Le nouveau projet de loi sur l'antichiffrement vient couronner EARN IT.

La loi sur l'accès légal aux données cryptées obligerait les entreprises américaines à procéder à un cryptage détourné pour les "gentils".

Les autorités américaines ont longtemps mené une guerre contre le cryptage. Aujourd'hui, les guerres dites cryptographiques ont atteint un nouveau sommet dévastateur avec l'introduction de la loi sur l'accès légal aux données cryptées par les sénateurs Graham, Blackburn et Cotton. Ce projet de loi est pire que le projet de loi EARN IT présenté précédemment. En tant que fournisseur de messagerie électronique sécurisée qui se concentre sur la protection du droit de chacun à la vie privée, nous nous opposons fermement à cette loi.


Les guerres cryptographiques

Aperçu de la loi sur l’accès légal aux données cryptées

Les sénateurs Graham, Blackburn et Cotton appellent le Lawful Access to Encrypted Data Act (communiqué de presse) : “un projet de loi pour soutenir les intérêts de la sécurité nationale et mieux protéger les communautés à travers le pays en mettant fin à l’utilisation de la technologie de cryptage “à l’épreuve des mandats” par les terroristes et autres mauvais acteurs pour dissimuler des comportements illicites”.

Ils justifient le projet de loi par la menace des terroristes et des pédophiles : “Le recours croissant des entreprises technologiques au cryptage a transformé leurs plateformes en un nouveau terrain de jeu anarchique pour les activités criminelles. Les criminels, des prédateurs d’enfants aux terroristes, en profitent pleinement”, déclare Cotton. Il veut “mettre fin au Far West de la criminalité sur Internet”.

Au lieu de cela, Cotton veut ouvrir le Far West aux forces de l’ordre et aux autorités. Une fois que des lois de surveillance telles qu’une porte dérobée de cryptage pour les “gentils” seront disponibles, ce n’est qu’une question de temps avant que les “gentils” ne deviennent méchants ou n’abusent de leur pouvoir. L’histoire nous l’a appris assez souvent pour que nous puissions comprendre la menace d’une surveillance de type orwellien par le gouvernement. Rien qu’en Allemagne, nous avons eu deux gouvernements oppressifs au cours des cent dernières années qui nous ont appris pourquoi la surveillance gouvernementale est très dangereuse : L’Allemagne de l’Est et l’Allemagne nazie.

L’opinion publique s’oppose à un cryptage détourné

En soulignant le fait que les entreprises technologiques ne doivent décrypter des informations sensibles qu’après qu’un tribunal ait délivré un mandat, les trois sénateurs pensent pouvoir faire basculer l’opinion publique en faveur de cette loi sur le cryptage par des moyens détournés.

Cependant, la colonne vertébrale de l’internet repose sur un cryptage inviolable. Nous en avons besoin pour les opérations bancaires, pour le stockage de documents sensibles, pour avoir une communication privée en ligne. Bien entendu, les sénateurs affirment que la porte dérobée qu’ils demandent ne serait accessible qu’aux “bons”. Cependant, les experts en cryptographie ont déjà étudié en détail si et comment une porte dérobée de cryptage pourrait être réalisée.

La conclusion a toujours été la même : s’il est facile de mettre en place une porte dérobée, il est impossible de limiter son accès aux seuls “gentils”.

Comment une telle porte dérobée pourrait-elle fonctionner ?

Pour se conformer aux ordres de décryptage tels qu’exigés par la loi sur l’accès légal aux données cryptées, les services en ligne devraient avoir un accès central à toutes les données cryptées, éventuellement avec une clé de décryptage générale. Lorsqu’ils seraient confrontés à une décision de justice, ils devraient décrypter les données de cet utilisateur particulier - en laissant les données de tous les autres utilisateurs intactes.

Ce processus est réalisé par des employés, par des personnes. Par conséquent, on peut imaginer combien il serait difficile - voire impossible - de protéger la clé générale contre les abus et les erreurs. Surtout si l’on considère la grande valeur qu’une telle clé générale aurait pour les attaquants malveillants, les acteurs étatiques (également de l’étranger), et autres.

Avec le nombre sans cesse croissant de violations, comme le montre ce rapport sur les violations de données, on peut imaginer qu’il ne faudra pas longtemps avant qu’un acteur malveillant sur Internet n’ait accès à cette clé générale, rendant tout cryptage pour tous les utilisateurs inutile.

La dévastation que cela entraînerait est évidente si l’on considère l’une des violations de données les plus graves de l’année 2020 : La brèche dite “BlueLeaks” a exposé des fichiers de centaines de services de police américains, y compris des informations personnelles de suspects et de criminels condamnés.

Arrêter la loi sur l’accès légal aux données cryptées

Tout comme le projet de loi EARN IT, nous devons arrêter la proposition de loi sur l’accès légal aux données cryptées. Voici comment.