Dans tous les pays du monde, la sécurité des ordinateurs permet d'allumer les lumières, de gérer des stocks, de fermer les barrages et d'assurer le transport. Depuis plus d'une demi-décennie, la vulnérabilité de nos ordinateurs et de nos réseaux informatiques a été classée au premier rang des risques dans l'évaluation de la menace mondiale de la communauté du renseignement américaine - c'est plus élevé que le terrorisme, plus élevé que la guerre. Votre solde bancaire, l'équipement de l'hôpital local et l'élection présidentielle américaine de 2020, parmi bien d'autres choses, dépendent tous de la sécurité informatique.
Pourtant, au beau milieu de la plus grande crise de sécurité informatique de l'histoire, le gouvernement américain, de concert avec les gouvernements du Royaume-Uni et de l'Australie, tente de saper la seule méthode qui existe actuellement pour protéger de façon fiable l'information dans le monde : le chiffrement. S'ils réussissent à saper le chiffrement, notre infrastructure publique et notre vie privée seront définitivement mises en danger.
En termes simples, le chiffrement est une méthode de protection de l'information, le principal moyen d'assurer la sécurité des communications numériques. Chaque courriel que vous écrivez, chaque mot-clé que vous tapez dans un champ de recherche - chaque chose embarrassante que vous faites en ligne - est transmis sur un Internet de plus en plus hostile. Plus tôt ce mois-ci, les États-Unis, aux côtés du Royaume-Uni et de l'Australie, ont demandé à Facebook de créer une "porte dérobée", ou une faille fatale, dans ses applications de messagerie chiffrées, ce qui permettrait à quiconque ayant la clé de cette porte dérobée d'avoir accès aux communications privées de manière illimitée. Jusqu'à présent, Facebook s'y est opposé.
Si le trafic Internet n'est pas chiffré, tout gouvernement, entreprise ou criminel qui s'en aperçoit peut - et, en fait, le fait - en voler une copie et enregistrer secrètement vos informations pour toujours. Cependant, si vous chiffrez ce trafic, vos informations ne peuvent pas être lues : seuls ceux qui ont une clé de déchiffrement spéciale peuvent le déverrouiller.
J'en sais un peu plus à ce sujet, car j'ai exploité pendant un certain temps une partie du système mondial de surveillance de masse de l'Agence de sécurité nationale américaine. En juin 2013, j'ai travaillé avec des journalistes pour révéler ce système à un monde scandalisé. Sans le chiffrement, je n'aurais pas pu écrire l'histoire de ce qui s'est passé - mon livre Permanent Record - et faire franchir le manuscrit en toute sécurité à travers les frontières que je ne peux traverser moi-même. Plus important encore, le chiffrement aide tout le monde - journalistes, dissidents, militants, travailleurs d'ONG et lanceurs d'alertes, médecins, avocats et politiciens - à faire leur travail - non seulement dans les pays les plus dangereux et répressifs du monde, mais dans tous les pays du monde, et pas seulement.
Lorsque je me suis fait connaître en 2013, le gouvernement américain ne se contentait pas de surveiller passivement le trafic Internet lorsqu'il traversait le réseau, il avait aussi trouvé des moyens de coopter et, parfois, d'infiltrer les réseaux internes des grandes entreprises technologiques américaines. A l'époque, seule une petite fraction du trafic web était chiffrée : six ans plus tard, Facebook, Google et Apple ont fait du chiffrement par défaut une partie centrale de leurs produits, de sorte qu'aujourd'hui près de 80% du trafic web est chiffré. Même l'ancien directeur du renseignement national américain, James Clapper, attribue la révélation de la surveillance de masse à l'avancée significative de l'adoption commerciale du chiffrement. L'Internet est donc plus sûr. Trop sûr, de l'avis de certains gouvernements.
Le procureur général de Donald Trump, William Barr, qui a autorisé l'un des premiers programmes de surveillance de masse sans vérifier s'il était légal, signale maintenant son intention d'arrêter - voire de faire marche arrière - les progrès des six dernières années. WhatsApp, le service de messagerie appartenant à Facebook, utilise déjà le chiffrement de bout en bout (E2EE) : en mars, la société a annoncé son intention d'intégrer E2EE dans ses autres applications de messagerie - Facebook Messenger et Instagram - également. Aujourd'hui, Barr lance une campagne publique pour empêcher Facebook de franchir le prochain palier de la sécurité numérique. Tout a commencé par une lettre ouverte cosignée par Barr, la ministre britannique de l'Intérieur Priti Patel, la ministre australienne de l'Intérieur et la ministre américaine de la Sécurité intérieure, demandant à Facebook d'abandonner ses propositions de chiffrement.
