Le contrôle d’internet par les gouvernements et les solutions de ZENData

Le contrôle d’internet par les gouvernements et les solutions de ZENData

Nous disons souvent qu’un grand pouvoir implique de grandes responsabilités ; peut-on donc en déduire que des grandes responsabilités impliquent un grand pouvoir ? Les gouvernements à travers le monde semblent suivre cette règle, en utilisant leur influence et autorité pour contrôler, limiter et diriger internet et les technologies digitales.

ZENData vous présente les démarches effectuées par un nombre de gouvernements et vous en explique les risques et conséquences. Ensuite, nous vous présenterons notre avis sur comment approcher cette problématique.

France et Royaume-Uni

Lors d'une réunion à Paris le 13 juin dernier, le Premier ministre britannique May et le président français Macron ont accepté une initiative conjointe Royaume-Uni / France visant à garantir qu'internet ne deviendra pas un « refuge pour les terroristes et les criminels ». 

Essentiellement, ils constatèrent que, malgré les efforts des entreprises visant l'élimination de contenu extrémiste et terroriste sur le Net, l'industrie doit recentrer ses efforts en vue d’identifier de manière proactive et d’empêcher la mise à disposition de contenu interdit sur ses plates-formes, avant même sa publication. 

La mise en place d’outils proactifs, tels que ceux demandés par la France et le Royaume-Uni, est la prémisse pour un état de censure. Il est certes nécessaire d’empêcher le recrutement de terroristes sur internet et de bloquer les discours haineux ; toutefois, les outils automatisés pour détecter et éliminer ce contenu peuvent très facilement être convertis en dispositifs empêchant la liberté d’expression et soutenant un état totalitaire.

Imaginons que Facebook, afin de se conformer à cette initiative, introduise un système pour détecter et bloquer automatiquement le contenu poussant au recrutement terroriste : la Chine pourrait ensuite imposer facilement à Facebook d’utiliser cette même technologie pour bloquer tout contenu anti-gouvernemental, limitant ainsi la liberté d’expression sur son territoire.
Avec internet, les technologies n’ont plus de frontières et une fonctionnalité installée dans Facebook ou WhatsApp pour un pays pourra ensuite être appliquée dans le monde entier.
 

Russie

En septembre 2015, la Russie a passé une loi obligeant la domiciliation en Russie de toutes les données de ses citoyens. En vue d’abolir l’anonymat sur internet, en 2016, une loi additionnelle a été votée imposant aux VPN et ISP de conserver toutes les données et activités de leurs abonnés.

Une nouvelle loi, qui sera applicable à partir de 2018, impose l’identification (par numéro de téléphone) de toute personne utilisant des outils de « messagerie », l’abolition de VPN et l’obligation bloquer dans les 3 jours un service web qui aurait été banni par le gouvernement. 

La Russie est aussi très active dans la désanonymisation de sites spécifiques. Par exemple, dès le début de cet été, pour visiter PornHub (plus grand site pornographique au monde), un visiteur russe doit s’authentifier avec son compte VKontakte (réseau social russe), lequel requière un numéro de portable pour s'enregistrer, et ce dernier n’est disponible qu’avec un passeport. Tout ceci permet donc au gouvernement d’établir une connexion entre PornHub et l’identité réelle du visiteur. 

L’anonymat est un facteur essentiel pour les journalistes et les opposants en Russie, où l’opposition au gouvernement peut porter des conséquences dramatiques. En enlevant toute option d’anonymat sur internet, la Russie bloque effectivement toute liberté d’expression.
 

Japon

De l’autre côté du globe, le Japon prépare sa sécurité autour des JO 2020. Le gouvernement vient de passer une loi autorisant les forces de l’ordre d’arrêter une personne lors de la planification d’une attaque. En vertu de cette loi, des groupes terroristes ou des organisations criminelles pourraient être inculpés pour la planification de plus de 270 crimes différents, allant de l'incendie criminel à la violation du droit d'auteur. Les critiques de cette législation soutiennent qu’elle est vague et pourrait conduire à la suppression des libertés civiles et à une surveillance excessive de la part de l'état. On peut imaginer qu’une personne soit poursuivie pour avoir téléchargé uTorrent, car c’est un logiciel pouvant être utilisé pour télécharger des films piratés. 
 

