a déclaré avoir perdu des clients et être confronté à des demandes « ;régulières ;» de transfert de ses opérations en dehors de l’Australie suite à l’adoption par ce pays de lois anti-chiffrement. De nombreuses autres entreprises telles que le groupe Senetas qui conçoit des solutions certifiées de chiffrement, se sont plaintes depuis l’adoption de la loi.
Source : RSA Conference
Et vous ?
Qu’en pensez vous ? La loi anti-chiffrement de l’Australie ne sera pas productive. Quel est votre avis par rapport à cette affirmation ? A votre avis, quel impact cette loi aura sur les entreprises en Australie ? Lire aussi
Dix géants de la Silicon Valley regroupés autour du RGS réaffirment leur opposition à la loi anti-chiffrement, et s'accordent sur six principes Apple à l'Australie: « Ce n'est pas le moment d'affaiblir le chiffrement », l'entreprise fait valoir que ce projet de loi n'est pas la solution Australie : refuser de déverrouiller son smartphone pourrait bientôt être sanctionné de 10 ans de prison, dans le cadre d'une enquête Des chercheurs contournent le chiffrement des machines virtuelles SEV d'AMD, et parviennent à récupérer en clair des données normalement chiffrées Le chiffrement bout-en-bout de WhatsApp empêche des enquêteurs d'avancer dans une affaire criminelle, les enquêteurs dans l'impasse vu les enjeux