Qu'est-ce que la facture d'assistance et d'accès et qu'est-ce que cela signifie pour votre sécurité ?
Le projet de loi australien sur l'assistance et l'accès, souvent appelé le loi anti-cryptage , a été adoptée en décembre 2018. Il s’agit d’un ensemble complexe de réglementations qui a fait la une des journaux internationaux en raison de ses ramifications potentielles. Il a également reçu de nombreuses critiques de la part des entreprises technologiques, des défenseurs de la vie privée et du grand public.
Si vous n’avez fait que passer sous silence la question, vous avez peut-être été induit en erreur par les gros titres, certains affirmant que le projet de loi menace de « briser le cryptage ' et compromettre la sécurité à travers le monde .
Ce n’est pas exactement le cas, car un gouvernement ne peut pas « briser » le cryptage simplement parce qu’il le souhaite. Le cryptage repose sur des lois mathématiques, qui heureusement prévalent sur celles du Parlement australien.
Un autre problème avec ces affirmations est que le projet de loi ne dit pas réellement qu’il vise à briser le cryptage. En fait, il contient des mises en garde contre l’introduction de faiblesses et de vulnérabilités en matière de sécurité.
Ne confondez pas ces concessions avec la conclusion que le projet de loi est une bonne chose. Il a certainement besoin de révisions et sa forme actuelle pourrait entraîner de graves problèmes de sécurité .
Cependant, l’hyperbole et la déformation des faits ne rendent pas service à tout le monde. Au contraire, cela justifie encore davantage la position du gouvernement, car celui-ci peut affirmer que toute dissidence contre la réglementation est fondée sur des mensonges ou une manipulation des faits.
Cela fait plusieurs mois que le projet de loi a été adopté et la poussière a enfin commencé à retomber. Le moment est venu d’examiner le projet de loi de manière plus réaliste, de briser les mythes et de parler des vrais problèmes ainsi que de leurs ramifications potentielles.
Qu'est-ce que la facture d'assistance et d'accès ?
Le Projet de loi de 2018 modifiant la législation sur les télécommunications et autres (assistance et accès) , communément abrégé en Le projet de loi d’assistance et d’accès (et familièrement appelée loi anti-cryptage), a été adoptée par les deux chambres du gouvernement australien le 6 décembre 2018.
L’objectif principal du projet de loi, et l’aspect qui a retenu le plus l’attention des médias, sont les dispositions du projet de loi qui peuvent obliger les entreprises à aider les autorités à accéder aux données des individus .
Les organisations ou les individus peuvent être contraints de fournir des données lorsqu'un mandat a été émis contre la cible en vertu de la loi sur les télécommunications (interception et accès), de la loi sur les dispositifs de surveillance ou de leurs équivalents au niveau de l'État.
Il suffit qu'il y ait un mandat préexistant en vertu de l'une de ces lois, et aucun mandat spécifique n'est requis avant que les entreprises soient obligées de divulguer des informations ou d'aider les autorités à y accéder par d'autres moyens. Cela signifie qu’il n’y a aucun contrôle judiciaire sur le processus.
Malgré ces problèmes, le projet de loi ne peut pas être utilisé à des fins de surveillance de masse, car des mandats préexistants sont requis.
Dans son interprétation la plus extrême, on craint que certains des pouvoirs accordés par le projet de loi n’incitent les entreprises à introduire des vulnérabilités dans leurs services, ce qui pourrait affaiblir la sécurité mondiale.
Qui est concerné par le projet de loi ?
Le projet de loi s'applique à « fournisseurs de communications désignés » , que le texte définit de manière extrêmement large. Si le projet de loi s'adresse ostensiblement aux entreprises de télécommunications et aux entreprises technologiques, il couvre également celles impliquées dans :
- Équipement de fabrication.
- Fourniture de matériel.
- Développement et mise à jour de logiciels.
- Agir en tant qu'intermédiaire dans l'un des processus ci-dessus.
D'après le libellé du projet de loi, il semble qu'il s'applique également aux petits acteurs, tels que les propriétaires de sites Web, et même les personnes qui travaillent dans l'une des entreprises énumérées ci-dessus , plutôt que seulement l’organisation elle-même ou ses dirigeants.
Le projet de loi s’applique à tout organisme qui a « un ou plusieurs utilisateurs finaux en Australie ». Cela implique que ces pouvoirs peuvent être utilisés contre les organisations internationales. Cependant, à ce stade, on ne sait pas comment les organisations internationales réagiraient au projet de loi ni quelles seraient leurs obligations.
Quels pouvoirs le projet de loi accorde-t-il ?
La partie la plus controversée du projet de loi concerne les trois avis distincts que diverses agences gouvernementales peuvent envoyer aux entreprises :
- Avis d'assistance technique (TAN) – Il s’agit essentiellement de demandes qui obligent les organisations à assister les autorités avec des capacités déjà en place. Cela peut inclure des choses comme la transmission d'informations de compte sur un individu, la fourniture de conseils techniques ou la transmission aux autorités de données auxquelles une entreprise a déjà accès.
