vendredi 26 février 2016

Chiffrement : la schizophrénie des États

Dans la bataille juridique et de communication qui oppose les majors du numérique au gouvernement US (rappel de la chronologie détaillée des faits par le Monde Pixels ici), celui-ci hésite entre un chiffrement solide et généralisé et une option "backdoors", risquée à plus d'un titre !

Le contexte : PRISM a traumatisé les entreprises US

Revenons brièvement au contexte : Le scandale PRISM éclate dans les colonnes du Guardian et du Washington Post en juin 2013 : il apparaît que tous les géants américains des NTIC ont fourni à la NSA un accès direct à leurs programmes afin que celle-ci puisse accéder aux données des utilisateurs. Pour lutter contre le terrorisme – ce qui spontanément invite à la compréhension – mais aussi pour collecter de l’information sur les États, leurs gouvernants, les décideurs et influenceurs politiques, administratifs ou financiers... jusqu’à s’en servir au détriment d’entreprises étrangères (ce que j'abordais dans cet article)

Toutes ces firmes américaines, qui ont trahi un temps la confiance de leurs clients – leur raison d’être – ont perdu beaucoup d’argent dans l’affaire et luttent encore pour inverser la tendance. A cet égard, elles n’ont pas toutes vécu les révélations de la même manière : Microsoft a adhéré au programme US-984XN (le petit nom de PRISM) dès novembre 2007, suivi de près par Yahoo, Google et Facebook... Mais Apple a résisté jusqu’en octobre 2012 ! Car assurément, un tel délai est la preuve de sa résistance. Jusqu’à ce qu’il cède... moins d’un an avant la tourmente !

Cela explique sans doute pourquoi, au-delà des circonstances, c’est de nouveau Apple qui prend l’étendard du respect de la relation client et de certaines valeurs lorsque le FBI lui demande de livrer un passe général permettant d’ouvrir un iPhone. Précisément, celui d’un des islamistes radicalisés qui ont tué 14 personnes à San Bernardino. Le FBI le promet, le passe général ne sera utilisé qu’une fois ! Mais personne n’y croit : la confiance a cette caractéristique qu’une fois écornée elle ne se restaure que lentement et à partir de preuves tangibles. Pourtant dans ce cas, c’est une décision de justice du 16 février qui l’ordonne (contestée par Apple qui doit apporter sa réponse – c’est à dire l’outil demandé – aujourd’hui 26 février).

 Des États schizophrènes face à des entreprises réalistes 


L’homme qui traduit le mieux ce dédoublement de personnalité est le directeur de la NSA, l’Amiral Mike Rogers :

Dans l'affaire de San Bernardino, il a apporté sont soutien total au FBI, ajoutant pour donner du poids à son propos que sans le chiffrement, les préparatifs des attentats de Paris auraient pu être détectés (ce dont on doute en France - voir un article du Monde Pixels ici).

Mike Rogers qui affirmait pourtant ce 21 janvier devant le think tank Atlantic Concil que « le cryptage est fondamental pour l’avenir ». Que, s’agissant de son usage généralisé (permettant de sécuriser les échanges commerciaux, financiers...), la question ne justifiait même pas le débat ! Il est allé jusqu'à ajouter qu’il comprenait « les préoccupation relatives à la vie privée », « qui n’ont jamais été aussi élevées » et « qui doivent dorénavant être intégrées ». Et de conclure que sécurité et respect de la vie privée sont deux impératifs qu’il faut parvenir à concilier.
Ces débats, devant une instance de réflexion proche de l’OTAN, ont bien porté sur un chiffrement fort de bout en bout (c’est à dire sans backdoor intégré qui fragiliserait inévitablement tout le dispositif). Le compte-rendu détaillé sur theintercept.com
Quant à la Maison Blanche, elle avait un temps envisagé, sans nuance ni réalisme, l’interdiction légale du chiffrement avant de se replier sur une position d'attente. Toute aussi schizophrène :

L'engagement personnel du président Obama montre l'importance que les US accordent à la question

Le 9 février, Barack Obama déclarait dans le Wall Street Journal que « Notre domination dans le monde numérique nous donne un avantage compétitif dans l’économie mondialisée ». Mais que « Notre avance est menacée par des gouvernements étrangers et des criminels […] qui visent nos réseaux, volent des secrets des entreprises américaines, et violent la vie privée des Américains ». Cette tribune oscille entre une offre de sécurité intégrant entre autres le chiffrement (mais aussi la formation et la sensibilisation y compris au profit des PME). Et, en filigrane, le souhait de garder un double des clés au nom de la sécurité nationale et des intérêts US (l'article complet ici).

Ce qui rappelle les mauvaises pratiques dont les partenaires européens ont déjà fait les frais sous PRISM. L’augmentation d’un tiers du budget alloué à la cybersécurité (soit 19 Mds $) et la volonté de renforcer les partenariats avec les entreprises privées pourraient presqu’être inquiétantes...

Le gouvernement américain aurait avantage à comprendre que cette domination du monde numérique (sur nos outils, nos données, nos vies numériques), qu’il veut préserver à toute force,  devrait au contraire lui imposer de soumettre ces outils et ces services à un contrôle international indépendant (qui n’intégrerait que des partenaires de confiance - la Chine et quelques autres s’excluant de facto). Une sorte de coopétition intelligente, respectueuse de l'équilibre général et des intérêts souverains de chacun. Qu’à défaut, c’est tout le business model qui sera fragilisé ; et que des alternatives concurrentes, souveraines ou « indépendantes », ne manqueront pas de se faire jour. C’est bien la menace dont ont conscience les firmes US du secteur et qu’elles expriment par leur farouche opposition.

Une France qui n'échappe pas au questionnement

Si elle n’est pas leader du monde numérique, la France a de sérieux atouts à faire valoir, avec sa FrenchTech, ses fleurons engagés dans le défi des supercalculateurs, son plateau de Saclay... Elle s’est aussi dotée en octobre dernier d’une Stratégie nationale pour la sécurité numérique (le document complet de 44 pages ici - le communiqué de presse ), dans laquelle est évoqué le développement d’une offre nationale et européenne (l’alternative dont on parlait). Et sur le chiffrement, elle oscille également entre deux postures : à l’occasion de la discussion du projet de loi numérique, la question des backdoors a été envisagée puis abandonnée.

Ayons à l'esprit que l’équilibre de l’économie mondiale repose la capacité à sécuriser les données, leur circulation comme leur stockage. Qu’il s’agisse de banque ou de finance, d’administration, de santé, de commerce ou d’échanges privés (qui concernent aussi des VIP, en situation ou en devenir), toutes ces activités intriquées, dès lors qu’elles ont lieu dans l’univers numérique, doivent pourvoir bénéficier des meilleurs moyens de protection. Et ceux-ci pour être efficaces, tous les experts le savent, ne doivent pas comporter de fragilité par construction.

Quant à l’indispensable lutte contre le terrorisme, c’est aux services de renseignement, en autonomie, en collaboration entre eux ou avec l’aide de tiers experts, de trouver les solutions. Ce que fait très bien la NSA. La guerre contre le terrorisme a déjà servi de prétexte pour livrer une autre guerre, économique celle-là. Il ne s’agirait pas que l’histoire bafouille...


Aucun commentaire:

Enregistrer un commentaire