Skip to main content

Protéger la sécurité en ligne et les droits des utilisateurs

Un nouveau jeu interactif illustre l’importance du cryptage des données

© 2018 Tanawat Sakdawisarak for Human Rights Watch
 

(New York) – Human Rights Watch a diffusé aujourd’hui un jeu en ligne interactif afin d’aider les gens à mieux comprendre l’importance du cryptage des données pour la sécurité de tous à l’ère numérique. Ce jeu interactif, intitulé « Everyday Encryption » (« Cryptage de données au quotidien »), illustre la manière dont ces techniques peuvent protéger les gens dans la vie quotidienne.

Les entreprises technologiques et les groupes non gouvernementaux s'appuient sur des techniques de cryptage pour sécuriser les données sensibles ciblées par des acteurs malveillants. Mais en même temps, de nombreux gouvernements soutiennent que le cryptage de données limite leurs propres techniques de surveillance, ce qui  « assombrit » leur capacité à enquêter sur des crimes et à surveiller les menaces terroristes potentielles. Le 6 décembre 2018, le Parlement australien s'est empressé d'adopter la loi sur l'assistance et l'accès (Assistance and Access Bill) afin de faciliter l'accès à des données cryptées. Cependant, des experts en cybersécurité ont averit que de telles mesures risquent d’affaiblir les mesures de sécurité employees tous les jours par les utilisateurs, en Australie et ailleurs dans le monde.

« Le cryptage de données aide à mettre à l’abri des regards indiscrets nos transactions en ligne, nos informations personnelles, nos photos privées et nos communications sensibles », a déclaré Cynthia Wong, chercheuse senior sur l'Internet et les droits humains à Human Rights Watch. « Mais la façon dont fonctionnent ces systèmes de défense techniques est parfois opaque. C’est pourquoi nous espérons que les gens qui joueront à ce jeu en sauront davantage sur l’importance du cryptage pour leur sécurité. »

A choose-your-own-adventure style game where the player is asked to guide a character in making choices about how she communicates or manages her data.

Dans ce jeu interactif basé sur le concept « Choisissez votre aventure »,  le joueur est invité à téléguider sur son écran un personnage qui doit faire des choix sur sa façon de communiquer ou de gérer ses données. Le jeu, qui dure une quinzaine de minutes, renvoie les utilisateurs vers des ressources permettant d’approfondir leurs connaissances sur la sécurité numérique et le débat sur les politiques de cryptage.

Le cryptage brouille les données de telle sorte qu’elles ne sont lisibles que par ceux qui possèdent la « clé » de déchiffrement. Les institutions financières, les services de stockage de fichiers en ligne, les fabricants de téléphones et d’ordinateurs portables ainsi que d’autres entreprises utilisent régulièrement le cryptage pour protéger les données personnelles des gens face aux cybercriminels et voleurs d’identité. Les sites web soutiennent de plus en plus le cryptage, par exemple via le protocole Hyper Text Transfer Protocol Secure (HTTPS), pour aider à dissimuler les habitudes de navigation des utilisateurs face aux organes étatiques et aux autres acteurs qui pourraient surveiller leurs réseaux. Par ailleurs, les applications de messagerie comme WhatsApp, Signal et iMessage cryptent les messages instantanés de bout en bout, de telle façon que le fournisseur de l’application ne conserve pas les codes de cryptage et ne peut pas lire les messages envoyés par les utilisateurs.

Le jeu interactif, conçu pour Human Rights Watch par Rebecca Ricks, titulaire de la bourse Open Web Ford-Mozilla 2017-2018, montre en quoi le cryptage protège les gens au quotidien – lorsqu’ils surfent sur Internet depuis la Wi-Fi d’un café, par exemple – et ce qu’il peut advenir si le chiffrement intégré aux appareils ou logiciels est affaibli délibérément. Le jeu démontre également en quoi le cryptage contribue à protéger les personnes qui font souvent l’objet d’une surveillance disproportionnée, comme les activistes, les minorités ethniques ou encore les survivantes de violences familiales qui veulent échapper à leurs agresseurs.

Dans plusieurs pays, les responsables ont commencé à exiger que des sociétés comme Apple, WhatsApp ou Telegram intègrent à leurs services des failles de sécurité intentionnelles, dites « backdoors » (« portes dérobées »), afin que les organismes de sécurité puissent accéder aux données cryptées. Mais cette approche rendrait le cryptage moins efficace pour tout le monde et les particuliers seraient moins en sécurité.