Australie

Le grand débat sur le cryptage, dont nous avons déjà parlé plusieurs fois sur ce blog, continue. Le Premier ministre australien a affirmé que les compagnies de communication digitale sont dans l’obligation d’aider les forces de l’ordre lors de l’exécution de leurs mandats, et que les lois australiennes surpassent les lois des mathématiques ; autrement dit, en Australie la cryptographie devra se plier aux lois. Hormis l’absurdité de ces remarques, il est évident que si certains cryptages (incassables) devaient devenir illégaux en Australie, les compagnies qui se conforment à la loi ne pourraient plus jouir de la confidentialité de leur communication, mais des organisations criminelles et terroristes correctement informées arriveront toujours à cacher leurs échanges.

Ces quelques exemples récents montrent une réelle initiative de la part des gouvernements pour reprendre le contrôle sur les outils digitaux. On y découvre clairement un manque de compréhension entre les compagnies Tech et les gouvernements, concernant leurs buts, responsabilités et envies. Ce manque de communication va faire grandir l’écart entre ces deux partis et polariser chacun d’entre eux.

Le point de vue de ZENData

À notre avis, il y a plusieurs éléments à prendre en compte pour trouver un terrain d’entente :

  1. Donner les outils et aider les gouvernements à réaliser leur travail.
  2. Sauvegarder la qualité de services et la sécurité des produits
  3. Encourager les compagnies Tech à trouver un terrain d’entente avec les gouvernements, pour qu’aucune loi unilatérale, non rationnelle et nuisible aux citoyens ne soit décrétée.
  4. Exiger que les constructeurs et développeurs se conforment aux lois en vigueur dans leurs pays. 

Les gouvernements sont responsables de la protection de leurs citoyens. Ainsi, en cas de mandat de perquisition, les forces de l’ordre ont le droit de fouiller les lieux privés dans les limites fixées par la loi. Dans le monde Tech, actuellement, l’obtention de renseignements ne suit pas les contraintes juridiques.

Les compagnies Tech sont extrêmement lentes, et prennent parfois plusieurs mois, voire années, pour transmettre les informations requises par un mandat, surtout dans le cas d’un mandat international (par exemple la police genevoise qui voudrait accéder aux données WhatsApp d’un suspect). Il faudrait donc que les mandats de perquisition puissent être appliqués efficacement à travers différentes juridictions et pays grâce à des protocoles de collaboration internationale incluant les compagnies Tech.

ZENData a toujours été en faveur d’une application correcte de la cryptographie et du droit à la protection des communications. Il faut noter que jusqu’il y a 8 ans la majorité de nos communications sur internet était non cryptée : les messages sur Facebook, Twitter, etc. pouvaient facilement être interceptés par une personne tierce ou un criminel.  Actuellement, la majorité de nos outils de communication (WhatsApp, Signal, etc.) mettent en place des protocoles identifiés avec du « forward secrecy », permettant de protéger les communications des regards indiscrets ; ceci empêche aussi la surveillance de la police et des forces de l’ordre. 

Aujourd’hui, il serait techniquement très difficile de rendre les protocoles de cryptage actuel illégaux et ceci n’aurait que très peu d’effet. La solution ne se trouve donc pas dans les algorithmes mathématiques ni dans la diminution de nos outils de cryptage, car nous ne pouvons pas désinventer ce qui existe.

La solution, à notre avis, est la mise en place d’une collaboration entre les forces de l’ordre et les compagnies Tech, sans casser la cryptographie actuelle et ne mettant pas en péril, de façon systématique, la confidentialité de nos échanges. L’accès à ces derniers pourrait être donné en cas d'un mandat. Par exemple, WhatsApp pourrait rajouter, de façon transparente, une clef de cryptage supplémentaire dans une communication soumise à un mandat afin de le rendre lisible pour les forces de l’ordre ; ou bien WhatsApp pourrait activer le backup des messages (qui sont non cryptés) dans le cloud à l’insu de l’utilisateur, pour ensuite les transmettre aux forces de l’ordre. Apple pourrait forcer une mise à jour spécifique pour un utilisateur visé par les forces de l’ordre afin enregistrer toutes ses activités. Ces exemples ne sont pas techniquement compliqués à mettre en place, mais demandent une bonne organisation et des protocoles clairement définis. Toutefois n’augmentant pas les chiffres d’affaires des compagnies Tech, elles ne sont pas pressées de les implémenter. L’initiative devrait donc venir du côté des gouvernements ; des experts juridiques, en cryptographie, en protection de la vie privée et en criminologie devront définir collectivement l’implémentation de ces outils.