- Avis de capacité technique (TCN) – Ces avis vont encore plus loin et peuvent obliger les organisations à développer de nouvelles capacités pour aider les autorités dans leurs activités d’espionnage et autres. Les entreprises sont tenues d’exécuter leurs tâches sans profit ni perte. Il s’agit de la partie la plus préoccupante de la législation, car certaines lectures laissent entendre que ces demandes pourraient obliger les entreprises à insérer des vulnérabilités dans leur technologie. Cela couvre:
- Supprimer les formes de protection électronique, telles que le cryptage ou l'authentification.
- Fournir des informations techniques.
- Installer, maintenir, tester ou utiliser des logiciels et des équipements pour aider les autorités à atteindre leurs objectifs.
- Demandes d'assistance technique (TAR) – Il s’agit de demandes volontaires qui demandent aux organisations d’assister les autorités dans l’une ou l’autre des pratiques ci-dessus. Les entreprises ne sont pas obligées de les respecter et il n’existe aucune sanction en cas de non-respect. Même si les TAR ne semblent pas si mauvais, ils font l’objet de moins de surveillance que les deux autres avis.
Quelles agences peuvent introduire ces demandes ?
Avis d'assistance technique (TAN) peuvent être soumis par le Directeur général de la sécurité (le dirigeant de l'ASIO), ou le directeur général de l'une des entités suivantes, que le rapport qualifie agences d'interception :
- Le Police fédérale australienne.
- Le Commission australienne de la criminalité.
- Le force de police d'un État ou du Territoire du Nord.
Le chef d'une agence d'interception doit obtenir l'autorisation du commissaire de la police fédérale australienne avant de pouvoir soumettre une demande. Les trois types de demandes doivent être adressées par écrit à l’organisation cible, sauf s’il existe un risque imminent de préjudice, auquel cas les demandes peuvent être faites oralement.
Avis de capacité technique ne peuvent être présentées que par le directeur général de la sécurité ou par un responsable d'une agence d'interception, mais elles doivent le faire par l'intermédiaire du procureur général. À son tour, le procureur général doit obtenir l'approbation du ministre des Communications.
Assistance technique volontaire les avis peuvent être donnés par le directeur général de la sécurité, le directeur général des services de renseignement secrets australiens, le directeur général de la direction australienne des transmissions ou le chef d'une agence d'interception.
Les dernières sections sont quelque peu complexes en raison de leur nature juridique. Donnons un bref résumé de la loi jusqu’à présent. Il permet à plusieurs agences australiennes différentes de formuler diverses demandes auprès des entreprises de technologie et de télécommunications. Celles-ci vont de la demande d'aide à l'exigence de créer de nouvelles capacités pour aider à espionner les individus. .
Quelles mises en garde sont en place ?
Si vous avez réussi à parcourir le jargon juridique aride, vous pourriez être choqué par les vastes pouvoirs accordés par les lois et leurs répercussions potentielles. Mais il existe des réserves qui semblent limiter la manière dont elles peuvent être appliquées.
Le projet de loi précise spécifiquement qu’aucune de ces demandes ne peut contraindre les organisations à « mettre en œuvre ou créer une faiblesse systémique ou une vulnérabilité systémique ». Il précise également que les demandes ne peuvent pas être utilisées pour empêcher les entreprises de « corriger une faiblesse systémique ou une vulnérabilité systémique ».
Quel est le problème avec la facture Assistance & Accès ?
Ces mises en garde vous feront peut-être pousser un soupir de soulagement, mais elles ne sont pas aussi solides que vous auriez pu l’espérer. Le projet de loi comporte un certain nombre d’autres éléments inquiétants que nous devons aborder.
Formulation vague
De nombreux aspects du projet de loi sont assez vagues, ce qui fait qu'il est difficile pour ceux qui sont concernés de savoir où ils en sont sur le plan juridique. Difficile de dire si ce flou est intentionnel et malveillant, ou s’il est le résultat de l’incompétence et de la précipitation avec laquelle le projet de loi a été adopté.
Quoi qu’il en soit, toute loi qui peut être interprétée de plusieurs manières est vouée à poser de graves problèmes, en raison de l’incertitude qu’elle engendre. Naturellement, ceux qui pourraient être concernés craignent les pires scénarios, tandis que les partisans du projet de loi soulignent que les lois ne sont pas destinées à être utilisées de cette manière.
Examinons quelques-uns des exemples les plus importants dans lesquels la formulation du rapport conduit à une incertitude quant à la manière dont il sera appliqué.
Vulnérabilités et faiblesses systémiques
Les définitions de ces termes sont à l’origine d’une grande partie des critiques du projet de loi :
Vulnérabilité systémique désigne une vulnérabilité qui affecte toute une classe de technologie, mais n'inclut pas une vulnérabilité introduite de manière sélective dans une ou plusieurs technologies cibles liées à une personne particulière. À cette fin, il importe peu que la personne puisse être identifiée.
Faiblesse systémique désigne une faiblesse qui affecte toute une classe de technologie, mais n'inclut pas une faiblesse introduite de manière sélective dans une ou plusieurs technologies cibles liées à une personne particulière. À cette fin, il importe peu que la personne puisse être identifiée.
La première chose que vous remarquerez peut-être est que les définitions sont les mêmes , à l'exception des termes eux-mêmes. À tout le moins, l’utilisation des deux termes dans le rapport est redondante et complique inutilement le rapport, puisqu’ils sont définis exactement de la même manière.
