De la même manière que le FBI, l’Australie a réussi à contourner le chiffrement malgré la résistance des grandes entreprises technologiques renommées.
En réaction, le gouvernement australien a présenté mardi des initiatives visant à soutenir les entreprises en leur permettant d’accéder à des services de renseignement et de police pour décrypter des messages chiffrés et des appareils, sans toutefois créer de backdoor.
Dans un récent projet de loi, le gouvernement a affirmé que les criminels recourent de plus en plus aux services de messagerie chiffrés pour des activités telles que le terrorisme et le trafic de drogues.
Selon le gouvernement, la majorité (95 %) des individus considérés comme les plus menaçants par l’Agence australienne de renseignement de sécurité (ASIO) recourent à des messages cryptés afin de dissimuler leurs échanges.
Les lois proposées visent les sociétés offrant des services de communication en Australie, y compris les fabricants d’appareils, les services de messagerie tels que WhatsApp et les opérateurs de téléphonie mobile.
Comment le gouvernement prévoit d’obtenir l’accès
The Assistance and Access Bill grants three additional powers to Australian law enforcement and intelligence agencies.
Les autorités auront la possibilité de demander la collaboration des fournisseurs pour accéder aux appareils ou aux services en supprimant leur protection de sécurité, si cela est faisable par ces fournisseurs. Cependant, l’utilisation de ces pouvoirs nécessitera un mandat ou une autorisation.
La première option, appelée Demande d’assistance technique (TAR), permet aux organismes de solliciter de l’aide auprès des fournisseurs, qui ont la possibilité de décider librement s’ils souhaitent apporter leur aide ou non.
Si le fournisseur est capable d’offrir de l’aide mais refuse de le faire, il peut recevoir un avis de non-assistance technique (NAT). C’est une obligation légale, ce qui signifie que les fournisseurs doivent fournir de l’aide ou risquer une amende pouvant atteindre 10 millions de dollars (7,2 millions d’euros) pour une entreprise, ou 50 000 dollars (36 000 euros) pour un particulier.
La troisième option consiste en l’opinion sur la capacité technique (TCN). Elle suggère que des grandes entreprises technologiques telles que Facebook et Apple pourraient être sollicitées pour développer des outils permettant aux autorités de faire accéder aux communications chiffrées.
Le Certificat de Conformité Négative est délivré par le Procureur général et les fournisseurs disposent d’un délai de 28 jours pour indiquer si la proposition est exécutable ou non.
Malgré cela, le gouvernement a répété à plusieurs reprises qu’il n’obligera pas les fournisseurs à intégrer une fonction de contournement dans leurs produits, affirmant qu’il ne montre aucun intérêt pour les dispositifs de sécurité destinés à protéger les utilisateurs.
Selon le projet de loi, les nouveaux pouvoirs ne pourront pas être mis en œuvre si les exigences les rendent susceptibles de permettre à des individus malveillants d’interférer avec les services, appareils ou logiciels électroniques.
Si un fournisseur reçoit une demande ou un avis, il est également légalement obligé de maintenir la confidentialité de ces informations afin de ne pas compromettre une enquête.
Le projet de loi inclut une version révisée du “mandat d’accès à l’ordinateur”, autorisant l’ASIO à obtenir discrètement des informations stockées sur un ordinateur.
Niveau de la surface de jeu
Selon Matthew Warren, enseignant en cybersécurité à l’Université Deakin, le gouvernement cherche à équilibrer la concurrence avec les entreprises de technologie.
Il a indiqué que le gouvernement est conscient qu’il se trouve incapable d’intercepter les données dans la situation actuelle, a-t-il déclaré à Mashable.
Le gouvernement possède les moyens de collecter des informations et d’analyser les données, mais il lui est difficile d’exploiter pleinement ces données de manière pertinente.
Les autorités pourraient potentiellement appliquer ces pouvoirs à des sociétés technologiques telles que Facebook, qui opèrent en Australie. En 2017, Facebook a reçu plus de 1 400 demandes gouvernementales. Cependant, Warren se questionne sur la possibilité pour le gouvernement d’agir de la même manière envers un fournisseur qui n’a pas de présence dans le pays.
“De nombreux créateurs d’applications de messagerie basés en Chine refuseront de fournir une porte dérobée au gouvernement australien. Pourquoi le feraient-ils ?” explique-t-il.
Le sénateur australien des Verts, Jordon Steele-John, a exprimé que la loi proposée remet en question le principe fondamental du chiffrement final et qu’elle représente une intrusion de la part du gouvernement.
Il a été souligné dans une déclaration que l’insertion de logiciels malveillants sur les appareils pour accéder aux données chiffrées ne constitue pas une méthode efficace pour capturer les criminels. Au contraire, cela affaiblit les protections de chaque appareil recevant des messages chiffrés, facilitant ainsi le vol de données par les criminels.
Le gouvernement australien a lancé un projet de loi pour recueillir les avis du public, et vous avez la possibilité de soumettre vos commentaires avant le 10 septembre. Il est prévu qu’il y ait plusieurs retours.
Sécurité informatique
Mashable Australia’s Web Culture Reporter peut être contacté sur Twitter à @Johnny_ Lieu ou par courriel à jlieu [at] mashable.com.