Comment une réaction excessive au terrorisme peut nuire à la cybersécurité

De nombreuses défaillances de sécurité technologiques d'aujourd'hui peuvent être attribuées à des défaillances de cryptage. En 2014 et 2015, des pirates anonymes - probablement le gouvernement chinois - ont volé 21,5 millions de fichiers personnels d'employés du gouvernement américain et d'autres personnes. Ils n'auraient pas obtenu ces données si elles avaient été cryptées.





De nombreux vols de données criminels à grande échelle ont été rendus plus faciles ou plus dommageables parce que les données n'étaient pas cryptées : Target, T.J. Maxx, Heartland Payment Systems, etc. De nombreux pays écoutent les communications non cryptées de leurs propres citoyens, à la recherche de dissidents et d'autres voix qu'ils souhaitent faire taire.

Certains responsables de l'application des lois ont proposé d'ajouter des portes dérobées aux données cryptées pour permettre l'accès aux enquêtes autorisées par les tribunaux, arguant que cela empêchera les criminels ou les terroristes de sombrer, comme l'a dit le directeur du FBI James Comey dans une conférence de la Brookings Institution en 2014 (Going Dark : La technologie, la vie privée et la sécurité publique sont-elles sur une trajectoire de collision ?). Mais cette approche ne fera qu'exacerber les risques.

Nous ne pouvons pas construire un système d'accès qui ne fonctionne que pour les personnes ayant une certaine citoyenneté ou une certaine moralité, ou en présence d'un document légal spécifié. Si le FBI peut écouter vos SMS ou accéder au disque dur de votre ordinateur, les autres gouvernements le peuvent aussi. Les criminels aussi. Les terroristes aussi. Si vous voulez comprendre les détails, lisez un article de 2015 co-écrit par le professeur du MIT Hal Abelson, intitulé Keys Under Doormats: Mandating Insecurity by Requiring Government Access to All Data and Communications.



Le débat sur la question de savoir si les forces de l'ordre devraient avoir accès aux messages cryptés et à d'autres données a refait surface à la lumière des attentats terroristes de Paris et d'autres. Mais c'est un faux choix de dire que vous pouvez avoir la confidentialité ou la sécurité. Le vrai choix est entre avoir moins de sécurité et avoir plus de sécurité. Bien sûr, les criminels et les terroristes ont utilisé - utilisent, utiliseront - le cryptage pour cacher leur planification aux autorités, tout comme ils utiliseront les commodités et les infrastructures de la société : voitures, restaurants, télécommunications. En général, nous reconnaissons que de telles choses peuvent être utilisées à la fois par des personnes honnêtes et malhonnêtes. La société prospère néanmoins, car les honnêtes sont tellement plus nombreux que les malhonnêtes.

Le technologue en sécurité Bruce Schneier est l'auteur le plus récent de Data and Goliath : les batailles cachées pour collecter vos données et contrôler votre monde.

cacher