Après des demandes répétées d’accès aux contenus chiffrés des smartphones, l’administration Obama a demandé à un groupe de travail (composé de responsables du renseignement, des autorités militaires, etc) d’explorer des pistes pour contourner cette contrainte. Selon le Washington Post qui s’est procuré les notes de ce groupe de travail, quatre solutions ont été mises sur la table.
Cependant, ce groupe ne veut pas entrer frontalement en conflit avec les fabricants ; les pistes proposées sont considérées comme « techniquement possibles » et ne pourront être mises en œuvre qu’en coopération avec les fabricants. Une rhétorique prudente pour éviter de focaliser l’attention et de générer des attaques. De manière pragmatique, le groupe donne les désavantages de chaque technique.
La première solution est de demander aux constructeurs d’ajouter un port physique crypté sur leurs appareils. Les sociétés devraient s’engager à séparer un jeu de clé que les autorités judiciaires pourront utiliser sur mandat. La modification matérielle entraîne un coût supplémentaire pour les constructeurs américains, mais le groupe souligne que cette méthode limite les risques de cyberattaque.
La seconde solution est d’exploiter les mises à jour automatiques des logiciels. Via un mandat d’un tribunal, le fabricant pourrait insérer un logiciel espion sur les smartphones ou tablettes visées par la décision de justice lors des mises à jour. Le groupe souligne que cette méthode pourrait « remettre en cause la fiabilité des canaux de mises à jour des logiciels et donc pousser les utilisateurs à ne pas actualiser leur terminal ».
Troisième orientation évoquée, le fractionnement des clés de chiffrement. Une option imaginée par le directeur de la NSA, Michael S. Rogers au début de l’année. Les entreprises devraient diviser la clé de chiffrement en plusieurs morceaux. Seule une ordonnance d’un tribunal pourrait permettre la reconstitution complète de la clé pour accéder aux données. Le groupe de travail estime que ce système est complexe à mettre en œuvre et à maintenir.
Enfin, la dernière idée préconise la création d’une « sauvegarde forcée » où les sociétés devront, sous mandat, télécharger les données chiffrées du terminal dans un espace non chiffré comme le Cloud. Le groupe de travail sait que ce processus ajoute des contraintes aux constructeurs qui devraient créer un canal de sauvegarde supplémentaire. D’autres experts évoquent des limitations techniques, si la sauvegarde doit utiliser le WiFi ou le réseau cellulaire des appareils, ou encore soulignent que le procédé génère des risques de sécurité supplémentaires.
Pour les spécialistes de la sécurité, l’ensemble de ces méthodes s’apparente à la mise en place de backdoor, même si le groupe de travail préfère le terme de porte d’entrée. L’ajout d’éléments pour contourner le chiffrement risque de l’affaiblir, selon les mêmes spécialistes. Pire, le problème va se déplacer des entreprises vers les utilisateurs eux-mêmes qui prendront la décision de se protéger via des technologies tierces. Il existe pour cela des solutions Open Source disponibles sur le marché.
L’exercice s’annonce donc difficile pour l’administration Obama. Des discussions vont avoir lieu avec les différents constructeurs comme Apple ou Google pour trouver un terrain d’entente. Si elles aboutissent…
A lire aussi :
Le procureur de Paris prend position contre le chiffrement des smartphones
Le chiffrement source de multiples failles de sécurité
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…