Si la campagne de Barr est couronnée de succès, les communications de milliards de personnes resteront figées dans un état d'insécurité permanente : les utilisateurs seront vulnérables de par leur configuration. Et ces communications seront vulnérables non seulement aux enquêteurs des États-Unis, du Royaume-Uni et de l'Australie, mais aussi aux agences de renseignement de la Chine, de la Russie et de l'Arabie saoudite, sans parler des pirates informatiques du monde entier.
Les systèmes de communication chiffrés de bout en bout sont conçus pour que les messages ne puissent être lus que par l'expéditeur et leurs destinataires, même si les messages chiffrés - c'est-à-dire verrouillés - sont eux-mêmes stockés par un tiers non fiable, par exemple une société de médias sociaux telle que Facebook.
L'amélioration centrale apportée par E2EE par rapport aux anciens systèmes de sécurité consiste à s'assurer que les clés qui déverrouillent un message donné ne sont jamais stockées que sur les dispositifs spécifiques aux points finaux d'une communication - par exemple les téléphones de l'expéditeur ou du destinataire du message - plutôt que sur les intermédiaires qui possèdent les différentes plateformes Internet qui le permettent. Les clés E2EE n'étant pas détenues par ces fournisseurs de services intermédiaires, elles ne peuvent plus être volées en cas de violations massives des données de l'entreprise, si fréquentes aujourd'hui, ce qui constitue un avantage essentiel de sécurité. Bref, E2EE permet à des entreprises comme Facebook, Google ou Apple de protéger leurs utilisateurs de toute surveillance : en s'assurant qu'ils ne détiennent plus les clés de nos conversations les plus privées, ces entreprises deviennent moins un voyeur qu'un coursier aux yeux bandés.
Il est frappant de constater que lorsqu'une entreprise aussi potentiellement dangereuse que Facebook semble au moins publiquement disposée à mettre en œuvre une technologie qui sécurise les utilisateurs en limitant son propre pouvoir, c'est le gouvernement américain qui s'en prend à lui. C'est parce que le gouvernement deviendrait soudainement moins capable de traiter Facebook comme une mine d'informations pratiques sur la vie privée.
Pour justifier son opposition au chiffrement, le gouvernement américain a, comme le veut la tradition, invoqué le spectre des forces les plus sombres du web. Sans un accès total à l'historique complet des activités de chacun sur Facebook, le gouvernement prétend qu'il serait incapable d'enquêter sur les terroristes, les trafiquants de drogue, les blanchisseurs d'argent et les auteurs d'abus envers les enfants - des criminels qui, en réalité, préfèrent ne pas planifier leurs crimes sur des plateformes publiques, surtout pas sur celles des États-Unis qui utilisent certains des filtres automatiques et méthodes les plus sophistiqués disponibles.
La véritable raison pour laquelle les gouvernements des États-Unis, du Royaume-Uni et de l'Australie veulent éliminer le chiffrement de bout en bout est moins une question de sécurité publique que de puissance : E2EE donne le contrôle aux individus et aux dispositifs qu'ils utilisent pour envoyer, recevoir et chiffrer des communications, et non aux entreprises et aux transporteurs qui les acheminent. Pour ce faire, il faudrait que la surveillance gouvernementale devienne plus ciblée et plus méthodique, plutôt qu'aveugle et universelle.
Ce que ce changement met en péril, c'est la capacité des nations à espionner les populations à grande échelle, du moins d'une manière qui n'exige guère plus que de la paperasserie. En limitant le nombre de dossiers personnels et de communications intensément privées détenus par les entreprises, les gouvernements reviennent à des méthodes d'enquête classiques qui sont à la fois efficaces et respectueuses des droits, au lieu d'une surveillance totale. Dans ce résultat, nous restons non seulement en sécurité, mais libres.
Par : Edward Snowden
sauce :
https://www.theguardian.com/commentisfree/2019/oct/15/encryption-lose-privacy-us-uk-australia-facebook