Secure Data Act 2018 - Les États-Unis prévoient d'interdire les portes dérobées sur les appareils [encore une fois]

À la mi-mai, les membres du Congrès américain ont présenté un projet de loi appelé Secure Data Act 2018 . Il interdira au gouvernement et aux agences gouvernementales d'exiger des fabricants d'appareils techniques qu'ils intègrent des portes dérobées dans leurs produits. La contrainte ne peut être obtenue même par voie judiciaire.

En savoir plus sur le projet de loi et les réactions de la communauté ci-dessous.


/ photo de Paul Sableman CC

Le nouveau projet de loi succède aux projets de loi précédents de 2014 et 2015, qui étaient censés interdire aux agences fédérales américaines d'exiger l'introduction intentionnelle de vulnérabilités dans les technologies de protection des données. Cependant, ils n'ont jamais été acceptés.

Cette année, la Chambre des représentants des États-Unis, Zoe Lofgren, Thomas Massie et d'autres ont décidé de soumettre à nouveau le Secure Data Act (cette fois avec la désignation 2018). Il s'agit d'une autre tentative de transmettre l'idée que les experts en cryptographie promeuvent depuis plusieurs décennies - il n'y a pas de portes dérobées sûres.

Les députés espèrent pouvoir cette fois réussir à «promouvoir» le projet de loi. Début mai, ils ont même rencontré des membres de l'Electronic Frontier Foundation (EFF). Lors de cette réunion, les experts ont discuté des aspects techniques de la mise en œuvre des portes dérobées et des conséquences pouvant entraîner un affaiblissement intentionnel de la sécurité des appareils électroniques.

L'essence du projet de loi

Selon The Register, le projet de loi vise à protéger l'intégrité des systèmes de cryptage. Il interdit à tout organisme gouvernemental d'exiger du fabricant (développeur ou même vendeur) d'apporter des modifications aux systèmes de sécurité des produits techniques qui permettront l'accès aux informations personnelles des utilisateurs ou la surveillance.

Les produits mentionnés comprennent: les logiciels et le matériel, ainsi que d'autres appareils électroniques qui sont dans le domaine public.

En outre, la loi interdit aux tribunaux d'obliger quiconque à donner accès aux données. Cependant, il fait une exception pour les fournisseurs de télécommunications. En vertu de la loi CALEA de 1994 sur l'aide aux communications pour l'application de la loi de 1994, ces organisations sont tenues d'aider les services répressifs et, si nécessaire, de leur donner accès à leurs réseaux de données.

Comment la communauté réagit

Selon Lofgren, les appareils avec portes dérobées mettent les utilisateurs en danger et nuisent également aux entreprises américaines, car les failles de sécurité réduisent la compétitivité des produits sur le marché. Des représentants de l'Association des fabricants d' équipements informatiques et de communications ( CCIA ) sont également d' accord avec Lofgren. Ils soulignent que "la confiance des utilisateurs dans la sécurité de l'Internet joue un rôle clé dans sa viabilité en tant qu'espace mondial d'expression et d'affaires".

Les internautes réguliers prônent également l'adoption de la loi Secure Data Act 2018, mais nombre d'entre eux sont convaincus que la loi ne passera pas cette fois.

Par exemple, ils rappellent Clipper, une puce avec une porte dérobée intégrée pour crypter les messages vocaux. Bien qu'alors, en 1993, Clipper Chip et «n'ont pas pris racine». Selon un groupe de chercheurs du MIT, d'AT & T, de Microsoft et d'autres sociétés, sa mise en œuvre mettrait les utilisateurs en danger et entraînerait des prix plus élevés pour les appareils numériques.


/ photo Valerie Everett CC

La raison pour laquelle le projet de loi peut «échouer» est aussi parce que des acteurs influents de l'industrie s'y opposent. En particulier, en avril de cette année, Ray Ozzie, développeur de Lotus Notes et ancien directeur technique de Microsoft, a lui-même proposé un système qui ouvre l'accès aux données chiffrées sur les appareils mobiles. Il a même obtenu un brevet pour cela.

Cependant, la proposition d'Ozzy a été critiquée par d'autres participants de l'industrie. Selon Robert Graham de l'équipe de recherche d'IB d'Errata Security, son initiative [Ozzy] n'apporte rien de nouveau, mais offre une solution à des problèmes de longue date. Graham affirme que les experts savent déjà comment créer des portes dérobées. Maintenant, la tâche principale est de protéger ces portes dérobées, et Ozzy n'a pas de solution.

Matthew Green, spécialiste de la cryptographie et professeur à l'Université Johns Hopkins, a également critiqué la proposition de Ray Ozzy, ainsi que Bruce Schneier, spécialiste de la sécurité et directeur technique chez IBM Resilient. Il a déclaré que l'introduction de tels systèmes aurait des conséquences dévastatrices à long terme.

Par conséquent, dans cette situation, il est difficile de prévoir si le projet de loi sera approuvé. Mais quelle que soit la décision prise, il est peu probable qu'elle soit unanime.

Que écrivons-nous d'autre sur le blog d'entreprise de 1cloud:

• Tout ce que vous devez savoir sur les principes de neutralité du réseau
• Meltdown et Spectre: vulnérabilité du processeur du Nouvel An
• Comment les données cloud sont sécurisées
• Qu'est-ce qu'un certificat SSL et pourquoi l'acheter?