Le deuxième problème majeur est que le terme la « classe de technologie » n’est pas définie dans le projet de loi . Ce terme n’est pas couramment utilisé dans l’industrie et il n’existe pas non plus de consensus sur sa signification réelle. On peut supposer qu’il s’agit d’un type de technologie très large, comme les ordinateurs ou les téléphones portables. Cela peut faire référence à quelque chose de plus nuancé, comme le cryptage ou l'authentification, ou à quelque chose d'encore plus spécifique, comme RSA ou des certificats numériques.
Puisque nous ne pouvons pas savoir ce que ces définitions sont censées couvrir, cela annule effectivement toutes les protections spécifiques offertes par la mise en garde en premier lieu. Si la loi était violée, comment pourrait-on savoir où il en est légalement ?
Si vous étiez propriétaire d’une petite entreprise, que feriez-vous si vous receviez une demande impliquant de compromettre la sécurité de votre service ? Si vous ne pouviez pas payer les frais juridiques, seriez-vous prêt à contester la loi et à refuser de s’y conformer ?
L'amende maximale actuelle en cas de non-conformité est de presque 1 000 000 AUD (700 100 USD) pour les organisations et 50 000 AUD (35 005 USD) pour les particuliers, ainsi que jusqu'à dix ans d'emprisonnement.
La question de savoir si quelque chose constitue ou non une faiblesse systémique ou une vulnérabilité systémique est finalement décidée par un évaluateur au cas par cas. Les évaluateurs doivent avoir « des connaissances qui permettraient à la personne d’évaluer » si une action introduirait une faiblesse ou une vulnérabilité systémique. Malheureusement, la « connaissance » n’est pas définie, ce qui ouvre une autre faille béante dans la loi.
Pour une raison absurde, le projet de loi exige également qu'un juge à la retraite participe à l'évaluation. Il ne donne aucune raison de recourir à d’anciens juges plutôt qu’à des juges actifs. Il n’existe pas non plus de cadre permettant aux deux évaluateurs de déterminer ce qui constitue une faiblesse ou une vulnérabilité systémique, ni de processus d’appel clairement défini.
C'est un projet de loi qui touche un grand nombre de personnes et d'entreprises. Avoir une terminologie aussi trouble dans l’une de ses parties centrales ne fait qu’ajouter de l’incertitude et, dans le pire des cas, ouvre la porte à des abus.
La loi peut être utilisée pour cibler les salariés
Une autre préoccupation majeure est que le projet de loi est formulé d'une manière qui implique les employés individuels pourraient être ciblés pour mettre en œuvre les demandes , et ils peuvent être légalement empêchés d’informer leurs supérieurs.
Il utilise le terme « personne » pour désigner ce qui constitue un fournisseur de communications désigné, et donc les entités soumises à la loi. Certains cas font clairement référence à des personnes morales (qui peuvent être des sociétés ou des particuliers), plutôt qu'à des personnes physiques (particuliers).
Un bon exemple est le point 1, « la personne est un transporteur ou un prestataire de services de transport ». Une personne ne peut pas littéralement être un « transporteur ou prestataire de services de transport », il s'agit donc évidemment d'organisations. Au fur et à mesure que nous parcourons la liste, les choses deviennent moins claires.
Le point 6 fait référence à un personne qui « développe, fournit ou met à jour des logiciels » utilisé, destiné à être utilisé ou susceptible d'être utilisé en relation avec : (a) un service de transport répertorié ; ou (b) un service électronique qui en possède un ».
Le point 8 couvre un personne qui « fabrique ou fournit des composants destinés à être utilisés , ou susceptible d’être utilisé, dans la fabrication d’une installation destinée à être utilisée ou susceptible d’être utilisée en Australie ».
Dans les deux cas, il est facile de les interpréter comme faisant référence aux salariés comme aux entreprises. Le projet de loi lui-même ne mentionne pas qu’il cible uniquement les entreprises. Il est donc légitime que les personnes occupant ces postes s’inquiètent.
Ces craintes ont été rejetées par le ministère de l'Intérieur, déclarant dans son rapport site web :
« Le cadre d'aide à l'industrie vise à obtenir de l'aide des des sociétés et non des personnes agissant en qualité d'employé d'une société . Les demandes d'assistance seront signifiées à la personne morale elle-même conformément aux dispositions de service présumées du article 317ZL . Un avis peut être signifié à une personne physique si cette personne est un entrepreneur individuel et sa propre personne morale.
Notez que l’article 317ZL ne précise pas si ces avis peuvent être signifiés aux particuliers.
C’est bien que le ministère de l’Intérieur offre cette précision, mais pourquoi n’est-il pas inclus dans le texte du projet de loi d’assistance et d’accès ? Ce qu’un employé a écrit sur un site Web du gouvernement ne prévaut pas sur la loi adoptée par les deux chambres du Parlement.
Si l’on interprète la loi telle qu’elle est rédigée, il n’est pas irréaliste de penser qu’une de ces demandes puisse être adressée à un salarié d’une entreprise. Si cela devait se produire, cela placerait l'employé dans un sérieux dilemme moral, car il ne sont pas autorisés à divulguer qu’une demande a été reçue , sauf s'il est nécessaire pour donner suite à la demande.
