Le chef de l'agence d'espionnage britannique déclare que les entreprises technologiques devraient fournir un moyen de contourner le cryptage

Le chef de l'agence de renseignement britannique GCHQ dit qu'il espère que les entreprises technologiques et les chercheurs universitaires trouveront des moyens de permettre aux enquêteurs du gouvernement d'accéder à des appareils cryptés sans créer de larges portes dérobées qui compromettent la sécurité informatique.





Dans un discours devant environ 150 personnes à la Initiative de recherche sur les politiques d'Internet au MIT, directeur du GCHQ Robert Hannigan a déclaré lundi que les responsables de l'application de la loi et du renseignement ne voulaient que des moyens ciblés pour arrêter ce qu'il a appelé l'abus de cryptage par l'Etat islamique et d'autres terroristes et criminels.

Il devrait être possible pour les experts techniques de s'asseoir ensemble et de trouver des solutions, a-t-il déclaré. Je ne suis pas favorable à l'interdiction du cryptage. Je ne demande pas non plus des portes dérobées obligatoires. … Tout n'est pas une porte dérobée, encore moins une porte exploitable en dehors d'un cadre légal.

La position d'Hannigan sur le chiffrement s'inscrit dans la Projet de loi sur les pouvoirs d'enquête , une loi en instance au Parlement britannique qui affirmerait la légalité d'un large éventail de pratiques de surveillance. Il s'aligne également sur les déclarations selon lesquelles le Secrétaire américain à la Défense et autres hauts fonctionnaires ont fait ces dernières semaines au milieu de la controverse Apple-FBI.



Cela suggère que les responsables ont tiré les leçons des combats passés sur le cryptage. Dans les années 1990, la National Security Agency a dû renoncer à demander aux entreprises de tout sécuriser à l'aide d'un composant appelé Clipper Chip, auquel elle conservait une clé principale, après qu'un chercheur eut montré que le système était profondément défectueux.

Mais les praticiens de la sécurité informatique disent qu'ils ne voient toujours pas comment les entreprises peuvent garantir l'accès des forces de l'ordre aux données cryptées sans ouvrir de nouvelles failles de sécurité dangereuses. Apple et Google ont régulièrement aidé les enquêteurs à obtenir des données sur les smartphones avant que les entreprises ne resserrent les pratiques de cryptage en 2014, mais le secteur n'a guère envie de ramener la sécurité à l'état de l'art d'il y a deux ans.

Le directeur du GCHQ, Robert Hannigan, pense que les entreprises peuvent aider les enquêteurs du gouvernement à contourner le cryptage sans le paralyser.



Je pense que le point culminant de ce que Hannigan a dit est que les portes dérobées ne sont pas la réponse, a déclaré Daniel J. Weitzner , un ancien responsable de la politique technologique de la Maison Blanche qui dirige l'Initiative de recherche sur les politiques Internet et a travaillé sur un rapport influent sur le chiffrement publié l'année dernière . Abrutir toute l'infrastructure n'est pas la voie à suivre. La question, alors, est que faites-vous?

Weitzner et Hannigan ont tous deux suggéré que la réponse résiderait dans les vulnérabilités inhérentes même aux téléphones cryptés, comme la voie que le FBI demande à Apple d'ouvrir dans le téléphone utilisé par le tireur de San Bernardino Syed Rizwan Farook. Je ne suis pas sûr qu'il soit certain que [les entreprises] construiront des systèmes qui rendront cela impossible, a déclaré Hannigan dans une interview. Notamment parce que leurs propres utilisateurs auront alors d'énormes problèmes, n'est-ce pas ? »

Obtenir des preuves sur un téléphone crypté est certainement beaucoup plus difficile pour un service de police local que pour une puissante agence de renseignement telle que le GCHQ ou la NSA. (Quand on lui a demandé si ses experts pouvaient casser le téléphone San Bernardino même sans l'aide d'Apple, Hannigan a ri et a dit : je serais fou d'y aller.)



Néanmoins, Hannigan – qui ne fait que sa deuxième apparition dans un forum public depuis qu'il a pris la tête du GCHQ en 2014 – a déclaré que les entreprises technologiques devraient travailler plus étroitement avec les gouvernements pour essayer de trouver des moyens de donner aux forces de l'ordre ce qu'elles veulent. La perception qu'il n'y a rien d'autre que des conflits entre les gouvernements et l'industrie technologique est une caricature, a-t-il déclaré dans son discours. En réalité, les entreprises fournissent régulièrement de l'aide dans le cadre de la loi, et je tiens à le reconnaître aujourd'hui.

Il a reconnu, cependant, qu'il est peu probable qu'il y ait un moyen de permettre un accès facile et large. La queue de sécurité ne devrait pas remuer le chien, a-t-il dit. Et bien sûr, parfois, il n'y aura rien que nous puissions faire et nous devrons l'accepter. Mais ceux-ci devraient sûrement être les exceptions.

cacher