Chaque fois qu’un gouvernement adopte une loi qui touche l’Internet, les entreprises technologiques doivent se poser une question fondamentale : peuvent-elles encore fournir correctement leurs services tout en protégeant la vie privée des utilisateurs dans le cadre de cette nouvelle législation ?
Pour les entreprises opérant dans des pays qui appliquent une politique allant à l’encontre du respect de la vie privée, la réponse est de plus en plus préoccupante, tant du point de vue de l’utilisateur que de celui de l’entreprise.
En effet, les lois anti-protection de la vie privée tentent souvent d’atteindre leurs objectifs en violant ou en contournant le système de cryptage, sans nul doute la forme de protection de la vie privée et de sécurité la plus efficace et la plus répandue à notre époque numérique. L’affaiblissement du cryptage rend les personnes et les nations du monde entier plus vulnérables face aux dangers en ligne.
Mais les gouvernements du monde entier qui adoptent des lois allant à l’encontre de la protection de la vie privée paient un prix bien plus élevé allant au-delà des effets néfastes d’une diminution de la protection de la vie privée pour leurs citoyens.
Les lois qui s’attaquent au cryptage et à la protection de la vie privée étouffent leur industrie technologique locale et ternissent leur réputation à l’échelle internationale, ce qui est préjudiciable à leur économie.
Pour préserver la vie privée et la sécurité de leurs utilisateurs, certaines entreprises finissent par quitter physiquement une région et par déplacer leurs serveurs, plutôt que de choisir d’affaiblir leur service. C’est ce qu’a fait à plusieurs reprises la société VPN pour laquelle je travaille, Private Internet Access, dont le dernier exemple en date est celui d’Hong Kong.
L’exemple d’Hong Kong
L’imposition d’une nouvelle loi de sécurité nationale à Hong Kong a permis aux forces de l’ordre de saisir des serveurs situés à Hong Kong sans mandat et de procéder à l’interception sans mandat de communications en ligne. En conséquence, Private Internet Access a cessé d’héberger des serveurs dans le territoire de compétence d’Hong Kong étant donné que cela représenterait un risque pour la vie privée de nos utilisateurs. Bien que notre politique de non-enregistrement et notre installation sécurisée soient conçues pour protéger nos utilisateurs même en cas de saisie d’un serveur, nous avons estimé que nous ne pouvions pas offrir une passerelle VPN basée à Hong Kong qui maintienne le niveau exemplaire de confidentialité et de sécurité que nous exigeons pour nos utilisateurs. En clair, les utilisateurs d’Internet à Hong Kong peuvent utiliser notre service, mais nous ne pouvons pas héberger physiquement une passerelle de sortie à Hong Kong compte tenu des lois en vigueur.
Private Internet Access n’est pas la seule entreprise technologique qui a dû réagir rapidement aux nouvelles lois allant à l’encontre de la vie privée à Hong Kong. Les réactions ont été diverses : des sociétés comme Zoom, Microsoft, Facebook, Google et Twitter ont annoncé qu’elles cesseraient de traiter les demandes de données émanant des services de police d’Hong Kong, tandis que d’autres sociétés ont également retiré leurs serveurs et mis fin à des relations commerciales existantes à Hong Kong.
Ces attaques gouvernementales contre la vie privée et le cryptage peuvent sembler être d’un tout autre monde, mais il est probable que votre pays soit le théâtre d’une bataille similaire. Plusieurs gouvernements dans le monde ont adopté ou envisagent d’adopter des lois qui modifieraient les conditions juridiques dans lesquelles les entreprises technologiques opèrent.
La législation visant le cryptage ou les données cryptées est une atteinte à la vie privée.
Il existe quatre types généraux de lois allant à l’encontre de la protection de la vie privée visant le cryptage ou les données cryptées dans le monde entier : l’accès sans mandat, la journalisation obligatoire, un accès obligatoire de type « homme du milieu » et des portes dérobées obligatoires. Voici comment la sécurité des personnes et des entreprises est menacée.
- Lorsqu’un gouvernement s’octroie le droit d’entrer dans tout centre de données situé sur son sol souverain et de s’emparer de serveurs, comme à Hong Kong, il peut accéder à toutes les données non cryptées sur ces serveurs.
- Lorsqu’un gouvernement exige que les centres de données et les fournisseurs d’accès à Internet conservent les journaux d’activité ou les enregistrements de connexion à Internet, il conserve les métadonnées pour une analyse et une utilisation futures.
- Avec un accès obligatoire de type « homme du milieu » et un accès aux serveurs sans mandat, les gouvernements se retrouvent dans une position privilégiée pour exécuter des attaques sur des données cryptées par n’importe quel moyen, notamment en utilisant des vulnérabilités non corrigées connues sous le nom de « zero-days ».
- Les portes dérobées obligatoires obligent les entreprises utilisant le cryptage à ajouter des portes dérobées qui permettent aux gouvernements d’accéder aux données cryptées, mais ce faisant, elles rendent leurs clients vulnérables aux pirates informatiques et autres acteurs malveillants car il n’existe aucune porte dérobée à laquelle seul le gouvernement peut accéder.
La nouvelle loi sur la sécurité nationale d’Hong Kong prévoit un accès aux serveurs sans mandat. Cela constitue également une menace dans les pays sans lois le permettant.
Par exemple, Private Internet Access a déjà quitté physiquement des pays tels que la Russie et la Corée du Sud pour cette même raison. Des pays comme l’Australie, la Russie et le Royaume-Uni ont adopté une législation exigeant que les journaux de connexions à Internet soient obligatoirement stockés au niveau du fournisseur d’accès ou du centre de données. L’Allemagne est le dernier pays à avoir légiféré pour rendre obligatoire l’accès de type « homme du milieu » pour ses forces de l’ordre, tandis que des pays comme les États-Unis et l’Inde ont fait pression pour imposer des portes dérobées obligatoires dans les systèmes de cryptage. La liste est longue.
Les réglementations ciblant le cryptage ne sont pas les seuls types de législation proposée qui créent un environnement juridique défavorable à l’essor des entreprises Internet. De nombreuses autres propositions mettent les juristes à l’épreuve en raison de leur impact potentiel sur la vie privée et la sécurité des clients.
Lorsque de telles lois sont adoptées, les entreprises technologiques sont confrontées à des choix difficiles. Les gouvernements du monde entier doivent prendre conscience que s’en prendre au cryptage ne porte pas seulement atteinte aux libertés civiles, mais que le faire a également de réelles répercussions économiques. La prudence est donc de mise pour tout gouvernement concerné. Après tout, d’autres législations, comme les accords commerciaux, sont extrêmement longues à négocier en raison de leur impact économique considérable. Malgré ce cadre logique, la technologie et l’Internet semblent être le seul domaine dans lequel les gouvernements légifèrent sans tenir compte de l’impact économique potentiel.
Des pratiques de cryptage solides sont essentielles au développement des économies nationales dans le monde entier. Compte tenu de l’importance croissante du secteur technologique dans l’économie de chaque pays, les gouvernements doivent encourager le cryptage de bout en bout et ainsi s’assurer qu’ils ne légifèrent pas au détriment de leur avantage concurrentiel.
Image de Markus Spiske via Unsplash