Ces ordres de silence placeraient évidemment les employés dans une position très difficile, les obligeant à se faufiler entre leurs pairs et leurs supérieurs auxquels ils ne peuvent pas divulguer l’avis. Le projet de loi protège effectivement les employés contre le licenciement s’ils répondent aux exigences d’un tel préavis, mais ce n’est toujours pas une bonne situation dans laquelle placer une personne.
Encore une fois, la loi n'est peut-être pas destinée à être utilisée de cette manière, mais si nous ne comblons pas ces lacunes, la législation risque d’être sujette à des abus. .
Surveillance limitée
Non seulement la législation est vague, mais la surveillance de son application est limitée. . Aucun mandat spécifique n’est requis pour aucune des trois demandes , bien qu’il doive déjà exister un mandat pour accéder aux données d’un individu en vertu de la loi sur les télécommunications (interception et accès), de la loi sur les dispositifs de surveillance ou de leurs équivalents au niveau de l’État.
Cela n’entraîne aucun contrôle judiciaire sur la manière dont ces demandes sont administrées. Un juge à la retraite participe au processus d'évaluation, mais n'y est pas activement.
Comme mentionné dans le Section vulnérabilité systémique et faiblesses systématiques , le processus d'évaluation examine si une demande introduira des faiblesses systématiques, mais il examine également si la demande est ou non raisonnable, proportionné, réalisable et techniquement réalisable. Malgré cela, il existe peu de détails sur la manière dont cela se fait réellement.
Compte tenu des antécédents du gouvernement australien en matière de technologie et de sécurité, il n’est pas exagéré que sa définition du « raisonnable » soit très différente de celle des entreprises technologiques et des experts en cybersécurité. Il suffit de lire la citation suivante sur la cryptographie de l’ancien Premier ministre Malcolm Turnbull pour craindre le pire :
'Les lois des mathématiques sont très louables, mais la seule loi qui s'applique en Australie est la loi australienne.'
La déclaration est aussi absurde que de dire «La gravité est louable, mais elle ne s’applique pas dans mon pays.« Ce type d'ignorance à l'égard des concepts techniques peut être extrapolé pour supposer que le gouvernement peut finir par exiger des actions dangereuses ou déraisonnables , soit par incompétence, soit par malveillance.
Les fournisseurs de communications désignés doivent être informés de leur droit de porter plainte auprès du Médiateur du Commonwealth, de l'Inspecteur général du renseignement et de la sécurité (IGIS) ou de leurs équivalents étatiques.
Malgré cela, la réglementation ne prévoit pas de cadre pour ce processus. Le projet de loi ne précise pas ce qui constitue une plainte valable, ni comment elle pourrait être portée devant la justice.
L'usage de ces pouvoirs doit être suivi, avec un rapport remis au Parlement tous les 12 mois . Il doit inclure le nombre de fois où chaque pouvoir a été utilisé, ainsi que le type d'infraction sur laquelle il a été utilisé pour enquêter. Les demandes volontaires n'ont pas besoin d'être suivies et présentées au Parlement, et des quantités importantes d’informations pertinentes restent confidentielles .
Les entreprises ne sont pas autorisées à informer les personnes concernées d'une demande d'accès à leurs données, ni à informer le public qu'une demande a été reçue. Ils sont autorisés à révéler le nombre de demandes qui ont été faites sur une période de six mois et s'il s'agit d'ordonnances obligatoires ou volontaires. Il est illégal pour toute partie de publier des informations spécifiques sur les demandes.
Même si le projet de loi prévoit une certaine surveillance, il n’est ni cohérent, ni transparent, ni présenté de manière formelle. Compte tenu des répercussions potentielles de ces demandes, un processus aussi souple est dangereux et pourrait conduire à des abus de pouvoir.
Les pouvoirs accordés par la législation sont trop étendus
L'un des principaux arguments utilisés pour vendre ce projet de loi au public était qu'il pourrait contribuer à prévenir des crimes tels que le terrorisme, la pornographie juvénile et d'autres infractions graves. Malgré cet étiquetage, le projet de loi couvre toute personne soupçonnée d'avoir commis un crime avec une peine maximale de trois ans ou plus, en vertu du droit australien ou international .
Cela inclut un éventail extrêmement large d'infractions, telles que la bigamie, passible d'une peine de sept ans, tout comme l'exploitation d'une opération de jeu illégale. Même quelque chose d’aussi marginal que l’utilisation illégale du bétail d’autrui est passible d’une peine maximale de trois ans.
Selon le libellé de la loi, les pouvoirs du projet de loi pourraient être utilisés dans ces trois enquêtes. Si le projet de loi était vraiment conçu pour cibler ceux qui commettent des infractions graves, pourquoi ne pas le limiter à eux seulement?
Répercussions sécuritaires du projet de loi Assistance & Accès
Le projet de loi sur l'assistance et l'accès pourrait avoir des ramifications de grande envergure en Australie et dans le monde. Étant donné que le projet de loi est si vague et que de nombreux processus sont confidentiels, nous ne pouvons pas être sûrs de la manière dont il a été utilisé jusqu’à présent ni de ce qui se passera à l’avenir.
Le mieux que nous puissions faire est de lire le texte tel qu’il est et d’examiner ce qui pourrait arriver. En raison de sa formulation vague, cela pourrait avoir un impact sur la sécurité mondiale et sur le secteur informatique dans son ensemble.
