La loi anti-chiffrement d'Australie ridiculisée sur la scène mondiale par des experts internationaux en cryptographie
La loi ne serait pas productive

Le , par Stan Adkens

219PARTAGES

13  0 
La loi anti-chiffrement de l’Australie rencontre une autre opposition, après celle de toute l’industrie de la technologie. La loi qui contraint les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients a été ridiculisée par des experts internationaux en cryptographie lors de la conférence annuelle sur la sécurité, RSA. Selon l’un des Experts, cette loi adoptée à la hâte en décembre dernier ne serait pas productive.

En effet, La Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill le 6 décembre dernier malgré l’opposition de toute l’industrie de la technologie. Selon la dernière rédaction du projet de loi anti-chiffrement de l’Australie, la loi permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de forcer les sociétés Internet, les opérateurs télécoms, les fournisseurs de messagerie ou toute personne jugée nécessaire pour avoir accès au contenu auquel les agences souhaitent accéder.


Dans la pratique, Assistance and Access Bill va permettre à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées, afin de donner aux enquêteurs accès au contenu des messages à condition que ces portes dérobées ne constituent pas des « faiblesses systémiques » dans la sécurité du service. Le projet de loi controversé a pu être adopté lors de la dernière séance du parlement australien l’année dernière sans amendements. Le parti travailliste de l’opposition, qui avait tenté de modifier le projet de loi, a dû abandonner ses amendements à la dernière minute pour éviter que le débat sur le projet se poursuive en 2019. Le chef de l'opposition, Bill Shorten, a également déclaré que c'était parce qu'il ne voulait pas compromettre la sécurité des Australiens dans le contexte théorique d'un attentat terroriste pendant la pause estivale.

De nombreux pays à travers le monde fournissent d’énormes efforts pour contrecarrer le chiffrement de la communication. C’est le cas de la Grande-Bretagne avec la loi britannique sur les pouvoirs d'investigation et des Etats-Unis avec les programmes de décryptage de la NSA. Ces deux pays font d’ailleurs partie des Five Eyes qui, pour lutter contre la montée du terrorisme, ont décidé qu’il fallait intensifier la pression sur les géants des télécommunications et de la technologie afin de faciliter l’accès au contenu déchiffré des messages chiffrés des personnes soupçonnées de terrorisme. Cependant, la loi anti-chiffrement de l’Australie va plus loin en mettant en grand danger le chiffrement numérique.

L’un des experts réunis à la conférence RSA, le pionnier de la cryptographie Whitfield Diffie et également membre d'un panel régulier à la conférence, a déclaré que la loi australienne ne sera pas « productive ». « Je pense que le problème est en gros le suivant : il est en fait facile de perturber l'utilisation de la cryptographie par des organisations commerciales légitimes à grande échelle pour leur causer beaucoup de problèmes, mais il n'est pas certain que ces techniques causeront autant de problèmes aux terroristes, par exemple », a déclaré M. Diffie. « Donc je pense que c'est une étape qui ne sera pas productive », a-t-il ajouté.

Diffie a également attaqué le fondement de la loi australienne en faisant référence à la citation immortelle de l'ancien premier ministre Malcolm Turnbull selon laquelle « les lois des mathématiques sont très louables, mais la seule loi qui s'applique en Australie est celle de l'Australie ».

Whitfield Diffie a été rejoint ensuite par Paul Kocher, chercheur indépendant dans le domaine de la sécurité, pour continuer à dépeindre les limites de la loi anti-chiffrement australienne. Kocher s’en est pris, en particulier, à la section de la loi qui permet aux forces de l'ordre de cibler des employés individuels pour affaiblir secrètement les systèmes et ensuite ne le dire à personne, y compris à leur propre employeur, sous peine d'une peine importante de prison.


« La nouvelle loi australienne peut mettre les développeurs en prison s'ils refusent de mettre des portes dérobées dans leurs produits ou s'ils disent à qui que ce soit qu'ils l'ont fait », a déclaré M. Kocher, avant d’ajouter que « Pour moi, c'est 100 % à l'envers ». Selon M. Kocher, « Si quelqu'un devait aller en prison, ce sont les développeurs qui se faufilent à travers les portes dérobées des produits et ne disent pas à leurs managers et à leurs clients qu'ils l'ont fait ».

M. Kocher a également mis en doute la capacité de l'Australie à éviter que les faiblesses introduites ne tombent entre les mains des personnes malveillantes. « Les portes dérobées secrètes sont un peu comme des agents pathogènes, et les gouvernements ont fait un travail épouvantable pour leur gestion », a déclaré M. Kocher.

M. Kocher a fait référence à la cyberattaque NotPetya aux Etats-Unis pour dire que l’Australie ne pourra pas être en mesure de contenir les menaces qui pourraient profiter des faiblesses introduites dans les produits. « Pour tous ceux qui ont dû faire face à la situation de NotPetya, qui a coûté environ 10 milliards de dollars aux entreprises, c'est essentiellement la militarisation des exploits qui a fait l'objet de fuites de la part de l’Agence National de la Securité des Etats-Unis », a dit M. Kocher.