En septembre 2018, des responsables des forces de l’ordre appartenant à l’alliance de renseignement Five Eyes – un groupe comprenant l’Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis – a averti que si les sociétés ne facilitaient pas volontairement l’accès aux données chiffrées, ces pays « pourraient prendre des mesures, notamment technologiques, policières et législatives » pour les forcer à le faire.

La nouvelle loi à vaste portée adoptée en Australie permettra aux agences de sécurité   d’ordonner aux entreprises technologiques de prendre des mesures selon des critères vaguement définis, afin de permettre l’accès à des données cryptées, sans contrôle judiciaire adéquat ni autres garanties essentielles.

 

Ces pouvoirs élargis pourraient, par exemple, permettre aux autorités d’obliger Apple et WhatsApp à envoyer aux utilisateurs de fausses informations sur des mises à jour, qui permettraient de contourner les mesures de cryptage, d’ajouter secrètement des tiers à leurs conversations ou d’enregistrer en direct des communications téléphoniques.

 

La loi récemment adoptée en Australie s’inspire de la loi britannique appelée Investigatory Powers Act, qui exige de façon similaire que les sociétés introduisent potentiellement des failles intentionnelles dans leurs procédés de cryptage. Aux États-Unis, les responsables des forces de l’ordre  continuent à appeler à mettre en place une législation anticryptage, alors qu’ils ont été critiqués pour avoir surévalué les problèmes que le cryptage pose aux enquêtes policières. Le FBI avait déjà tenté de forcer Apple à surmonter les mesures de sécurité intégrées aux iPhones afin de casser le chiffrement qui protège les données utilisateur. Les autorités étaient alors en train d’enquêter sur les individus présumés responsables de la fusillade de 2015 à San Bernardino en Californie. Elles ont finalement retiré l’ordonnance judiciaire car elles ont réussi à accéder aux données du téléphone sans l’aide d’Apple, à travers un groupe tiers.

En avril, l’agence russe de surveillance des médias et des télécommunications, Roskomnadzor, a réussi à obtenir une décision de justice ordonnant de bloquer Telegram, au motif que la société n’avait pas fourni ses codes de chiffrement au Service fédéral de sécurité en vertu de la législation antiterroriste adoptée en 2016. Roskomnadzor a ensuite bloqué des millions d’adresses de protocole Internet dans l’objectif de couper à Telegram tout accès au pays, ce qui a largement perturbé l’accès à des sites web et des services qui n’avaient rien à voir. L’Iran, lui aussi, a bloqué Telegram en mai, et la Chine a adopté une loi similaire sur la cybersécurité qui, si elle était largement interprétée, pourrait exiger que les sociétés installent des backdoors ou qu’elles cessent d’utiliser le cryptage de bout en bout. En avril 2017,  le gouvernement chinois a présenté un projet de loi sur le cryptage qui, s’il était adopté, pourrait durcir les exigences en matière de backdoors et restreindre l’usage du cryptage à des produits nationaux approuvés à l’avance.

Les efforts des États pour affaiblir le cryptage mettront les utilisateurs en danger et porteront atteinte à leurs droits. Même si les fabricants de logiciels ne conservent pas les codes de cryptage, l’opinion quasi universelle parmi les experts en cybersécurité est qu’il est impossible de concevoir une backdoor pour un gouvernement donné qui n’exposera pas tous les utilisateurs à ceux qui voudraient essayer de découvrir cette vulnérabilité à des fins malveillantes.

Les États répressifs pourraient exploiter les backdoors pour identifier les « perturbateurs » et les jeter en prison, tandis que les cybercriminels pourraient les chercher afin de dérober des données servant aux vols d’identité et aux fraudes à la carte bancaire. Même d’anciens responsables du renseignement des Five Eyes et d’Europol ont averti que porter atteinte au cryptage pourrait avoir des conséquences graves et généralisées qui affaibliront la cybersécurité de manière générale.

« Le débat au sujet des backdoors ne doit pas se résumer à une dialectique entre la vie privée et la sécurité, mais plutôt entre une sécurité insuffisante et une sécurité de base pour tous », a conclu Cynthia Wong. « Si les États doivent vider le cryptage de sa substance dans la technologie que nous utilisons tous les jours, alors le public a le droit de savoir exactement dans quelle mesure cela nuira à sa sécurité, en ligne et hors ligne. »

-----------------------

Tweets

Your tax deductible gift can help stop human rights violations and save lives around the world.