Le projet de loi pourrait-il briser le cryptage ?
L’une des plus grandes craintes concernant cette législation est qu’elle pourrait affaiblir la cybersécurité dans le monde. Vous avez peut-être entendu dire que le projet de loi pourrait être utilisé pour briser le cryptage, même si cette affirmation est plutôt inexacte.
En effet, lorsque les bonnes normes de chiffrement sont utilisées (telles que AES-256 ), et ils sont correctement mis en œuvre, ils ne peuvent pas être brisés avec la technologie et les techniques actuelles.
En effet, ils s’appuient sur les lois des mathématiques, et à moins qu’il y ait des bizarreries dont nous ignorons l’existence, ou que le gouvernement dispose d’une quantité inimaginable de puissance de calcul secrète, ce n’est tout simplement pas possible.
Prenons une application de messagerie comme Signal, qui est l’une des meilleures applications en matière de mise en œuvre efficace de la sécurité. Si le gouvernement frappe à la porte de Signal et lui demande de décrypter les messages d’une personne spécifique, l’organisation pourrait répondre : « Désolé, mais personne ici n’a accès à ces informations ».
C'est parce que, dans la plupart des cas, Signal n'a pas accès aux clés privées nécessaires pour déverrouiller les données.
Disons que le gouvernement a pointé un pistolet sur la tempe de Signal et lui a dit de faire tout ce qu’il peut pour l’aider. Signal devrait revoir complètement son application afin d’installer une porte dérobée, ce qui ne serait pas pratique à court terme.
Vraisemblablement, un tel acte ne serait ni raisonnable ni réalisable , mais impossible de savoir comment ces lois seront appliquées. Même si Signal remaniait son application et modifiait ses implémentations de sécurité, ils ne pourraient accorder l'accès qu'aux messages futurs et non à ceux du passé.
Ces messages passés seraient toujours chiffrés avec les clés secrètes de la cible, même si une telle refonte pourrait permettre aux autorités de retirer les clés de la cible.
Mauvaise sécurité existante
Toutes les applications ne sont pas conçues selon les normes de Signal, cet exemple est donc loin d'être universel. De nombreuses applications ont des implémentations de sécurité médiocres ou ne proposent pas leur code pour examen, nous ne pouvons donc pas vraiment savoir ce qui se passe sous le capot. Dans ces cas-là, les entreprises peuvent être en mesure de remettre les clés au gouvernement ou de créer des outils lui permettant d’accéder.
Faux clients
Le moyen le plus pratique pour les autorités de cibler les données d’un individu serait d’obliger une entreprise à créer une fausse version de leur application, puis la glisser sur l'appareil de la personne . Cela pourrait être fait soit en accédant physiquement à l’appareil, en incitant la personne à le télécharger, soit en envoyant une fausse « mise à jour » sur le téléphone de la cible.
Obtenir un accès physique au téléphone ou à l’ordinateur de quelqu’un peut être difficile, et l’envoi de fausses mises à jour n’est pas encouragé. En effet, les mises à jour sont essentielles pour sécuriser les vulnérabilités nouvellement découvertes.
S’il devient courant que les autorités utilisent des mises à jour pour espionner les gens, le public pourrait se méfier des mises à jour et pourrait ne plus les installer à l’avenir. Une telle attitude rendrait tout le monde bien moins sûr. Les Etats Unis' Conseil national de sécurité a déjà étudié cette option, mais l'a déconseillée, déclarant que :
« …son utilisation pourrait remettre en question la fiabilité des canaux de mise à jour logicielles établis. Les utilisateurs individuels, préoccupés par l'accès à distance à leurs appareils, pouvaient choisir de désactiver les mises à jour logicielles, ce qui rendait leurs appareils nettement moins sécurisés à mesure que le temps passait et que des vulnérabilités étaient découvertes mais non corrigées.
Quelle que soit la manière dont le gouvernement introduit un faux client sur l’appareil de quelqu’un, il pourrait alors l’utiliser dans le cadre d’une attaque de l’homme du milieu. Sous une attaque de l’homme du milieu, tout semble normal à la cible. Ils pensent communiquer directement avec les autres de manière sécurisée, mais en réalité, un attaquant se trouve entre eux.
Lorsque la cible envoie un message, celui-ci est d'abord transmis à l'attaquant, qui l'envoie ensuite au destinataire. Tout ce qui est renvoyé à la cible passe également par l'attaquant. Grâce à ce processus, l'attaquant collecte toutes les données entrantes et sortantes, y compris les clés et les messages privés .
Ce type d’attaque permettrait au gouvernement de voir presque tout ce que fait la cible. Il est également extrêmement improbable qu’il s’agisse d’une faiblesse systémique, car l’organisation n’introduit pas de vulnérabilité dans les logiciels que tout le monde utilise. il s'agit simplement de créer une fausse version pour la cible individuelle .
Il convient également de noter que les les logiciels espions existent déjà. Ces programmes peuvent être utilisés pour accéder aux données d’un individu dans une gamme de scénarios différents.
Si les autorités peuvent accéder physiquement aux appareils d’un individu ou l’inciter à les installer, elles peuvent capturer toutes les communications futures de la personne et découvrir les clés permettant de déverrouiller les données précédemment stockées. À cause de ça, le besoin de portes dérobées est plus limité que ce que beaucoup de gens pensent.
