Un projet de loi qui semble ambitieux puisque le décodage des communications chiffrées serait en jeu, ainsi que la mise en œuvre de portes dérobées à tous les niveaux : des services d'interception dématérialisés en quelque sorte.
Petit retour en arrière
En 1994, une loi américaine exige des "entreprises de télécommunications" la mise en œuvre de moyens d'écoutes électroniques sur demandes des autorités judiciaires. En plus des opérateurs téléphoniques, sont concernées les entreprises de télécommunications, les fabricants de matériel et les opérateurs de services de voix sur IP.
En 2006, de nouvelles règles sont introduites afin de faciliter les procédures d'écoutes d'appels téléphoniques via Internet. Les bénéficiaires sont les services de police et de renseignements.
Début 2009, le ministère de la justice dépose une requête en rejet du procès de l'Electronic Frontier Foundation contre la National Security Agency, affirmant que le contentieux sur le programme d'écoute électronique obligerait le gouvernement à divulguer des secrets d'état.
La proposition
En synthèse, la proposition de loi en cours de préparation viserait à contraindre les fournisseurs de services de communications à mettre en œuvre des moyens techniques permettant l'interception et les écoutes électroniques sur ordonnance.
Jusqu'ici, rien de bien nouveau si ce n'est que ces obligations s'adresseraient également à tout fournisseur de services de de communications cryptées. Et les nominés sont ... à titre d'exemple évoqués : le fournisseur des solutions BlackBerry, les sites de réseaux sociaux comme Facebook ou bien encore l'éditeur du logiciel Skype.
Comme le souligne le New York Times, outre la douloureuse question de la protection de la vie privée, un tel projet de loi émanant de la première puissance mondiale, constituerait un retentissant précédent en matière de législation et de moyens techniques employés.
Internet 3.0
Selon le Federal Bureau of Investigation, "Nous ne parlons pas d'étendre notre autorité. Nous parlons de la préservation de notre capacité à exécuter notre autorité existante afin de protéger la sécurité publique et la sécurité nationale." (traduction de la citation par l'auteur).
L'ère des services "2.0" s'appuyait sur des architectures dites participatives, composées de systèmes distribués et indépendants. L'approche induite par le projet de loi américain nous propulsera vers l'Internet 3.0 (c'est beaucoup plus prétentieux que 2.1) où certains services de sécurité disposeront d'un accès back-office direct dans n'importe quelle particule du nuage Internet.
Les spécification fonctionnelles
Afin de parer à tout obstacle techniques lors de la mise en œuvre des interceptions et des écoutes, le projet s'orienterait autour de quelques besoins fonctionnels majeurs :
- tout service qui chiffrerait des messages devra être en mesure de les déchiffrer
- toute société étrangère fournissant des services aux Etats-Unis devra posséder un bureau local capable de répondre aux demandes d'interception
- les développeurs de logiciels de communications peer-to-peer devront re-concevoir leurs services afin de permettre les interceptions
Changement de moeurs à venir
Les plus éclairés pourront apercevoir dans leur boule de cristal un bouleversement important des rapports de force entre Hackers et professionnels de la sécurité :
- si le double des clés des voitures sont cachées "dans une boite située quelque part sous l'aile avant gauche", c'est l'explosion des formules de co-voiturage assurée (le propriétaire n'étant pas forcément du voyage).
- les objectifs
commerciaux des sociétés spécialisées en sécurité vont rapidement se
résumer à vendre du dentifrice à des poules ou des peignes à des chauves
(n'y voyez ici aucune discrimination de ma part).
Ce projet de loi risque sans doute de provoquer de nombreuses réactions parmi les professionnels de la sécurité et le monde des entreprises. L'agenda pressenti prévoit que l'administration américaine soumette le projet de loi au législateur en 2011 ... n'est-ce pas l'année de consécration du Cloud ?!
A titre d'information, un service de Cloud Computing peut être défini (entre autres) par les caractéristiques suivantes: :
- une élasticité des ressources disponibles
- une standardisation des services proposés
- un accès en libre-service aux offres