Il y a certes une très grande crainte que les gouvernements abusent de leurs pouvoirs lors de la mise à disposition de ces outils : nous voulons que le FBI puisse récupérer les données sur un iPhone d’un terroriste, mais nous ne voulons pas que la Chine puisse accéder aux données d’un dissident. Toutefois, il n’incombe pas aux compagnies Tech de choisir comment appliquer une loi une fois les outils mis en place (c’est souvent pour cela que ces compagnies refusent toute discussion). Leur seule alternative devrait se limiter à refuser de vendre ou distribuer leurs produits dans les pays qui ont des lois non conformes à l’éthique de la compagnie. C’est par son positionnement moral, et non pas économique, qu’est défini le code déontologique d’une entreprise.
 
Reprenons l’exemple de Apple : la compagnie a refusé de collaborer avec le FBI pour décrypter le téléphone du terroriste de San Bernardino, lorsqu’elle en avait l’obligation légale et les capacités techniques. En revanche, Apple construit maintenant un datacenter en Chine, conforme à la loi chinoise : le stockage des données des Chinois sur leur territoire n’est pas dans l’intérêt direct des citoyens chinois. Toutefois, Apple a fait un choix économique impliquant un investissement de plus d’un milliard de dollars et lui permettant de vendre ses produits en Chine, plutôt qu’un choix moral préservant les intérêts des utilisateurs. 
 

ZENData se positionne du côté de la loi et des forces de l’ordre, tout en encourageant le respect de la protection des données et de la sphère privée. Notre démarche est toujours éthique et dans les limites fixées par les lois.

Tout comme nous, les compagnies Tech se doivent de respecter les lois locales. Ainsi, il leur incombe de mettre en place des outils permettant aux forces de l’ordre, au cas par cas, de récupérer des informations sur les personnes suspectes.  Les choix économiques ne doivent toutefois pas leur faire oublier le positionnement éthique de leur compagnie : dans le cas de conflit moral, au lieu de se plier à des lois locales ne correspondant pas à leur code déontologique, les compagnies devraient défendre leurs identités et leurs valeurs en refusant de s’implanter dans ces pays ou d’y distribuer leurs produits. 
Pour conclure, ZENData affirme qu’il est possible d’avoir des outils de communication qui sauvegardent l’intérêt des pays autant que la vie privée des utilisateurs. Dans ce but, les gouvernements doivent collaborer avec les compagnies Tech, faire des concessions et atteindre un compromis pour arriver à une solution commune où les compagnies Tech pourront évoluer sans enfreindre les lois, tout en préservant leur code déontologique. 
 

France et Royaume-Uni

Lors d'une réunion à Paris le 13 juin dernier, le Premier ministre britannique May et le président français Macron ont accepté une initiative conjointe Royaume-Uni / France visant à garantir qu'internet ne deviendra pas un « refuge pour les terroristes et les criminels ».
Essentiellement, ils constatèrent que, malgré les efforts des entreprises visant l'élimination de contenu extrémiste et terroriste sur le Net, l'industrie doit recentrer ses efforts en vue d’identifier de manière proactive et d’empêcher la mise à disposition de contenu interdit sur ses plates-formes, avant même sa publication.
La mise en place d’outils proactifs, tels que ceux demandés par la France et le Royaume-Uni, est la prémisse pour un état de censure. Il est certes nécessaire d’empêcher le recrutement de terroristes sur internet et de bloquer les discours haineux ; toutefois, les outils automatisés pour détecter et éliminer ce contenu peuvent très facilement être convertis en dispositifs empêchant la liberté d’expression et soutenant un état totalitaire.

Imaginons que Facebook, afin de se conformer à cette initiative, introduise un système pour détecter et bloquer automatiquement le contenu poussant au recrutement terroriste : la Chine pourrait ensuite imposer facilement à Facebook d’utiliser cette même technologie pour bloquer tout contenu anti-gouvernemental, limitant ainsi la liberté d’expression sur son territoire.

Avec internet, les technologies n’ont plus de frontières et une fonctionnalité installée dans Facebook ou WhatsApp pour un pays pourra ensuite être appliquée dans le monde entier.

Russie

En septembre 2015, la Russie a passé une loi obligeant la domiciliation en Russie de toutes les données de ses citoyens. En vue d’abolir l’anonymat sur internet, en 2016, une loi additionnelle a été votée imposant aux VPN et ISP de conserver toutes les données et activités de leurs abonnés.

Une nouvelle loi, qui sera applicable à partir de 2018, impose l’identification (par numéro de téléphone) de toute personne utilisant des outils de « messagerie », l’abolition de VPN et l’obligation bloquer dans les 3 jours un service web qui aurait été banni par le gouvernement.

La Russie est aussi très active dans la désanonymisation de sites spécifiques. Par exemple, dès le début de cet été, pour visiter PornHub (plus grand site pornographique au monde), un visiteur russe doit s’authentifier avec son compte VKontakte (réseau social russe), lequel requière un numéro de portable pour s'enregistrer, et ce dernier n’est disponible qu’avec un passeport. Tout ceci permet donc au gouvernement d’établir une connexion entre PornHub et l’identité réelle du visiteur.