« Je ne pense pas que l'Australie puisse faire un meilleur travail que la NSA, donc cela ne va vraiment pas bien se terminer pour nous tous d'avoir ce genre de politique qui soit adoptée, que ce soit en Australie ou ailleurs dans le monde. », a-t-il ajouté.

Dès le départ, cette loi a soulevé des inquiétudes chez les entreprises de la technologie. « Les agences pourraient obliger un fabricant d'appareils à précharger (puis dissimuler) des logiciels de pistage ou de capture d'écran (logiciels espions) sur des combinés commerciaux pouvant être activés à distance », ont déclaré, en septembre dernier, dans une communication conjointe la Communications Alliance (l'organe de représentation de Telstra, Optus et de fabricants d’appareils tels que Nokia et Huawei), l’Australian Information Industry Association et l’Australian Mobile Telecommunications Association.

En novembre, Apple a officiellement fait opposition à ce projet de loi. Pour Apple, tenter de contraindre les entreprises de télécommunications australiennes à installer des logiciels espions sur les téléphones des clients dans le cadre de nouveaux plans de sécurité pourrait « nuire gravement » à la cybersécurité du pays.

Par ailleurs, en février, le fournisseur australien de messagerie hébergé, FastMail, a déclaré avoir perdu des clients et être confronté à des demandes « ;régulières ;» de transfert de ses opérations en dehors de l’Australie suite à l’adoption par ce pays de lois anti-chiffrement. De nombreuses autres entreprises telles que le groupe Senetas qui conçoit des solutions certifiées de chiffrement, se sont plaintes depuis l’adoption de la loi.

Source : RSA Conference

Et vous ?

Qu’en pensez vous ?
La loi anti-chiffrement de l’Australie ne sera pas productive. Quel est votre avis par rapport à cette affirmation ?
A votre avis, quel impact cette loi aura sur les entreprises en Australie ?

Lire aussi

Dix géants de la Silicon Valley regroupés autour du RGS réaffirment leur opposition à la loi anti-chiffrement, et s'accordent sur six principes
Apple à l'Australie: « Ce n'est pas le moment d'affaiblir le chiffrement », l'entreprise fait valoir que ce projet de loi n'est pas la solution
Australie : refuser de déverrouiller son smartphone pourrait bientôt être sanctionné de 10 ans de prison, dans le cadre d'une enquête
Des chercheurs contournent le chiffrement des machines virtuelles SEV d'AMD, et parviennent à récupérer en clair des données normalement chiffrées
Le chiffrement bout-en-bout de WhatsApp empêche des enquêteurs d'avancer dans une affaire criminelle, les enquêteurs dans l'impasse vu les enjeux

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 28/03/2019 à 12:14
Microsoft prévient que les entreprises ne sont « plus à l'aise » à l'idée de stocker leurs données en Australie,
depuis l'adoption de la loi anti-chiffrement

Brad Smith, le responsable en chef des affaires juridiques de Microsoft, a prévenu que les entreprises et les gouvernements étrangers n'étaient « plus à l'aise » pour envoyer leurs données en Australie après que le projet de loi Assistance and Access Bill, qui donne aux agences de sécurité des pouvoirs renforcés pour accéder aux données chiffrées des suspects, a été adopté à la hâte par le Parlement et légiféré à la fin de l'année dernière.

Smith a déclaré à un auditoire de Canberra que les lois étaient trop vagues et nuisaient à l'industrie technologique australienne ainsi qu’à l'économie en général, car les entreprises s'inquiétaient pour la protection de la vie privée et se tournaient vers les marchés étrangers.

« Lorsque je voyage dans d'autres pays, j'entends des entreprises et des gouvernements dire "nous ne sommes plus à l'aise de placer nos données en Australie". Ils nous demandent donc de créer davantage de centres de données dans d'autres pays », a déclaré Smith.

À la fin de l’année dernière, la Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill. Le projet de loi anti-chiffrement permet aux forces de police et de lutte contre la corruption du pays de demander, avant de les y contraindre, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder.

Un rapport en a relevé quelques points clés. En vertu de cette loi, les agences gouvernementales australiennes pourraient émettre trois types d'avis:
  • Les avis d'assistance technique (TAN - Technical Assistance Notices), qui sont des avis contraignant, obligeant un fournisseur de communications à utiliser une capacité d'interception dont ils disposent déjà;
  • Les avis de capacité technique (TCN - Technical Capability Notices), qui sont des avis contraignant qui obligent un fournisseur de communications à créer une nouvelle capacité d'interception, afin qu'il puisse respecter les avis d'assistance technique ultérieurs; et enfin
  • Les demandes d'assistance technique (TAR - Technical Assistance Requests), décrites par les experts comme les plus dangereuses de toutes.

