Dévoilée initialement par le Wall Street Journal, une information majeure de cybersécurité semble ne pas recevoir toute l'attention qu'elle mériterait dans les médias. Pourtant, outre ses conséquences potentiellement désastreuses pour tous les citoyens, elle devrait aussi servir de leçon aux législateurs ignares qui réclament régulièrement des portes dérobées dans les outils de communication protégés.
L'affaire, qui se déroule aux États-Unis, est suffisamment grave pour que le FBI ait fait jouer la clause exceptionnelle de confidentialité qui lève (temporairement) l'obligation de notification des victimes en cas de vol de données personnelles. Selon les premiers éléments de l'enquête, des pirates seraient parvenus à détourner les mécanismes réglementaires exigés pour les écoutes légales chez les fournisseurs d'accès internet et à les exploiter à leur profit en vue d'opérations de surveillance criminelles.
Attribuée officieusement à un groupe de hackers lié aux autorités chinoises, l'attaque relèverait donc d'une campagne d'espionnage dont la portée est ébouriffante, entre identification des individus placés sous surveillance et collecte massive du trafic réseau. Même si le contenu des échanges interceptés – généralement chiffré – reste secret (du moins dans l'état des technologies d'aujourd'hui), la seule connaissance acquise à travers les connexions établies est facilement utilisable à des fins malveillantes.
Soyons optimistes. Cette illustration concrète – et aux ramifications qu'on ne fait pour l'instant qu'entrevoir – de leurs dangers devrait faire réfléchir les politiques qui, un peu partout dans le monde, tentent en permanence d'imposer, en particulier aux grandes plates-formes de messagerie sociale, des accès privilégiés pour les forces de police (et sous strict contrôle judiciaire) leur permettant de court-circuiter les mesures mises en œuvre afin de préserver la confidentialité des interactions en ligne.
Le risque engendré par une telle démarche n'est certes pas une découverte pour les spécialistes. Il est au contraire souligné à chaque fois que des velléités de recourir à des portes dérobées émergent. Cependant, la dénonciation de la menace ne sera dorénavant plus seulement théorique : elle pourra s'accompagner d'une illustration édifiante. Espérons qu'elle mette un terme définitif à cette utopie d'un passe-partout inviolable qui ne pourrait être mis en œuvre que dans des conditions légitimes.
Les systèmes informatiques modernes, avec leurs inévitables défauts techniques et autres faiblesses humaines, sont déjà suffisamment exposés pour ne pas ajouter une faille volontaire dont, inexorablement, un gouvernement hostile ou une organisation criminelle finira par tirer parti, pour des impacts sans commune mesure avec les bénéfices espérés (et de surcroît surestimés) par des décideurs peu éclairés.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)