L’anonymat est un facteur essentiel pour les journalistes et les opposants en Russie, où l’opposition au gouvernement peut porter des conséquences dramatiques. En enlevant toute option d’anonymat sur internet, la Russie bloque effectivement toute liberté d’expression.

Japon

De l’autre côté du globe, le Japon prépare sa sécurité autour des JO 2020. Le gouvernement vient de passer une loi autorisant les forces de l’ordre d’arrêter une personne lors de la planification d’une attaque. En vertu de cette loi, des groupes terroristes ou des organisations criminelles pourraient être inculpés pour la planification de plus de 270 crimes différents, allant de l'incendie criminel à la violation du droit d'auteur. Les critiques de cette législation soutiennent qu’elle est vague et pourrait conduire à la suppression des libertés civiles et à une surveillance excessive de la part de l'état. On peut imaginer qu’une personne soit poursuivie pour avoir téléchargé uTorrent, car c’est un logiciel pouvant être utilisé pour télécharger des films piratés.

Australie

Le grand débat sur le cryptage, dont nous avons déjà parlé plusieurs fois sur ce blog, continue. Le Premier ministre australien a affirmé que les compagnies de communication digitale sont dans l’obligation d’aider les forces de l’ordre lors de l’exécution de leurs mandats, et que les lois australiennes surpassent les lois des mathématiques ; autrement dit, en Australie la cryptographie devra se plier aux lois. Hormis l’absurdité de ces remarques, il est évident que si certains cryptages (incassables) devaient devenir illégaux en Australie, les compagnies qui se conforment à la loi ne pourraient plus jouir de la confidentialité de leur communication, mais des organisations criminelles et terroristes correctement informées arriveront toujours à cacher leurs échanges.

Ces quelques exemples récents montrent une réelle initiative de la part des gouvernements pour reprendre le contrôle sur les outils digitaux. On y découvre clairement un manque de compréhension entre les compagnies Tech et les gouvernements, concernant leurs buts, responsabilités et envies. Ce manque de communication va faire grandir l’écart entre ces deux partis et polariser chacun d’entre eux.

Le point de vue de ZENData

À notre avis, il y a plusieurs éléments à prendre en compte pour trouver un terrain d’entente :

1.      Donner les outils et aider les gouvernements à réaliser leur travail.

2.      Sauvegarder la qualité de services et la sécurité des produits

3.      Encourager les compagnies Tech à trouver un terrain d’entente avec les gouvernements, pour qu’aucune loi unilatérale, non rationnelle et nuisible aux citoyens ne soit décrétée.

4.      Exiger que les constructeurs et développeurs se conforment aux lois en vigueur dans leurs pays.

Les gouvernements sont responsables de la protection de leurs citoyens. Ainsi, en cas de mandat de perquisition, les forces de l’ordre ont le droit de fouiller les lieux privés dans les limites fixées par la loi. Dans le monde Tech, actuellement, l’obtention de renseignements ne suit pas les contraintes juridiques.
Les compagnies Tech sont extrêmement lentes, et prennent parfois plusieurs mois, voire années, pour transmettre les informations requises par un mandat, surtout dans le cas d’un mandat international (par exemple la police genevoise qui voudrait accéder aux données WhatsApp d’un suspect). Il faudrait donc que les mandats de perquisition puissent être appliqués efficacement à travers différentes juridictions et pays grâce à des protocoles de collaboration internationale incluant les compagnies Tech.

ZENData a toujours été en faveur d’une application correcte de la cryptographie et du droit à la protection des communications. Il faut noter que jusqu’il y a 8 ans la majorité de nos communications sur internet était non cryptée : les messages sur Facebook, Twitter, etc. pouvaient facilement être interceptés par une personne tierce ou un criminel.  Actuellement, la majorité de nos outils de communication (WhatsApp, Signal, etc.) mettent en place des protocoles identifiés avec du « forward secrecy », permettant de protéger les communications des regards indiscrets ; ceci empêche aussi la surveillance de la police et des forces de l’ordre.
Aujourd’hui, il serait techniquement très difficile de rendre les protocoles de cryptage actuel illégaux et ceci n’aurait que très peu d’effet. La solution ne se trouve donc pas dans les algorithmes mathématiques ni dans la diminution de nos outils de cryptage, car nous ne pouvons pas désinventer ce qui existe.