Système de clé principale
Une alternative qui pourrait donner au gouvernement accès à n’importe quel appareil de son choix peut être considérée comme une version numérique d’un passe-partout. Ce système électronique pourrait théoriquement donner aux autorités accès à tous les appareils.
Si les autorités disposaient de ce type de pouvoir sur tous les appareils, ce serait alors Il est essentiel de garder le passe-partout absolument secret. S’il tombait entre de mauvaises mains, les attaquants pourraient l’utiliser pour accéder à tout ce qu’ils voulaient. Cela plongerait le monde dans la tourmente.
Si un tel système de clé principale devait être construit, ce serait pratiquement impossible de garantir sa sécurité . Le système nécessiterait la mise en place de mesures d’authentification strictes pour empêcher tout accès non autorisé. Compte tenu de la valeur de la clé principale, il existe un risque énorme que les systèmes ou le personnel qui la contrôlait soient compromis lors d'attaques.
Construire un tel système constituerait également un énorme défi technique. Il devrait être suffisamment flexible pour s'adapter à chaque type d'appareil et d'ordinateur, et un énorme groupe de travail d'ingénierie serait nécessaire pour maintenir le système opérationnel chaque fois que ces appareils sont mis à jour. Il y aurait tout simplement trop de possibilités pour que des vulnérabilités passent entre les mailles du filet. .
Affaiblir indirectement la sécurité
Lors du développement d’un logiciel, il est courant de confiez-le à un testeur d’intrusion externe. Ce sont essentiellement les bons du hacking, qui sont payés pour sonder le code et voir s’ils peuvent trouver des vulnérabilités.
Faire appel à des tiers est une excellente approche pour la sécurité, car ils peuvent découvrir des problèmes que les personnes proches du projet n'ont pas remarqués. Mais le projet de loi sur l'assistance et l'accès a le potentiel de mettre un terme à ce processus .
Puisque nous n’avons pas de définition appropriée de ce que sont les faiblesses et les vulnérabilités systémiques dans le contexte juridique, nous devons supposer le pire si nous voulons être prêts à toutes les éventualités.
Disons que les autorités modifient d’une manière ou d’une autre la définition d’une faiblesse systémique et parviennent à forcer une entreprise à insérer une porte dérobée dans son logiciel. Si votre entreprise se trouvait dans cette situation, voudriez-vous envoyer le code à un auditeur externe qui le trouvera probablement ?
Comment l’expliqueriez-vous au testeur d’intrusion ? Selon la situation, votre organisation pourrait ne pas être en mesure de divulguer la porte dérobée demandée par le gouvernement.
Si le testeur d'intrusion a trouvé la porte dérobée et que votre entreprise a ignoré ses recommandations pour la corriger, le testeur d'intrusion peut finir par rendre publique la vulnérabilité et accuser votre entreprise de mettre ses utilisateurs en danger . Cela pourrait finir par être extrêmement préjudiciable à la réputation de votre organisation.
En suivant cette logique, les organisations qui ont été contraintes d’insérer des portes dérobées pourraient finir par éviter complètement les audits externes, pour éviter de se retrouver dans une situation aussi délicate. Ce serait dangereux, car cela signifie que de nombreuses autres vulnérabilités ne seraient pas détectées lors de ces contrôles de routine .
Cet effet dissuasif peut sembler tiré par les cheveux, mais des choses plus folles se sont produites, c'est pourquoi ces lois doivent être aussi strictes que possible pour éviter de tels scénarios les plus pessimistes.
Effets possibles sur l'industrie informatique
Non seulement les lois sont susceptibles d’affaiblir la sécurité, mais leur flou peut également avoir un effet sur les entreprises et la main-d’œuvre. En fait, certaines entreprises australiennes ont déjà été touchées financièrement, car les clients craignent que leurs produits et services ne soient compromis.
Effets sur les grandes entreprises
À ce stade, le mieux que nous puissions faire est de spéculer, car nous ne savons pas avec quelle agressivité ces lois seront appliquées. Nous ne le saurons peut-être jamais en raison de la stricte confidentialité qui entoure leur délivrance.
Si une demande déraisonnable est adressée à l’un des géants de la technologie, il est probable qu’il aura le pouvoir et les ressources nécessaires pour la combattre et contourner la loi. Ils peuvent refuser de s'y conformer, comme Apple l'a fait dans son affaire contre le FBI concernant l'iPhone de l'un des auteurs de la fusillade de San Bernardino en 2015
Si ces grandes entreprises craignaient d'être affectées par la loi, elles pourraient essayer de se protéger en s'assurer qu'aucun développement n'est réalisé en Australie, éviter le stockage de données à l'intérieur des frontières du pays ou refuser d'embaucher des Australiens si les lois s'étendent aux Australiens basés à l'étranger. Si tel était le cas, cela pourrait avoir un impact très négatif sur la main-d’œuvre informatique australienne.
Dans un scénario extrême, les entreprises pourraient finir par refuser de faire des affaires en Australie et retirer leurs produits et services du marché. Cela semble très peu probable, car cela aurait d’énormes conséquences. Malgré cela, ce n’est pas totalement imprévisible, étant donné que Google a déjà a retiré son moteur de recherche du marché chinois en raison de problèmes avec le gouvernement chinois.
