Vous perdez votre téléphone. Il contient les photos de vos enfants, votre collection de musiques, et les dossiers de vos clients. Vous avez été prévoyant : il y a un mot de passe, un disque crypté, et vos données sont synchronisées en ligne. Vous effacez le contenu, perdez 3h de votre temps à attendre chez votre magasin de télécommunication préféré, et vous voilà de retour à la case de départ.
Maintenant imaginez ce même scénario, avec la possibilité qu’un inconnu puisse décrypter votre téléphone.
Impossible? Êtes-vous familier avec les cadenas de voyage approuvés Transport Security Agency? Une mesure de protection suffisante pour vos effets personnels, tout en se comportant comme « bon citoyen ». Et si je vous disais qu’il était possible pour n’importe qui d’imprimer ces clés avec une imprimante 3D?
En 2013, Edward Snowden dévoile ce que des milliers de porteurs de chapeau d’aluminium décriaient pendant des années : le gouvernement nous surveille. La vie continue.
Ce ne sont pas tous les paliers de gouvernements qui ont accès aux technologies de la NSA, ni chaque possibilité de crime ne vaut la peine de forcer un cryptage numérique, qui est un processus fort exigeant.
Reconnaissant l’inefficacité des méthodes actuelles, et à la lumière des attentats qui se multiplient, on fait appel aux entreprises technologiques capables d’offrir une clé de décryptage.
Depuis les attentats de Paris, selon l’ex-directeur adjoint de la CIA, le paradigme n’est plus celui de Snowden et de la vie privée, mais celui de l’ÉI et de la sécurité.
C’est avec cette toile de fond que se livre la bataille entre les défendeurs de sécurité et les défendeurs de la vie privée. La sécurité collective ou la protection individuelle? Qui a raison?
Devrait-on permettre aux agents de la paix d’accéder, au besoin, aux données personnelles par le moyen d’une clé de décryptage? Je vous réponds que non. Voici pourquoi. Pas un pourquoi, mais une multiplicité de pourquoi (et la liste n’est pas exhaustive!).
- La connaissance de l’existence d’une porte arrière encourage tout type de cybercriminel à trouver une manière de l’exploiter. On multiplie les incitatifs. Ex., il est plus rentable de pirater une base de données de cartes de crédit, que des cartes de crédit individuelles. Une porte arrière est une faiblesse de sécurité, et les meilleures intentions au monde ne sauraient remplacer la protection du cryptage universelle. Voir l’anecdote sur le TSA.
- Les terroristes sont méchants. Mais contrairement à ce que laisse croire la saga de James Bond ou même Internet, les méchants ne sont pas stupides. Avant même que Snowden dévoile les opérations de surveillance globales, ils évitaient d’utiliser des moyens de communication compromettants.
- On fait face à une bataille perpétuelle. Les technologies de communication cryptées vont s’améliorer (et non, les terroristes n’utilisent pas des jeux de PS4), et la puissance des ordinateurs augmentera pour les décrypter. La solution n’est pas de retirer toute forme de cryptage et de porter ainsi atteinte à la liberté et à la sécurité de nos citoyens.
- On risque d’aliéner les alliés des agents de paix : les entreprises technologiques. Ces entreprises collaborent avec notre gouvernement. Toutefois, leur imposer l’obligation de trahir leur clientèle en révoquant les protections de tous, parce que certains en abusent, risque de refroidir cette collaboration volontaire.
- Plusieurs se demandent surement qui détiendrait la clé dans un tel scénario. Ce n’est pas pertinent au débat, sauf si vous croyez à l’incorruptibilité de l’être humain (mauvaise idée). La clé vaudra des millions, voire des milliards. Outre l’argent, pensez aux menaces proférées par des gouvernements étrangers, des rivaux économiques ou des groupes terroristes. Avec une brèche, le barrage le plus épais cédera tôt ou tard.
A sophisticated terrorist organization will be thrilled at the presence of weakened encryption and backdoors into encryption, because we know from every reputable computer scientist that there’s no safe way to do it that will not be vulnerable to hackers – Lauren Weinstein
- La protection des renseignements confidentiels est d’une grande valeur. Des entreprises se retiennent de transiter leurs données à travers les États-Unis et sont réticentes de faire affaire avec des firmes américaines qui pourraient être contraintes à réduire leur standard de sécurité. Cela confère un avantage compétitif à toute entreprise étrangère qui n’est pas enjointe d’utiliser une porte arrière. Pour une fois qu’il est certain que la réglementation nuira au commerce, on insiste à réglementer.
- On crée un faux sentiment de sécurité. Une illusion. On concentre nos efforts sur le cryptage, au lieu de la traduction ou de l’intelligence (des méthodes traditionnelles!). Oui, les terroristes ne sont pas tous stupides, mais il serait faux de généraliser le contraire. Certains le sont, et il ne faut pas oublier de profiter de leur turpitude.
D’instinct, vous ne laissez pas la clé de votre maison sous le paillasson, et surtout pas avec le but de la protéger des intrus. Si vous n’êtes pas parmi ces personnes, et avez besoin d’une source scientifique pour être convaincu, je vous recommande cette lecture.
Il existe une mécompréhension énorme de la part de plusieurs législateurs qui en voulant protéger leurs citoyens, par mégarde compromettent leur sécurité quotidienne. Après tout, vous risquez plus de perdre, de vous faire voler, ou de vous faire pirater votre téléphone que d’être victime d’un complot terroriste.
Si on souhaite vraiment sacrifier la vie privée sur l’autel de la sécurité, serait-il trop demander que le sacrifice en vaille la peine?