La solution, à notre avis, est la mise en place d’une collaboration entre les forces de l’ordre et les compagnies Tech, sans casser la cryptographie actuelle et ne mettant pas en péril, de façon systématique, la confidentialité de nos échanges. L’accès à ces derniers pourrait être donné en cas d'un mandat. Par exemple, WhatsApp pourrait rajouter, de façon transparente, une clef de cryptage supplémentaire dans une communication soumise à un mandat afin de le rendre lisible pour les forces de l’ordre ; ou bien WhatsApp pourrait activer le backup des messages (qui sont non cryptés) dans le cloud à l’insu de l’utilisateur, pour ensuite les transmettre aux forces de l’ordre. Apple pourrait forcer une mise à jour spécifique pour un utilisateur visé par les forces de l’ordre afin enregistrer toutes ses activités. Ces exemples ne sont pas techniquement compliqués à mettre en place, mais demandent une bonne organisation et des protocoles clairement définis. Toutefois n’augmentant pas les chiffres d’affaires des compagnies Tech, elles ne sont pas pressées de les implémenter. L’initiative devrait donc venir du côté des gouvernements ; des experts juridiques, en cryptographie, en protection de la vie privée et en criminologie devront définir collectivement l’implémentation de ces outils.

Il y a certes une très grande crainte que les gouvernements abusent de leurs pouvoirs lors de la mise à disposition de ces outils : nous voulons que le FBI puisse récupérer les données sur un iPhone d’un terroriste, mais nous ne voulons pas que la Chine puisse accéder aux données d’un dissident. Toutefois, il n’incombe pas aux compagnies Tech de choisir comment appliquer une loi une fois les outils mis en place (c’est souvent pour cela que ces compagnies refusent toute discussion). Leur seule alternative devrait se limiter à refuser de vendre ou distribuer leurs produits dans les pays qui ont des lois non conformes à l’éthique de la compagnie. C’est par son positionnement moral, et non pas économique, qu’est défini le code déontologique d’une entreprise.


Reprenons l’exemple de Apple : la compagnie a refusé de collaborer avec le FBI pour décrypter le téléphone du terroriste de San Bernardino, lorsqu’elle en avait l’obligation légale et les capacités techniques. En revanche, Apple construit maintenant un datacenter en Chine, conforme à la loi chinoise : le stockage des données des Chinois sur leur territoire n’est pas dans l’intérêt direct des citoyens chinois. Toutefois, Apple a fait un choix économique impliquant un investissement de plus d’un milliard de dollars et lui permettant de vendre ses produits en Chine, plutôt qu’un choix moral préservant les intérêts des utilisateurs.

ZENData se positionne du côté de la loi et des forces de l’ordre, tout en encourageant le respect de la protection des données et de la sphère privée. Notre démarche est toujours éthique et dans les limites fixées par les lois.

Tout comme nous, les compagnies Tech se doivent de respecter les lois locales. Ainsi, il leur incombe de mettre en place des outils permettant aux forces de l’ordre, au cas par cas, de récupérer des informations sur les personnes suspectes.  Les choix économiques ne doivent toutefois pas leur faire oublier le positionnement éthique de leur compagnie : dans le cas de conflit moral, au lieu de se plier à des lois locales ne correspondant pas à leur code déontologique, les compagnies devraient défendre leurs identités et leurs valeurs en refusant de s’implanter dans ces pays ou d’y distribuer leurs produits.

Pour conclure, ZENData affirme qu’il est possible d’avoir des outils de communication qui sauvegardent l’intérêt des pays autant que la vie privée des utilisateurs. Dans ce but, les gouvernements doivent collaborer avec les compagnies Tech, faire des concessions et atteindre un compromis pour arriver à une solution commune où les compagnies Tech pourront évoluer sans enfreindre les lois, tout en préservant leur code déontologique. 

Tweets de ZENData

Les mots de passe : tout le monde les connait et tout le monde les déteste ! Découvrez comment ils se font hacker… https://t.co/aAFsPmFn6Y
RT @RobertMLee: If Kaspersky software is “confirmed as malicious” (EU Parliament) I would hope there would be some public evidence present…
RT @nxsolle: My colleague Pasi and I will show everyone how to unlock BitLocker on modern PCs at SEC-T in September. Cold Boot attacks made…
RT @Anouch: Certes, le RGPD semble être une usine à gaz. Mais il va accroître la protection des internautes. Manifestement, @nantermod n’y…
RT @lorenzoFB: New: Apple put USB Restricted Mode in both iOS 11.4.1 beta and iOS 12 beta. And now it's triggered after 1 HOUR of phone not…

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: www.bilan.ch/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

14+14=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.