« Responsible encryption », chiffrement responsable, l’expression nous vient de gouvernements et d’élus (américains) quoi demandent à ce que les organisations qui cryptent les données créent également une clé secrète, autrement dit une backdoor !

D’un côté, il y a les responsables gouvernementaux que l’on imagine bien informés des problématiques de cybersécurité et qui invitent les organisations à crypter les données. De l’autre, il y a les représentants de nombreux gouvernements qui ont du mal à accepter l’importance et la nécessité de chiffrer les données… et pour qui il est plus important de permettre aux autorités d’accéder aux données que d’apporter une nouvelle menace !

Le chiffrement responsable

La « Responsible encryption » consiste à demander aux organisations qui pratiquent la cryptographie de créer une clé secrète, en fait une ‘backdoor’ – une porte dérobée dans un logiciel qui permet d’y accéder en dehors des procédures d’authentification et généralement à la barbe de l’utilisateur -, afin de pouvoir lire le code et la donnée.

Pour les tenants de cette pratique, qui semble séduire beaucoup de gouvernements, la démarche est ‘responsable’ car l’entreprise garde les communications privées, tandis que le gouvernement concerné dispose d’un accès. « Le chiffrement responsable peut protéger la vie privée et promouvoir la sécurité sans renoncer à disposer d’un accès pour les besoins légitimes liés à l'application des lois à la demande du judiciaire », a ainsi déclaré Rod Rosenstein, US Deputy Attorney General.

Une pratique qui laisse perplexe…

Les experts en cybersécurité se montrent sceptiques quant à la pratique du chiffrement responsable. C’est même pour certains d’entre eux une idée effrayante susceptible de permettre aux hackeurs mafieux qui n’en demandent pas tant de profiter d’une porte dérobée pour perpétrer leurs activités criminelles. D’ailleurs, rien ne dit qu’une loi imposant la « Responsible encryption » va arrêter les cybercriminels !

N’en déplaise aux tenants de ce projet, placer une porte dérobée dans une solution logicielle n’est jamais une ‘bonne’ idée ? D’ailleurs, selon une étude de Venafi :

  • 91% des professionnels de la sécurité croient que les cybercriminels pourraient tirer profit des backdoors de chiffrement mandatées par le gouvernement.
  • 72% ne croient pas que les backdoors de chiffrement rendraient leurs nations plus sûr contre le terroristes.

Quant à la ‘responsabilité’ évoquée dans le discours, c’est tout simplement un vœu pieux…

Qui est (ir)responsable ?

La simple idée que des politiques et des responsables gouvernementaux puissent proposer et chercher à imposer des backdoors dans le code des solutions informatiques démontre le décalage de ces derniers avec la réalité des menaces, des cybercriminels, et du monde de la cybersécurité. Si la Loi venait à l’imposer, les gouvernements qui la supportent seraient les porteurs d’une nouvelle menace.

Et comment responsabiliser les développeurs, les responsables sécurité et les dirigeants des entreprises si on laisse dans les environnements cryptés une porte ouverte qui est une invitation au piratage ? Autrement-dit peut-on rendre DSI et RSSI responsables d’une pratique imposée qui est une menace sur le chiffrement et sur nos SI ? Il serait temps d’éduquer nos représentants sur les dangers des cybercriminels et des backdoors…

Image d’entête 639939578 @ iStock Teerapol24