Geekly articles weekly

Toute société Internet doit secrètement changer le code du programme à la demande des autorités

Toute société Internet doit secrètement changer le code du programme à la demande des autorités


Le 6 décembre 2018, le Parlement australien a adopté le projet de loi sur l' assistance et l'accès 2018 - modifications de la loi de 1997 sur les télécommunications concernant les règles de fourniture des services de télécommunications.

Sur le plan juridique, ces modifications «établissent des normes pour l'assistance volontaire et obligatoire des entreprises de télécommunications aux organismes chargés de l'application des lois et aux services spéciaux concernant les technologies de cryptage après réception des demandes d'assistance technique».

En fait, il s'agit d'un analogue de la "loi du printemps" russe, qui oblige les sociétés Internet à décrypter le trafic à la demande des forces de l'ordre. Dans certains cas, la loi australienne est encore plus sévère que la loi russe. Certains experts sont perplexes quant à la manière dont une telle législation pourrait généralement être adoptée dans un pays démocratique et la qualifient de «dangereux précédent» .

Sabotage légal


L'élaboration de la nouvelle loi a duré plus d'un an, elle est extrêmement complexe et volumineuse. Au début, la «règle d'or» est déclarée, à laquelle les organismes chargés de l' application des lois n'ont pas le droit: ils n'ont pas le droit d'exiger des sociétés informatiques qu'elles introduisent des «vulnérabilités du système» dans leurs produits. Cependant, le texte ne définit pas ce qui est considéré comme une vulnérabilité du système.

Il est également avancé que les sociétés informatiques sont tenues d'aider à déchiffrer les messages des utilisateurs en cours de développement par les services répressifs. La liste des «assistance» obligatoires comprend les éléments suivants:

  • suppression d'une ou plusieurs formes de protection électronique;
  • fourniture d'informations techniques;
  • faciliter l'accès aux services et à l'équipement;
  • installation de logiciels;
  • changement technologique;
  • dissimulation du fait que tout ce qui précède est fait.

Le dernier point est particulièrement remarquable. Il ne s'agit pas seulement de cacher des informations aux utilisateurs afin qu'ils ne bloquent pas l'installation d'une nouvelle «mise à jour de sécurité» sur leurs appareils. Tout est beaucoup plus intéressant.

Si vous regardez la définition de «fournisseur de communication désigné» au paragraphe 317C (paragraphe 6), même un développeur individuel , s'il est citoyen australien, doit se conformer aux exigences des forces de l'ordre, mettre en place une porte dérobée dans le programme et doit cacher ces informations à son employeur , sinon il encourt une peine d'emprisonnement. .

Fournisseur de communication désigné



Reste à savoir dans quelle mesure la loi s'applique aux programmeurs australiens qui travaillent pour des sociétés étrangères.


Selon les amendements adoptés, par exemple, la police a le droit d'envoyer une "demande d'assistance technique" à la branche australienne de Facebook avec une demande de mise à jour de Facebook Messenger ou d'un autre logiciel afin que la police puisse accéder aux messages de la personne concernée. Si vous suivez littéralement la définition du paragraphe 317C , ces demandes peuvent être envoyées non seulement aux entreprises, mais également aux développeurs individuels et aux administrateurs système des services Internet. En fait, c'est un sabotage légalisé des systèmes informatiques.

C'est la principale différence entre la loi australienne et les lois similaires dans d'autres démocraties qui exigent des sociétés informatiques qu'elles aident les services répressifs. Par exemple, la vulnérabilité d' une législation britannique similaire est que si une entreprise est techniquement incapable de décrypter les messages des utilisateurs (par exemple, si le cryptage de bout en bout y est correctement mis en œuvre), les autorités n'en tireront rien.

Mais selon la loi australienne, les autorités peuvent exiger des «mises à jour logicielles». Ils peuvent même vous demander de désactiver complètement le cryptage dans le programme, si nécessaire. C'est un dangereux précédent, disent les experts.

Autres options «d'assistance» possibles que les sociétés informatiques doivent fournir:

  • Modification d'un périphérique matériel, comme Apple Home ou Amazon Alexa, pour un enregistrement audio continu
  • exigence d'un faux fournisseur de services de site Web;
  • Obligation pour une entreprise de transmettre des données de géolocalisation téléphoniques plus précises.

«Désormais, les entreprises sont également obligées, à la première demande des forces de l'ordre, de désactiver complètement tout cryptage et d'aider à casser leur propre logiciel. Toutes les sociétés informatiques opérant en Australie relèvent de cette loi. Y compris divers sites et services Internet.

