Le gouvernement australien a adopté un projet de loi controversé qui permet aux organismes chargés d’appliquer la loi d’obliger les entreprises technologiques à remettre des données de messagerie cryptées. La législation a été largement condamnée par les groupes de protection de la vie privée et les entreprises technologiques qui ont suggéré que cette loi pourrait non seulement nuire à l’industrie technologique australienne, mais aussi miner la sécurité du cryptage dans le monde entier.
La législation australienne est à l’étude depuis plus d’un an maintenant, et les gouvernements du monde entier ne cessent de réitérer leurs préoccupations quant à l’incapacité des organismes d’application de la loi d’accéder aux communications cryptées. Le projet de loi, intitulé The Assistance and Access Bill 2018, peut obliger une entreprise privée à créer de nouvelles capacités d’interception afin qu’aucune donnée de communication ne soit complètement inaccessible au gouvernement. Plus controversé encore est le fait que cette vulnérabilité sécuritaire doit être déployée en secret, à l’insu du public.
Le nouveau projet de loi est sans aucun doute problématique, mais à bien des égards, le Sénat australien l’a adopté à la hâte à la fin de la dernière journée de séance de l’année, dans un tourbillon de jeux politiques et de critiques. Le principal parti d’opposition du pays a fini par capituler pour appuyer le projet de loi, malgré des préoccupations de longue date, avec le chef de l’opposition, Bill Shorten, souscrivant à l’argument selon lequel reporter l’adoption de la loi à l’année prochaine menacerait la sécurité nationale du pays.
« Dois-je rentrer chez moi et dire : » J’espère que rien ne se passera et que la politique du gouvernement ne se retournera pas contre la sécurité des Australiens » ? Je ne suis pas prêt à le faire « , a dit Bill Shorten.
Plus tôt cette année, dans un mémoire présenté au Parlement australien, Apple a condamné le projet de loi, le qualifiant d' »extraordinairement large » et de « dangereusement ambitieux ». La question centrale fréquemment soulevée est que le fait d’obliger les entreprises à intégrer une sorte d’accès clandestin aux données cryptées affaiblit fondamentalement la sécurité pour tous.
On ne sait pas exactement ce que ce projet de loi demandera aux entreprises technologiques, car le chiffrement complet de bout en bout est un processus fondamentalement inattaquable. Une fois le chiffrement activé dans une application telle que WhatsApp, l’entreprise n’a aucun moyen d’accéder à ces données. Donc, si la loi l’obligeait à créer quelque chose en vertu des paramètres de cette mesure législative, il faudrait qu’il y ait une sorte de porte dérobée qui permette à l’entreprise d’intercepter un message soit au point d’envoi, soit au point de réception.
Le gouvernement a catégoriquement nié que le projet de loi exige la création de « portes dérobées », et le projet de loi lui-même stipule qu’il ne peut exiger la création d’un outil qui entraîne une « faiblesse systémique ». Bien sûr, de nombreux experts suggèrent qu’il s’agit de jeux de sémantique sans qu’il soit possible de construire une fonction permettant d’accéder à une communication cryptée qui n’entraîne pas la création d’une « faiblesse systémique ».
Qu’est-ce que cela signifie pour le reste du monde ?
En raison des caprices de la nouvelle loi, on ne sait pas exactement ce qui se passera au cours des six à douze prochains mois. Ce dont nous pouvons être sûrs, c’est que cette réglementation australienne aura des implications mondiales de grande portée.
Ted Hardie, président de l’Internet Architecture Board, a suggéré que la législation pourrait même enfreindre les lois d’autres pays si le gouvernement australien tente de forcer les entreprises à remettre des données sensibles. La loi sur le GDPR, qui a été adoptée massivement dans toute l’Europe au début de cette année, est un excellent exemple cité par Ted Hardie.
« Nous craignons que la loi proposée n’amène ces fournisseurs de services à violer des contrats ou des lois dans d’autres juridictions, selon la nature exacte des demandes présentées « , écrit Ted Hardie. « Par exemple, les entreprises ayant une présence européenne sont tenues de traiter des données sensibles conformément au GDPR, et en se conformant à une ordonnance australienne pour des données qui pourraient se trouver en Europe, ce fournisseur pourrait être tenu de violer le GDPR pour se conformer à la loi australienne ».
Alors, pourquoi une grande entreprise mondiale comme WhatsApp ou Wickr s’intéresserait-elle à une demande aussi intrusive que celle que la loi australienne pourrait exiger ? Le projet de loi prévoit que les entreprises qui refusent de se conformer à une demande pourraient être passibles d’amendes pouvant aller jusqu’à 7 millions de dollars américains ou d’une peine d’emprisonnement pour les personnes qui sont associées au refus.
Il est difficile d’imaginer que les choses en arrivent au point où l’Australie tente de mettre un représentant de Facebook ou d’Apple en prison pour ne pas avoir répondu à l’une de ces demandes. L’ampleur de l’amende, par contre, ne représente guère plus qu’une tape sur l’épaule pour une grande entreprise, de sorte que tant que tout cela n’aura pas été porté devant les tribunaux, nous ne saurons pas dans quelle mesure le gouvernement australien est prêt à prendre les choses en main.