Effets sur les petites entreprises
Même si les grandes entreprises peuvent utiliser leur pouvoir et leurs ressources pour contourner toute demande du gouvernement, cette voie pourrait ne pas être viable pour les petites organisations. Ces entreprises n’ont peut-être pas les fonds nécessaires pour mener une bataille juridique et pourrait être intimidé et poussé à céder par le gouvernement australien .
Les lois sont si vagues que les entreprises ne connaissent pas leurs droits ni si elles peuvent faire appel. Cela pourrait conduire le gouvernement abuser de son pouvoir contre les petites entreprises ou les forcer à mettre en œuvre des modifications dangereuses et déraisonnables dans leurs logiciels . Les exigences strictes de confidentialité empêcheraient également ces entreprises de rendre publiques leurs demandes.
Effets sur les entreprises australiennes
Plusieurs entreprises informatiques australiennes ont déjà été lésées par la réglementation. Bron Gondwana , le PDG du fournisseur australien d'hébergement de messagerie FastMail a déclaré : « Nous avons vu des clients existants partir et des clients potentiels aller ailleurs, citant ce projet de loi comme raison de leur choix. Les clients nous demandent [aussi] régulièrement si nous prévoyons de déménager ».
Atlassian, la plus grande entreprise technologique d'Australie, a vu son prix de l'action tomber au moment de l’adoption du projet de loi, bien qu’il ne soit pas possible de confirmer si les deux événements étaient liés. « Nous devons reconnaître que cette loi menace l'emploi », a déclaré le co-PDG d'Atlassian. Scott Farquar .
Senetas, une société australienne de cryptage, s'attend également à être affectée négativement par la loi. 'Dans la forme actuelle, et si elle n'est pas modifiée, cette législation obligera notre entreprise à se délocaliser', a déclaré son président non exécutif. Francis Galbally .
Autres dangers du projet de loi Assistance & Accès
Le projet de loi d'assistance et d'accès couvre bien plus que ce que les autorités peuvent exiger des entreprises. Il comprend également un certain nombre de changements au système de mandat. Certaines d’entre elles semblent raisonnables, compte tenu de l’évolution de la technologie et des exigences changeantes imposées aux organismes d’application de la loi pour être efficaces dans leur travail. D’autres aspects constituent des dépassements inutiles susceptibles de porter atteinte à la vie privée des personnes.
Cela pourrait violer la vie privée de tiers
L’une de ces mesures est la disposition qui permet aux forces de l’ordre de pénétrer dans les locaux de tiers ou d’accéder aux systèmes numériques de tiers au cours de l’exécution d’un mandat. Il existe certainement des situations où cela constituerait une ligne de conduite raisonnable. Disons qu’une attaque terroriste est en cours et que le moyen le plus sûr pour les autorités d’y mettre fin est d’entrer par un autre bâtiment.
Un autre exemple pourrait concerner un enfant qui court un risque extrême d'être blessé, et l'accès au réseau ou à l'ordinateur d'un tiers pourrait être le meilleur moyen de sauver l'enfant.
Le problème est que ces pouvoirs ne se limitent pas à de tels scénarios spécifiques et peuvent être utilisés chaque fois qu’un juge le juge « approprié ». Étant donné que la loi couvre même des aspects tels que l’ajout, la copie, la suppression ou la modification de données sur des ordinateurs tiers, son utilisation pourrait facilement conduire à des violations inutiles de la vie privée.
Presque tout le monde conviendra que dans certaines circonstances, comme dans les cas ci-dessus, il est raisonnable de passer outre aux droits à la vie privée d’un tiers. Toutefois, leur utilisation devrait être limitée aux seules occasions où les pouvoirs sont absolument nécessaires pour prévenir un préjudice grave.
Obliger les individus à renoncer à leurs mots de passe
Le projet de loi comprenait des mises à jour du Loi sur les dispositifs de surveillance (SD) et le Loi ASIO . Les changements apportés au Loi sur le DD permettre aux forces de l'ordre de demander assistance ordres d'un juge. Ces commandes peuvent être utilisées pour obliger les individus à fournir toute information « raisonnable et nécessaire » afin que les autorités puissent « accéder, copier, convertir ou rendre intelligibles » toutes les données couvertes par un mandat.
Ces ordonnances peuvent forcer les gens à remettre leurs mots de passe, leurs données biométriques ou leur connaissance de tout système et appareil pertinent . Ils ne ciblent pas seulement la personne soupçonnée d’un crime, mais peuvent également couvrir ses associés, les propriétaires des appareils en question, les administrateurs système et ceux qui ont utilisé les appareils.
Ne pas se conformer à ces demandes en vertu de la loi DD peut conduire à jusqu'à 10 ans d'emprisonnement et une amende de 126 000 A$ (88 212 US$) .
De la même manière, les modifications apportées à la loi ASIO permettent au directeur général de demander au procureur général d'obliger les individus à fournir le même type de données. Refuser de se conformer peut conduire à jusqu'à 5 ans de prison, ou une amende de 63 000 A$ (44 106 US$) . L’un des plus gros problèmes liés aux nouveaux pouvoirs conférés par la loi ASIO est qu’il n’y a pas de contrôle judiciaire : les autorités n’ont jamais besoin de s’adresser à un juge pour obtenir l’autorisation.
