La loi sur l’accès légal aux données cryptées, récemment présentée au Congrès américain, pourrait être la pire d’une récente série d’attaques contre le cryptage, notre outil de sécurité numérique en ligne le plus puissant.
Alors que la loi EARN IT récemment modifiée ferait reposer un cryptage fort sur un terrain instable si elle était adoptée, la loi sur l’accès légal aux données cryptées (LAEDA) est une attaque directe contre l’outil sur lequel des millions de personnes comptent chaque jour pour leur sécurité personnelle et nationale.
LAEDA faciliterait la mort du cryptage de bout en bout en obligeant les entreprises à fournir une « assistance technique » pour accéder aux données cryptées à la demande des enquêtes des services répressifs.
Le problème est que la seule façon pour les entreprises de se conformer à la loi serait d’intégrer des portes dérobées dans leurs produits et services, ou de ne pas utiliser de cryptage du tout, ce qui rendrait tout le monde plus vulnérable au crime même que nous essayons tous de prévenir. En clair, il s’agit du même cryptage que celui utilisé pour sécuriser des activités telles que la banque en ligne, le travail à domicile, les services de télésanté et les conversations avec des amis.
L’Internet Society a fait part de ses préoccupations dans une lettre ouverte aux co-parrains de la LAEDA au Sénat, signée par plus de 75 experts mondiaux de la cybersécurité, des organisations de la société civile, des entreprises et des associations commerciales. Selon les signataires, le projet de loi « est trop imparfait sur le plan technique pour être efficace et obligera les entreprises à rendre leurs produits moins sûrs ».
Pire encore, la proposition de LAEDA n’est que la plus récente attaque contre le cryptage de bout en bout de la part d’un membre de l’alliance Five Eyes (États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande).
Les partisans américains des « portes d’accès dérobées » suivent les traces de l' »Investigatory Powers Act » du Royaume-Uni et de l' »Assistance and Access » ou TOLA Act de l’Australie. À l’instar de ces lois, dont il s’inspire clairement, le LAEDA exigerait des entreprises ou de leurs employés qu’ils se conforment aux demandes gouvernementales d' »assistance technique » dans le cadre des enquêtes des forces de l’ordre. Ces exigences obligeraient inévitablement les entreprises à mettre en place des portes dérobées dans leur système de cryptage.
Nous l’avons déjà dit, et cela vaut la peine de le répéter :
Il n’existe aucun moyen de fournir un accès par porte dérobée à des données cryptées de bout en bout sans affaiblir la sécurité de tous les utilisateurs.
La loi sur l’accès légal aux données cryptées ne rendrait pas seulement les Américains plus vulnérables au crime qu’elle tente de prévenir, mais aussi tous ceux qui, dans le monde entier, dépendent de produits et de services américains utilisant le cryptage pour assurer leur sécurité en ligne.
Image de Matthew T Rader via Unsplash