Le chiffrement ou cryptage est « un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement ». Cette technique est utilisée pour sécuriser les échanges entre internautes et éviter la captation des données.

L’Australie s’est récemment dotée d’une loi (appelée Assistance and Access Bill) qui « oblige les entreprises technologiques à fournir les communications de leurs utilisateurs, y compris les messages chiffrés, aux autorités qui en font la demande » (sont visés essentiellement les services de police et les agences de sécurité). Les sanctions sont élevées pour les entreprises qui refusent de se conformer aux prescrits de la loi, elles risquent des amendes allant jusqu’à 10 millions de dollars australiens. L’opposition, composée du parti travailliste, reconnaît avoir des inquiétudes par rapport au texte de loi : ils avaient des amendements à proposer mais à contrecœur, ils ont soutenu son adoption cette année, en ayant en tête la protection des individus pendant la période des fêtes.

Actuellement, les messages chiffrés échappent à la surveillance des entreprises technologiques. Seuls les correspondants peuvent prendre connaissance de la teneur du message, car eux seuls possèdent la clé de chiffrement. La nouvelle loi oblige dès lors les entreprises à avoir un double de cette clé (appelé une porte arrière ou une backdoor dans le jargon), ainsi le contenu des messages leur sera accessible à l’insu des utilisateurs des applications.

La ratio legis, selon le gouvernement australien, est de lutter contre le terrorisme et certains crimes commis en ligne comme la pédophilie. D’après eux, les applications de messagerie sécurisée (comme WhatsApp ou Messenger) sont souvent le moyen de communication utilisé par les groupes criminels grâce à la possibilité de crypter les messages.

« However, the use of encrypted technologies by terrorists and criminals presents an increasing challenge for law enforcement and national security agencies. Secure, encrypted communications are increasingly being used by terrorist groups and organised criminals to avoid detection and disruption. Over 90% of telecommunications information being lawfully intercepted by the Australian Federal Police now uses some form of encryption. »

La législation est vivement contestée par les entreprises concernées, les experts en cybersécurité et les militants pour les droits et libertés numériques. On pourrait croire que l’adoption de l’Assistance and Access Bill n’impactera que l’Australie mais des conséquences pourraient rapidement se manifester ailleurs sur la planète.

En effet, d’après les experts, avoir un double de la clé de chiffrement menacerait la sécurité des applications (y compris celle des géants américains) qui seraient alors plus vulnérables à des attaques et à des vols de données. Ainsi, vouloir l’accès aux communications d’un seul individu pourrait compromettre le respect de la vie privée de millions d’utilisateurs. Dans une lettre aux dirigeants australiens, l’entreprise américaine Apple soutient que le chiffrement diminue les risques de piratage et d’attaques informatiques pouvant menacer la sécurité des individus, des entreprises et des services gouvernementaux. Il est possible dès lors qu’une telle législation amène certaines compagnies, sous la juridiction australienne, à quitter le marché australien afin de préserver les communications privées de leurs utilisateurs.

L’Australie, dans une tentative de calmer les inquiétudes, rappelle qu’il existe un garde-fou dans la loi garantissant que le déchiffrement n’aura pas lieu s’il crée une « faiblesse systémique ». Cependant, la définition de ce terme est vague, les limites de l’obligation des entreprises technologiques sont donc floues.

« 317ZG.    (1) A technical assistance request, technical assistance notice or technical capability notice must not have the effect of:

(a) requesting or requiring a designated communications provider to implement or build a systemic weakness, or a systemic vulnerability, into a form of electronic protection; or

(b) preventing a designated communications provider from rectifying a systemic weakness, or a systemic vulnerability, in a form of electronic protection.»

« 317ZG. (3) The reference in paragraph (1)(a) to implement or build a systemic weakness, or a systemic vulnerability, into a form of electronic protection includes a reference to one or more actions that would render systemic methods of authentication or encryption less effective ».

Cette loi pourrait inspirer d’autres gouvernements à se munir de législations anti-chiffrement et donc constituer un précédent mondial. Quoi qu’il en soit, en contrepartie du fait que la loi soit passée cette année avec le soutien de l’opposition, le gouvernement australien a promis d’envisager des amendements l’année prochaine. Des modifications devraient dès lors avoir lieu dans le courant de l’année 2019.