Il convient de noter que ces pouvoirs peuvent être utilisés dans le cadre d’enquêtes sur tout crime passible d’une peine maximale de trois ans ou plus. Il semble brutal que quelqu'un qui refuse d'obtempérer pourrait potentiellement aboutir à une peine supérieure à la peine prévue pour le crime initial .
Cela est particulièrement inquiétant lorsqu’il existe des raisons légitimes de confidentialité pour ne pas vouloir divulguer des mots de passe ou des données biométriques. Étant donné que les lois peuvent également être utilisées contre les administrateurs système et autres, les personnes qui n'ont commis aucun autre crime pourraient finir par subir de lourdes sanctions.
Il convient également de considérer que ces lois pourraient être en conflit avec le privilège de ne pas s’auto-incriminer . À ce stade, les droits de l’individu en matière de cryptage n’ont pas été testés en vertu de la loi australienne. Nous ne savons donc pas si obliger quelqu’un à communiquer son mot de passe peut être considéré comme une auto-incrimination.
Une fois de plus, ces lois sont exceptionnellement larges et de nombreux aspects sont mal définis. En raison du manque de définitions et de surveillance appropriées, nous ne pouvons pas être sûrs de leur impact dans le monde réel.
Le projet de loi sur l'assistance et l'accès a été adopté à la hâte sans examen approprié
Ce ne sont pas seulement les lois elles-mêmes qui sont controversées, mais aussi la manière dont elles ont été adoptées. Un projet de loi a été publié pour la première fois en août 2018. Dès sa publication, il a suscité de nombreuses critiques de la part de l'industrie technologique, des groupes de protection de la vie privée et des citoyens. Le projet était ouvert aux commentaires du public et 343 soumissions ont été faites.
Parmi eux, un seul était favorable à la réglementation. Les autres, soit exigeaient des révisions, soit étaient totalement contre le projet de loi. Malgré la cascade de désapprobations, le projet final de loi n’a pratiquement fait l’objet d’aucun examen minutieux.
Le dernier jour de séance avant Noël, une version révisée du projet de loi a été présentée au Parlement. Il contenait 173 amendements, mais les membres n’avaient pratiquement pas le temps de les examiner.
Bien que ceux-ci comportent certains changements positifs, le nouveau projet de loi néglige toujours toutes les questions mentionnées dans cet article. Malgré ces graves problèmes, le projet de loi sur l’assistance et l’accès a été adopté à la hâte à la Chambre et au Sénat après que le parti d’opposition ait cédé.
La raison officielle était que les lois devaient être adoptées en toute hâte pour empêcher d’éventuelles attaques terroristes pendant les vacances. C’était une affirmation particulièrement douteuse, puisque l’Australie dispose déjà d’une multitude de lois antiterroristes.
Si les autorités avaient besoin de nouvelles capacités pour forcer les entreprises à construire des portes dérobées, cela devrait également être considéré avec scepticisme. Depuis que les lois ont été adoptées le 6 décembre, il est peu probable qu’une entreprise ait été en mesure de fournir les outils nécessaires avant Noël.
De plus, l'ASIO, l'agence d'espionnage australienne, a reconnu qu'il y avait pas de menace spécifique sur la période, et elle n’a pas relevé son niveau d’alerte.
Le résultat de ce processus est que le projet de loi n’a pas pris en compte les recommandations de la majorité des présentations et n’a pas non plus été soumis à un niveau approprié d’examen et de débat parlementaire. Le résultat est un gâchis juridique qui aurait pu de graves conséquences sur l'Australie, ses sociétés informatiques et la sécurité mondiale.
Le projet de loi a été renvoyé à la Commission parlementaire mixte sur le renseignement et la sécurité, qui l'a examiné, puis l'a envoyé à l'Observateur indépendant de la législation sur la sécurité nationale (INSLM), le Dr James Renwick, pour examen. À ce stade, on ne sait pas si l’examen entraînera des changements.
Comment le projet de loi d'assistance et d'accès affectera-t-il l'Australie et le monde ?
Le projet de loi sur l’assistance et l’accès est un long texte législatif comportant un certain nombre de zones grises. Parce que les aspects clés du texte ne sont pas clairs, il est difficile de savoir comment ces lois seront appliquées et quels seront leurs effets . Les éléments clés sont également soumis à une grande confidentialité, de sorte que nous ne saurons peut-être jamais exactement comment ils sont appliqués.
Le principal problème du projet de loi est le manque de clarté, de transparence et de surveillance . Étant donné que certaines parties de la loi sont si mal définies, bon nombre de ceux qui seront touchés par le projet de loi ont supposé les pires scénarios, dont nous avons consacré une grande partie de cet article à discuter.
À ce stade, il semble que seules les circonstances les plus extrêmes pourraient conduire à ce que les lois compromettent la sécurité à l’échelle mondiale. Malgré cela, ils ont déjà provoqué d’importantes tensions entre les entreprises technologiques et le gouvernement australien. Les entreprises technologiques australiennes ont déjà été touchées, et qu’en est-il des travailleurs de l’industrie informatique australienne ? Difficile de savoir ce qui va leur arriver.
Il est possible que les lois soient abrogées ou modifiées, mais comme pour beaucoup de choses liées à cette législation, nous ne le savons tout simplement pas.