Les systèmes de contrôle de l’Internet facilitent-ils le travail des pirates?

Dans un éditorial assez remarqué sur le site de CNN, l’expert en sécurité Bruce Schneier affirme que lors des récentes attaques contre Gmail (le service gratuit de courrier électronique de Google), les pirates ont exploité une porte dérobée (backdoor) initialement prévue pour faciliter l’accès des policiers et des services de renseignement aux comptes de certains usagers.

Ces moyens d’accès privilégiés sont imposés par le législateur aux opérateurs de téléphonie et aux fournisseurs de services en ligne dans un nombre croissant de pays afin de faciliter les enquêtes criminelles reliées à la délinquance informatique. Ils permettent aux agents d’application de la loi qui disposent d’un mandat en règle d’accéder immédiatement aux communications des suspects visés. Au Canada, un projet de loi de cette nature (C-47) était en préparation avant que le Parlement ne soit prorogé.

Schneier s’inquiète que de tels systèmes de surveillance rendus obligatoires par ces lois afin de permettre l’accès aux données de connexion fragilisent en réalité la sécurité des communications. En effet, rien n’empêche à des individus malveillants d’utiliser ces capacités techniques à leur profit. Il cite par exemple la mise sur écoute clandestine d’une centaine de téléphones portables appartenant à des membres du gouvernement grec de juin 2004 à mars 2005. Cette opération dont le commanditaire reste inconnu a été rendue possible par l’activation de la fonction de surveillance inclue dans l’équipement de télécommunication livré par la société Ericsson à l’opérateur de téléphonie mobile Vodafone (bien que cette fonction ne soit pas normalement utilisée en Grêce).

Il y a quelques jours, un chercheur en sécurité de la compagnie IBM affirmait avoir lui aussi découvert un certain nombre de vulnérabilités dans les systèmes d’interception des communication intégrés à la demande des gouvernements aux routeurs conçus par la société Cisco. Ces vulnérabilités pourraient selon lui être exploitées par des pirates informatiques afin de mener des écoutes illégales à l’aide des solutions techniques censées justement contrôler la délinquance en ligne.

Ces manifestations d’ingénuité de la part des pirates et des délinquants informatiques ne devrait pas nous surprendre, dans la mesure où la prolifération des moyens de contrôle techniques s’expose à des possibilités de subversion potentiellement plus nombreuses que ce qui est possible pour les formes traditionnelles de contrôle social. Alors qu’il est difficile, voire impossible, pour un délinquant de retourner une norme ou une règle à son profit, les moyens de contrôle technique sont beaucoup plus malléables et socialement neutres. La même qualité instrumentale qui les rend extrêmement efficaces dans un contexte d’anonymat les rend par la même occasion disponibles à tous ceux qui prennent la peine d’en comprendre et d’en maîtriser les rouages internes.

Il serait donc souhaitable qu’une discussion plus ouverte s’engage sur les conditions d’utilisation actuelles de ces mécanismes légaux de surveillance, sur les abus avérés et potentiels dont ils font l’objet, ainsi que sur les risques indirects qu’ils font peser sur l’ensemble des usagers.

Ce contenu a été mis à jour le 30 juin 2015 à 13 h 39 min.