Le projet de loi rédigé par les sénateurs Richard Burr et Dianne Feinstein pourrait bien ne pas être mort. Après avoir été retoqué en mai dernier, il semblait trop intrusif et vague pour être accepté par le Sénat américain.
Mais les deux sénateurs n’ont pas dit leur dernier mot. Ils auraient amendé leur projet de loi pour qu’il soit plus présentable et apaise les critiques quant à son effet sur la vie privée et la sécurité, indique le site Just Security, qui affirme avoir eu accès aux modifications proposées.
Pour résumer, ce projet de loi visait à exiger des sociétés de prévoir des backdoors sur leurs produits, afin qu’à l’aide d’un mandat, les autorités américaines puissent déchiffrer n’importe quelle communication. On pense bien entendu à l’attaque terroriste de San Bernardino. Dans cette affaire, le FBI avait exigé d’Apple le déchiffrement d’un iPhone saisi.
Si le projet de loi des deux sénateurs avait été accueilli froidement, les autorités américaines avaient insisté sur le fait qu’elles continueraient à faire pression pour que le chiffrement ne soit pas un refuge au « dark internet » et à toutes sortes de hors-la-loi.
On pense également à l’affaire de Silk Road, dans laquelle Ross William Ulbricht, présumé être « Dead Pirates Roberts », soit l’administrateur de ce site mettant en libre distribution toutes sortes de drogues, avait été inculpé puis condamné à perpétuité (sans remise de peine possible).
Dans cette affaire, aucune précision n’avait été donnée par le FBI quant à la manière dont les serveurs hébergeant Silk Road en Islande avaient été « auscultés », aucun mandat n’ayant été émis dans cette optique. D’aucuns (dont la défense de Ross Ulbricht) avaient estimé que le gouvernement américain pourfendait le Quatrième Amendement à la Constitution des États-Unis d’Amérique, qui est à nouveau ici au cœur du débat.
Celui-ci prévoit que les citoyens américains bénéficient de droits quant à leur vie privée : « Le droit des citoyens d’être garantis dans leurs personne, domicile, papiers et effets, contre les perquisitions et saisies non motivées ne sera pas violé, et aucun mandat ne sera délivré, si ce n’est sur présomption sérieuse, corroborée par serment ou affirmation, ni sans qu’il décrive particulièrement le lieu à fouiller et les personnes ou les choses à saisir. »
C’est bien cet amendement qui est central ici et il s’agit pour les autorités de trouver un bélier numérique légal pour enfoncer toute porte fermée sur des données relatives à la vie privée d’un individu ou d’une entité.
L’assistance technique réclamée dans le cadre d’enquêtes serait demandée avec des « efforts raisonnables ». Une manière d’adoucir le texte de loi.
Mais le changement le plus important proviendrait du fait que le mandat s’appliquerait désormais seulement à un individu ou à une société qui « contrôle » le processus de chiffrement. Un utilisateur d’un système de chiffrement, qui ne l’a pas créé lui-même, serait donc écarté de ce type de mandat.
Un tel changement serait de nature à cibler des compagnies qui cherchent à assurer une sécurité avec chiffrement de bout en bout à leurs utilisateurs, telles qu’Apple, ou des services de messagerie instantanée (on pense à Telegram, souvent dans le collimateur des autorités pour sa présumée utilisation par de nombreux terroristes). Reste à savoir, comme le note Just Security, comment définir précisément qui contrôle un processus de chiffrement numérique. Le terme est suffisamment vague pour y faire entrer de nombreuses sociétés ou individus.
Les deux sénateurs auraient également écarté les enquêtes portant sur l’espionnage ou le terrorisme du champ d’action de cette obligation de se soumettre au déchiffrement de communications.
Une nouvelle section du texte viserait à exclure désormais les « infrastructures critiques », telles que celles de stockage de l’énergie (qui avaient notamment été victimes du virus Stuxnet). Indirectement, ce projet de loi reconnait donc qu’une backdoor est de nature à affaiblir la sécurité informatique d’un quelconque système. Mais, dans le même laps de temps, n’estime donc pas que c’est alarmant et inquiétant pour le citoyen américain.
Donner un cadre légal aux mandats visant des systèmes informatiques ayant recours au chiffrement de bout en bout est un serpent de mer outre-Atlantique, mais également en Europe.
(Crédit photo : BeeBright – Shutterstock.com)
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…