Vous avez peut-être croisé récemment l’expression « porte dérobée de chiffrement » dans l’actualité. Cet article a pour objectif de décortiquer ce concept, d’explorer les raisons pour lesquelles il suscite tant de controverses dans le monde technologique, et de détailler son potentiel impact sur les outils que vous utilisez quotidiennement.
Une clé d’accès dissimulée
Aujourd’hui, la majorité des systèmes que nous utilisons au quotidien intègrent une forme de chiffrement. Pour outrepasser cette protection, une authentification est nécessaire. Par exemple, pour déverrouiller votre téléphone, vous devez fournir un mot de passe, utiliser votre empreinte digitale ou recourir à la reconnaissance faciale afin d’accéder à vos données et applications.
Ces mécanismes sont généralement efficaces pour préserver la confidentialité de vos informations personnelles. Même en cas de vol, vos données restent protégées tant que votre code d’accès n’est pas découvert. Par ailleurs, la plupart des téléphones peuvent être paramétrés pour effacer leur contenu ou se bloquer temporairement en cas de tentatives répétées de déverrouillage.
Une porte dérobée représente un accès intégré qui contourne délibérément ce type de chiffrement. Elle permet potentiellement à un fabricant d’accéder à l’ensemble des données présentes sur n’importe lequel des appareils qu’il a conçu. Il ne s’agit pas d’un concept récent, car il remonte à la controversée puce Clipper, datant du début des années 1990.
Plusieurs formes peuvent être prises par une porte dérobée : un élément caché au sein du système d’exploitation, un outil externe agissant comme une clé universelle pour tous les appareils, ou encore une portion de code créant une vulnérabilité logicielle.
La problématique des portes dérobées de chiffrement
Le débat sur les portes dérobées de chiffrement a pris une dimension mondiale en 2015 suite à un conflit juridique opposant Apple au FBI. Suite à une série d’ordonnances judiciaires, le FBI a sommé Apple de déverrouiller l’iPhone d’un terroriste décédé. Apple a refusé de créer le logiciel nécessaire, provoquant une audience judiciaire. Finalement, le FBI a fait appel à une société tierce (GrayKey) qui a exploité une faille de sécurité pour contourner le chiffrement, entrainant l’abandon de la procédure.
Cette affaire a suscité de vives discussions dans les entreprises technologiques et le secteur public. Lorsque l’affaire a été largement médiatisée, la plupart des grandes entreprises technologiques aux États-Unis (notamment Google, Facebook et Amazon) ont exprimé leur soutien à Apple.
La majorité des géants de la technologie s’opposent à l’imposition par le gouvernement de la création de portes dérobées de chiffrement. Leur argument principal est que l’introduction d’une telle porte dérobée fragilise la sécurité des systèmes et appareils en introduisant une vulnérabilité.
Bien que, dans un premier temps, seuls le fabricant et le gouvernement soient censés connaître le fonctionnement de cette porte dérobée, les pirates informatiques et acteurs malveillants finissent toujours par la découvrir. Rapidement, des exploits deviennent accessibles à un large public. De plus, si le gouvernement américain obtient la méthode de cette porte dérobée, qu’en sera-t-il des gouvernements d’autres pays ?
Les implications sont préoccupantes. Les systèmes équipés de portes dérobées augmenteraient probablement l’occurrence et l’ampleur des cyberattaques, allant du ciblage d’appareils ou de réseaux étatiques à la création d’un marché noir pour des exploits illégaux. Comme l’a souligné Bruce Schneier dans le New York Times, cela exposerait également les infrastructures critiques qui gèrent les services essentiels à des menaces étrangères et nationales.
De plus, cela s’accompagne d’une érosion de la vie privée. Une porte dérobée de chiffrement entre les mains du gouvernement lui permettrait de consulter les données personnelles de n’importe quel citoyen à tout moment et sans son consentement.
Les arguments en faveur d’une porte dérobée
Les gouvernements et les forces de l’ordre souhaitant la création de portes dérobées de chiffrement font valoir que les données ne devraient pas être inaccessibles pour les autorités et les services de sécurité. Certaines enquêtes, notamment sur des meurtres et des vols, sont bloquées faute d’accès aux téléphones verrouillés.
Les informations stockées dans un smartphone, telles que les calendriers, contacts, messages et journaux d’appels, sont autant de données qu’un service de police peut légalement être autorisé à consulter en vertu d’un mandat. Le FBI affirme être confronté à un défi lié à « l’obscurcissement » des données, car de plus en plus d’informations et d’appareils deviennent inaccessibles.
Un débat toujours d’actualité
La question de l’obligation pour les entreprises de créer une porte dérobée dans leurs systèmes reste un enjeu politique majeur. Les législateurs et les fonctionnaires soulignent fréquemment que ce qu’ils souhaitent véritablement est une « porte d’entrée » qui leur permettrait de demander le déchiffrement dans des circonstances spécifiques.
Toutefois, une porte d’entrée et une porte dérobée de chiffrement sont, en substance, la même chose. Les deux impliquent la création d’une faille pour permettre un accès à un appareil.
En l’absence d’une décision officielle, ce sujet continuera probablement à alimenter les débats et faire les gros titres de l’actualité.