Atlassian est l'une des plus grandes sociétés informatiques d'Australie - les auteurs de BitBucket, JIRA, HipChat, Zephyr, Bamboo et d'autres services bien connus. Pour elle, les conséquences d'une telle décision des législateurs peuvent être monstrueuses, il est probable que l'entreprise puisse changer de juridiction sous la pression de son État.

Une telle "législation", déguisée en bonnes intentions comme la lutte contre le terrorisme, etc., n’aide pas une telle lutte. Les terroristes trouveront toujours un moyen de communiquer, quelle que soit l'action entreprise par l'État. La seule partie touchée dans cette situation sera les utilisateurs ordinaires, dont le niveau de sécurité dans le cyberespace diminuera considérablement en raison des portes dérobées déployées à la demande des forces de sécurité.

Il est impossible de créer une telle porte secrète au 21ème siècle, seuls les bons auront la clé. La présence de vulnérabilités dans les logiciels destinés à être utilisés par les forces de l'ordre donne exactement la même possibilité aux attaquants de les utiliser. Et dans la lutte contre le terrorisme et la pornographie juvénile, ils ne produisent que zéro, sinon un épuisement négatif. - écrit Alexander Litreev, un expert russe en sécurité informatique et auteur de la chaîne de télégramme populaire Cybersecurity & Co.

La seule atténuation que les opposants au projet de loi ont obtenue est que le gouvernement australien a promis de n'utiliser cette législation que pour enquêter sur les délits graves impliquant une peine de trois ans d' emprisonnement.

Cependant, même cette restriction inclut une très grande liste de violations, par exemple, un faux appel d'urgence. L'Australie a récemment adopté une autre loi douteuse sur l' espionnage et les ingérences étrangères de 2018 , qui pénalise les fonctionnaires actuels ou anciens du gouvernement pendant une période pouvant aller jusqu'à cinq ans pour avoir divulgué «des informations qui pourraient nuire aux intérêts nationaux». Les militants des droits humains estiment que cette loi est dirigée contre les informateurs et les journalistes.

Cinq yeux


Quelqu'un pensait que de telles lois contre les «agents étrangers» et les «espions» exigeant le décryptage obligatoire du trafic ne peuvent être adoptées que dans les pays où les droits de l'homme ne sont pas trop respectés. Mais la pratique montre que les autorités de la Grande-Bretagne et de l'Australie tentent également d'établir un contrôle strict sur les communications électroniques des citoyens. La situation empire partout, et pas seulement en Russie.

L'Australie est membre de l' alliance Five Eyes avec le Canada, les États-Unis, la Nouvelle-Zélande et le Royaume-Uni. Ces pays acceptent de partager des renseignements et, en septembre 2018, ils ont publié une déclaration commune annonçant que les sociétés informatiques faciliteront leur accès à ces informations: «Si les gouvernements continuent de faire face à des obstacles à l'accès légitime aux informations nécessaires à la protection les citoyens de nos pays », déclare le communiqué des cinq pays,« nous pouvons prendre des mesures technologiques, répressives, législatives ou autres pour prendre des décisions d'accès légitimes ».

À la lumière de ce qui précède, il est probable que d'autres pays de l'alliance adopteront de tels projets de loi.

De nombreux experts s'accordent à dire que de telles lois font plus de mal que de bien et affaiblissent réellement la sécurité, plutôt que de la renforcer: «Cette loi a de graves lacunes et est susceptible d'affaiblir la cybersécurité générale en Australie, de réduire la confiance dans l'électronique commerce, abaissant les normes de sécurité pour le stockage des données et diminuant la protection des droits civils », a déclaré Digital Rights Watch dans un communiqué .

Très probablement, la loi commencera à être appliquée non seulement contre les terroristes, mais aussi contre les individus, dit Mark Gregory, spécialiste en ingénierie de réseau et sécurité Internet à l'Université RMIT de Melbourne: «Elle est trop hâtive, largement et vaguement formulée et sera finalement utilisée incorrectement . Il peut être utilisé non seulement en matière pénale, mais également en droit des sociétés. »

«Il y a des problèmes de transparence, de responsabilité, de surveillance et d'abus potentiels», ajoute Monique Mann, chercheuse en technologie, droit et réglementation à l'Université de technologie du Queensland.

Les représentants de l'industrie informatique affirment que la loi menace l'exportation des services informatiques du pays, car le monde fera moins confiance à la fiabilité des programmes australiens.




Source: https://habr.com/ru/post/fr432680/

More articles:


All Articles