À l'heure actuelle, nous comptons sur des technologies sécurisées comme jamais auparavant pour faire face à la pandémie, pour organiser et marcher dans les rues, et bien plus encore. Pourtant, c'est maintenant le moment où certains membres des comités sénatoriaux de la magistrature et du renseignement ont choisi d'essayer de proscrire efficacement le cryptage dans ces mêmes technologies.
La nouvelle loi sur l'accès légal aux données cryptées – présentée cette semaine par les sénateurs Graham, Blackburn et Cotton – ignore le consensus des experts et l'opinion publique, ce qui est malheureusement normal pour le cours. Mais le projet de loi est encore plus déconnecté de la réalité que de nombreux autres projets de loi anti-cryptage récents. Depuis janvier, nous luttons contre la loi EARN IT, un dangereux projet de loi anti-discours et anti-sécurité qui conférerait à une commission gouvernementale, dirigée par le procureur général, le pouvoir de déterminer les «meilleures pratiques» en ligne. Il est facile de voir comment ce projet de loi permettrait une attaque contre les fournisseurs de services qui fournissent des communications cryptées , car la commission serait dirigée par le procureur général William Barr, qui a clairement exprimé son opposition aux communications cryptées . Le mieux que les sponsors d'EARN IT puissent trouver en défense est que le projet de loi lui-même n'utilise pas le mot «cryptage» – nous demandant de croire que la commission ne touchera pas au cryptage.
Mais si EARN IT essaie d'éviter de reconnaître l'éléphant dans la pièce, la loi sur l'accès légal aux données cryptées le place au centre d'un cirque à trois anneaux. Le nouveau projet de loi ne se soucie pas des commissions ou des meilleures pratiques. Au lieu de cela, cela donnerait au ministère de la Justice la capacité d'exiger que les fabricants d'appareils et de systèmes d'exploitation cryptés, les fournisseurs de communications et bien d'autres doivent avoir la capacité de décrypter les données sur demande. En d'autres termes, une porte dérobée.
Le projet de loi a une vaste portée. Il donne au gouvernement la possibilité d'exiger ces portes dérobées dans le cadre d'un large éventail d'ordonnances de surveillance dans les affaires pénales et de sécurité nationale, y compris l'article 215 du Patriot Act, une loi sur la surveillance si controversée que le Congrès ne peut s'entendre sur la réautorisation. .
Pire encore, le projet de loi oblige les entreprises à trouver par elles-mêmes comment se conformer à une directive de déchiffrement. Leur seul motif de résistance est de montrer que ce serait «techniquement impossible». Bien que cela puisse sembler une concession au consensus d'experts de longue date selon lequel les technologues ne peuvent tout simplement pas créer un mécanisme «d'accès légal» que seul le gouvernement peut utiliser, les promoteurs du projet de loi sont loin d'être raisonnables. Comme l' a montré une audience dirigée par le sénateur Graham en décembre dernier , de nombreux législateurs et responsables de l'application des lois estiment que même si toute porte dérobée peut être exploitée par de mauvais acteurs et mettre en danger des centaines de millions d'utilisateurs ordinaires, cela ne signifie pas que c'est «techniquement impossible. " En fait, même si le décryptage serait «impossible» parce que le système est conçu pour être sécurisé contre tout le monde sauf l'utilisateur qui détient la clé – comme avec les schémas de cryptage à disque complet conçus par Apple et Google – ce n'est probablement pas une défense. Au lieu de cela, le gouvernement peut exiger que le système soit repensé .
Non seulement le projet de loi ne tient pas compte de la sécurité des utilisateurs, mais il permet au gouvernement de soutenir son besoin d'une porte dérobée avec des preuves secrètes unilatérales, chaque fois qu'il estime qu'une procédure judiciaire publique nuirait à la sécurité nationale ou à «l'application du droit pénal». Comme nous l'avons vu, le gouvernement tente déjà d'étendre la limite des lois de surveillance en secret pour saper la sécurité des produits de communication. Ce projet de loi ferait de cela la norme.
Enfin, le projet de loi ne fait presque aucune concession à la perturbation massive qu'il aurait sur la façon dont les gens utilisent la technologie. Ses limites sont presque risibles: tout appareil qui a plus d'un gigaoctet de stockage et vend plus d'un million d'unités par an pourrait avoir à construire une porte dérobée requise par le gouvernement s'il est soumis à cinq mandats ou à d'autres demandes, comme tout système d'exploitation. ou système de communication avec plus d'un million d'utilisateurs actifs. De toute évidence, les auteurs du projet de loi tentent de cibler les iPhones, les téléphones Android, WhatsApp et d'autres technologies populaires, mais le projet de loi engloberait également de nombreux systèmes d'exploitation spécialisés ainsi que des appareils grand public tels que Fitbits, Rokus, etc.
Cela établirait également une sorte de X-Prize pour les «portes dérobées sécurisées», récompensant les chercheurs qui parviennent à trouver «des solutions permettant aux forces de l'ordre d'accéder aux données chiffrées conformément à la procédure légale». Mais ce n'est pas un manque de ressources ou d'incitations monétaires appropriées qui n'a pas réussi à concilier ce cercle particulier. Au lieu de cela, c'est simplement l'incapacité de concevoir un système qui permet de manière fiable l'accès par les «bons» sans affaiblir de façon catastrophique la sécurité du système.
Ces préoccupations ne font qu'effleurer la surface de ce qui ne va pas avec ce projet de loi. Comme pour EARN IT, nous devons saisir toutes les occasions pour dire aux membres du Congrès de laisser la technologie sécurisée sur laquelle nous comptons seule.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/06/senates-new-anti-encryption-bill-even-worse-earn-it-and-thats-saying-something le Wed, 24 Jun 2020 23:10:22 +0000.