Un coup dur pour l’industrie technologique australienne
La législation peut être impraticable du point de vue de la mise en œuvre, mais le secteur des technologies en Australie a soulevé des inquiétudes quant à la façon dont elle affectera les entreprises locales concurrentes sur le marché international. L’idée est que tout produit développé en Australie pourrait être soumis à des obligations qui nécessitent des modifications permettant aux agences gouvernementales d’accéder aux données. Dans les conditions du projet de loi, ces modifications ne pouvaient pas être divulguées à un client, ce qui créait une méfiance à l’égard des produits australiens sur le marché mondial.
« Toute entreprise technologique australienne qui tente de percer un marché à l’étranger verra inévitablement ses concurrents locaux présenter cette législation comme une pièce à conviction A pour expliquer pourquoi les fournisseurs australiens devraient maintenant être traités avec prudence, voire méfiance « , déclare James Turner, un expert australien en cybersécurité. « Ce n’est pas une bonne chose pour notre marché d’exportation, et je soupçonne que l’impact de cela sera très coûteux. Il y aura des accords que nous ne gagnerons pas là où notre législation pourrait être considérée comme le blocus. »
Si l’idée d’un gouvernement contraignant une entreprise privée à installer secrètement un accès par la porte dérobée dans les communications privées semble familière, c’est parce que c’est essentiellement la même histoire qui a récemment décimé la réputation internationale du fabricant chinois Huawei.
Depuis des années, l’entreprise est accusée de collaborer avec le gouvernement chinois pour aider à la surveillance et à la collecte de données. La controverse concernant Huawei a récemment atteint un point d’ébullition à la suite de l’arrestation du directeur financier mondial de l’entreprise au Canada.
L’Australie est également bien connue pour avoir pris une position importante contre Huawei, en lui interdisant récemment de participer au déploiement des réseaux mobiles 5G dans le pays pour des raisons de sécurité nationale. L’ironie du sort vient d’une loi chinoise qui exige que tout citoyen ou toute entreprise soutienne, assiste ou coopère au travail de renseignement de l’État.
L’Australie – la porte dérobée mondiale
Bien que d’autres grands gouvernements occidentaux aient exprimé leurs préoccupations au sujet de l’utilisation criminelle des technologies de cryptage, l’Australie est la première à pousser cette question jusqu’au bout de sa législation. Et il y a peut-être une raison pour laquelle cette poussée se produit en bas de l’échelle et non au Royaume-Uni ou aux États-Unis.
L’Australie fait partie d’une alliance mondiale de renseignement appelée Five Eyes. Composée de l’Australie, du Royaume-Uni, des États-Unis, du Canada et de la Nouvelle-Zélande, l’alliance est un accord global pour le partage des opérations de renseignement et de surveillance.
De tous les pays de Five Eyes, c’est l’Australie qui a les protections les plus faibles en matière de droits civils. C’est le seul des cinq pays à ne pas avoir de déclaration des droits unique, ce qui signifie qu’il est plus facile de faire adopter une loi comme celle-ci.
Parmi ces cinq grands pays occidentaux, l’Australie est le mieux placé pour faire adopter un projet de loi exigeant que les sociétés de technologie insèrent l’accès par la porte dérobée dans l’information chiffrée – une demande qui, une fois mise en œuvre, profiterait à toutes les agences de renseignement du partenariat et pas seulement à l’Australie. Ainsi, bien que cette loi puisse sembler une petite tentative provinciale de s’attaquer aux entreprises technologiques mondiales, elle constitue une stratégie détournée parfaite pour créer une porte dérobée de chiffrement pour les grands pays comme les États-Unis et le Royaume-Uni.
Qu’est-ce qu’on fait maintenant ?
Pour être honnête, personne ne le sait vraiment. La nouvelle loi australienne a finalement été adoptée à la hâte par le Parlement, et le gouvernement a indiqué qu’il réexaminera le projet de loi au cours de la nouvelle année pour évaluer un grand nombre d’amendements recommandés. Cependant, dans l’intervalle, la loi est essentiellement adoptée, ce qui permet aux organismes d’application de la loi d’exercer un certain nombre de nouveaux pouvoirs au cours des prochains mois.
Compte tenu de la nature à chaud de la sécurité des données personnelles de nos jours, il semble peu probable qu’une grande entreprise privée puisse insérer une porte dérobée dans son protocole de chiffrement sans une sorte de fuite de dénonciateur, mais maintenant que le projet de loi a été adopté, nous ne saurons peut-être jamais. Quoi qu’il en soit, cette loi australienne est une victoire majeure pour les gouvernements dans la lutte contre le chiffrement et une perte majeure pour les défenseurs de la vie privée dans le monde.
https://newatlas.com/apple-australia-anti-encryption-law/56766/
https://www.abc.net.au/news/2018-12-06/labor-backdown-federal-government-to-pass-greater-surveillance/10591944
https://www.iab.org/wp-content/IAB-uploads/2018/09/IAB-Comments-on-Australian-Assistance-and-Access-Bill-2018.pdf
https://www.abc.net.au/news/2018-12-06/huawei-cfo-arrested-in-canada-for-violating-us-sanctions-on-iran/10588464