Dans la pratique, Assistance and Access Bill va permettre à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées, afin de donner aux enquêteurs accès au contenu des messages à condition que ces portes dérobées ne constituent pas des « faiblesses systémiques » dans la sécurité du service.


Des lois essentielles pour lutter contre le terrorisme, selon le gouvernement

Le gouvernement fédéral soutient que ces lois sont essentielles pour lutter contre le terrorisme et les crimes graves, mais l'industrie technologique les a décrites comme disposant d’une portée excessive qui nuirait à l'industrie et porterait atteinte à la vie privée.

Les experts en sécurité sont presque à l'unanimité contre les backdoors, précisément à cause de cet affaiblissement. Une fois qu'un tel mécanisme a été implanté dans l'application, il crée une cible pour les agences d'espionnage et les entreprises d'espionnage d'autres pays qui pourraient vouloir voir ce dont les gens discutent, mais également pour des hackers.

L'Australie est le premier membre du pacte de partage de renseignements « Five Eyes » (qui est constitué par les États-Unis, le Royaume-Uni, le Canada, la Nouvelle-Zélande et l’Australie) à adopter un projet de loi de ce type.

La question du chiffrement préoccupe les agences de renseignement et les législateurs du monde entier depuis plusieurs années déjà. En particulier après les révélations de surveillance du dénonciateur de la NSA, Edward Snowden, des entreprises technologiques telles qu'Apple, Google et WhatsApp se sont servis de chiffrement de plus en plus forts afin de convaincre les utilisateurs qu'ils peuvent communiquer en toute sécurité. Pendant ce temps, certains enquêteurs ont exprimé leur frustration face à leur incapacité à voir ce que les suspects disent ou ont dit.

Smith a rappelé que l'Australie avait acquis une réputation qui faisait d’elle une destination pour les entreprises désireuses d’y stocker les données de leurs clients. Cette image s’est altérée au cours des six derniers mois.

« Cela n'a pas changé, à ce jour, tout ce que nous avons dû faire en Australie, mais nous nous inquiétons de certains aspects du droit en termes de conséquences potentielles ».


Microsoft s'inquiète de la confidentialité en Australie

Smith a déclaré qu'il ne croyait pas que les lois visaient à créer une « porte dérobée » qui saperait la technologie de cryptage, mais a qualifié la législation de vague.

Smith a déclaré qu'il était dans l'intérêt du gouvernement australien d'atténuer les inquiétudes concernant la législation ou de la modifier : « Il existe une phrase merveilleuse qui permet aux entreprises d'éviter de créer une faiblesse systémique, mais cette phrase n'est pas définie », a-t-il déclaré.

« Jusqu'à ce qu’elle soit définie, je pense que les gens vont s'inquiéter et que nous serons parmi ceux qui vont l'inquiéter parce que nous pensons qu'il est d'une importance vitale de protéger la vie privée de nos clients ».

L’industrie technologique australienne a réitéré cette semaine ses demandes de modification des lois avant les élections, estimant qu’il devrait y avoir davantage de contrôle et une réduction de la portée.

Les entreprises australiennes, des Huawei en devenir ?

La Direction australienne des transmissions (ASD - Australian Signals Directorate) a rejeté les accusations selon lesquelles les lois donneraient aux agences de sécurité un pouvoir sans entrave ou que des entreprises de technologie seraient forcées de se tourner vers l’étranger.

« L'Australie n'est pas le premier pays à adopter ce type de législation - et nous ne serons pas les derniers », a déclaré le directeur général de l'ASD, Mike Burgess.

« Les agences britanniques ont déjà des pouvoirs similaires et d’autres pays envisagent leurs options. Les affirmations selon lesquelles la législation conduira les sociétés de technologie à l'étranger sont elles aussi défectueuses »..

Mike Burgess a finit par qualifier de « mythe » les peurs des entreprises autraliennes qui craignent pour leur réputation à l’international du fait de la loi sur le chiffrement. Lors du forum de Sydney, cette affirmation a été rejetée par les participants de l'industrie. Eddie Sheehy, un investisseur technologique et ancien directeur général du fournisseur de cybersécurité Nuix, a déclaré à ce propos que Burgess « ne sait pas ce qu’il dit ».

Il a ajouté que, en réponse à une question ultérieure, la loi avait la « capacité de transformer de nombreuses entreprises australiennes en Huawei en ce sens qu’en plusieurs endroits, plusieurs pourraient hésiter à faire appel à elles ».

Nicola Nye, directeur de cabinet chez FastMail, a déclaré que certains clients n'utilisaient plus ses services en raison de la loi, tandis que d'autres avaient exprimé leurs préoccupations par le biais de soumissions au comité mixte parlementaire sur le renseignement et la sécurité. Le comité étudie les amendements proposés et fera rapport la semaine prochaine.

Source : Guardian

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web