Les législateurs continuent de faire pression contre le chiffrement, affirmant qu'il est plus difficile d'attraper les criminels et de prévenir le terrorisme. Mais ils ont fondamentalement tort dans le débat " vie privée contre sécurité ". Voilà pourquoi.
Il y a quatre ans, le Pew Research Center, un groupe de réflexion américain, a demandé à des centaines d'experts en cybersécurité de répondre à une question simple : "D'ici 2025, une cyber-attaque majeure aura-t-elle porté atteinte à la sécurité d'un pays et à sa capacité de se défendre et de défendre sa population ?" La majorité ont répondu par l'affirmative.
"Les cyber-attaques deviendront un pilier de la guerre et du terrorisme ", a déclaré un spécialiste.
"Les menaces actuelles comprennent les transactions économiques, le réseau électrique et le contrôle du trafic aérien ", a déclaré un chercheur de la NASA qui dirige maintenant une entreprise de robotique spatiale. "Cela s'étendra à d'autres véhicules tels que les autos, les véhicules aériens sans pilote et les infrastructures de construction."
"La cyberguerre, c'est tout simplement logique ", a déclaré un ancien avocat général de la NSA.
Au cours des quelques années qui se sont écoulées depuis la publication de ce rapport, nous avons vu le National Health Service (NHS) de Grande-Bretagne paralysé par des logiciels de rançon volés par la NSA, le réseau électrique américain infiltré par la Russie et des centaines de millions de dossiers numériques exposés à des pirates. En d'autres termes, les prévisions des experts sont confirmés.
Pourtant, en même temps, les gouvernements du monde entier font pression pour affaiblir le chiffrement alors qu'il peut aider à protéger nos dossiers personnels, notre infrastructure et nos institutions démocratiques de personnages malveillants. Plus récemment, le gouvernement australien a mené une campagne pour promouvoir des portes dérobées (backdoors) dans les protocoles de chiffrement, ce qui affaiblirait le droit à la vie privée et nous plongerait dans l'insécurité.
Les agents de la sécurité de l'État envoient deux messages contradictoires : d'une part, le chiffrement (c'est-à-dire la vie privée) est dangereux ; d'autre part, la cybersécurité est le champ de bataille du XXIe siècle.
En fait, la protection de la vie privée et la sécurité vont de pair. L'utilisation généralisée d'un chiffrement fort garantit à la fois le droit à la vie privée des individus tout en renforçant la société contre les vagues d'atteintes à la protection des données et les cyberattaques.
Pourquoi les gouvernements n'aiment pas le chiffrement ?
Aux États-Unis, en Australie et ailleurs, les organismes d'application de la loi font pression pour qu'une loi leur permette d'affaiblir plus facilement le chiffrement des appareils et des logiciels grand public.
Par exemple, le projet de loi australien sur l'assistance et l'accès exigerait que les entreprises technologiques intègrent dans leurs systèmes de sécurité des vulnérabilités qui pourraient être exploitées par les services de police. Si la loi est adoptée, elle pourrait également être utilisée par les agences américaines grâce à l'accord de partage de renseignements Five Eyes, même si les législateurs américains ont jusqu'à présent refusé de rendre obligatoire le chiffrement par des moyens secrets.
Les partisans de ce genre de lois disent que les services de chiffrement, comme WhatsApp ou ProtonMail, permettent aux criminels de planifier et de mener des attaques sans craindre la police.
La protection de la vie privée par opposition à la sécurité est une fausse dichotomie (opposition).
Tout d'abord, il y a très peu de preuves que la surveillance gouvernementale prévienne du terrorisme. Par exemple, en 2013, la Maison-Blanche a examiné le programme de surveillance téléphonique de masse de la NSA et a déterminé qu'il n'était "pas essentiel pour prévenir les attaques". La police a déjoué la plupart des attaques à l'ancienne : par le biais d'informateurs et de tuyaux.
Plus important encore, il est impossible de créer une porte dérobée que seule la police peut utiliser. L'an dernier, l'attaque de WannaCry, qui a touché plus de 300 000 ordinateurs dans plus de 150 pays (y compris les National Health Services du Royaume-Uni), en est l'exemple parfait. L'attaque s'appuyait sur une vulnérabilité dans des versions obsolètes de Microsoft Windows qui a été découverte par la NSA. Au lieu de divulguer la découverte à Microsoft pour qu'elle puisse être corrigée, la NSA l'a gardée secrète pour être utilisée comme une future porte dérobée dans les systèmes informatiques. Cependant, la NSA a elle-même été piratée, et la faille a été volé et a été finalement utilisé comme une arme pour nuire au public.
L'exemple de WannaCry montre comment les outils destinés aux "bons" peuvent facilement tomber entre de mauvaises mains. À l'ère des cyber-attaques, il y a une façon plus responsable d'aller de l'avant.
Les outils de protection de la vie privée rend tout plus sûr
À l'ère de la conduite automatique des voitures, il n'est pas difficile d'imaginer qu'une future cyber-attaque mettrait des vies en danger. Bien que personne ne soit mort des suites de l'attaque WannaCry, une attaque visant des hôpitaux pourrait avoir des conséquences en termes de vie ou de mort. Il en va de même pour une attaque contre des systèmes aéronautiques ou ceux d'une centrale nucléaire. La seule façon de prévenir ce genre d'attaques est de renforcer la cybersécurité.
La cybersécurité signifie beaucoup de choses, de l'application d'une bonne sécurité opérationnelle au sein des organisations à la mise à jour des logiciels avec les derniers correctifs de sécurité. La cybersécurité individuelle exige des mots de passe forts et un chiffrement fort. Chaque atteinte majeure à la protection des données implique le vol de données non chiffrées à partir de serveurs d'entreprises ou de serveurs gouvernementaux, permet de divulguer les renseignements personnels et financiers des gens. Dans de nombreux cas, l'utilisation d'un chiffrement de bout en bout et sans accès, comme celui utilisé chez ProtonMail, aurait considérablement atténué les dommages causés par ces attaques.
La protection de la vie privée et la sécurité ne sont pas dans l'opposition, malgré ce que certains politiciens et responsables de l'application de la loi voudraient vous faire croire. Ce sont plutôt les deux faces d'une même médaille. Un système numérique qui est construit de façon sécuritaire est aussi nécessairement privé. En promouvant la cybersécurité, plutôt que de l'affaiblir, nous pouvons soutenir à la fois le droit à la vie privée et la sécurité publique.
Texte traduit https://protonmail.com/blog/privacy-vs-security/