Le chiffrement en crise : les entreprises britanniques confrontées à un bouleversement de leur sécurité dans le cadre de la réforme proposée de la loi sur les pouvoirs d'enquête

Le gouvernement britannique envisage de modifier la loi sur les pouvoirs d'enquête (Investigatory Powers Act), son régime d'espionnage sur Internet. Cette modification permettra aux forces de l'ordre et aux services de sécurité de contourner le chiffrement de bout en bout des fournisseurs de cloud et d'accéder plus facilement et plus largement aux communications privées. Il affirme que ces changements sont dans l'intérêt public, alors que la cybercriminalité échappe à tout contrôle et que les ennemis de la Grande-Bretagne cherchent à espionner ses citoyens.

Cependant, les experts en sécurité sont d'un autre avis, affirmant que ces amendements créeront des portes dérobées de chiffrement permettant aux cybercriminels et autres acteurs malveillants de s'emparer des données d'utilisateurs peu méfiants. Ils exhortent les entreprises à prendre en main le chiffrement afin de protéger leurs clients et leur réputation, car les services cloud sur lesquels elles comptaient auparavant ne sont plus à l'abri de l'espionnage gouvernemental. En témoigne la décision d'Apple de cesser de proposer son outil de protection avancée des données en Grande-Bretagne, suite aux demandes des législateurs britanniques d'accès aux données par porte dérobée, alors même que le géant technologique basé à Cupertino n'y a même pas accès.

Améliorer la sécurité publique

Le gouvernement espère améliorer la sécurité publique et nationale grâce à ces changements. En effet, l'utilisation accrue et la sophistication du chiffrement de bout en bout compliquent l'interception et la surveillance des communications pour les forces de l'ordre et les services de renseignement. Les responsables politiques affirment que cela empêche les autorités de faire leur travail et permet aux criminels de commettre leurs crimes en toute impunité, mettant ainsi en danger le pays et sa population.

Matt Aldridge, consultant principal en solutions chez OpenText Security Solutions, explique que le gouvernement souhaite s'attaquer à ce problème en donnant à la police et aux services de renseignement davantage de pouvoirs et de latitude pour contraindre les entreprises technologiques à contourner ou à désactiver le cryptage de bout en bout si elles soupçonnent un crime.

Ce faisant, les enquêteurs pourraient accéder aux données brutes détenues par les entreprises technologiques. Ils pourraient ensuite utiliser ces informations pour faciliter leurs enquêtes et, in fine, lutter contre la criminalité.

Alridge explique à ISMS.online : « L'argument est que sans cette capacité supplémentaire d'accéder aux communications ou aux données cryptées, les citoyens britanniques seront davantage exposés aux activités criminelles et d'espionnage, car les autorités ne pourront pas utiliser les renseignements sur les signaux et les enquêtes médico-légales pour recueillir des preuves cruciales dans de tels cas. »

Le gouvernement tente de rester à la hauteur des criminels et autres acteurs malveillants en élargissant ses pouvoirs d'espionnage des données, explique Conor Agnew, responsable des opérations de conformité chez Closed Door Security. Il ajoute qu'il prend même des mesures pour faire pression sur les entreprises afin qu'elles intègrent des portes dérobées à leurs logiciels, permettant ainsi aux fonctionnaires d'accéder aux données des utilisateurs à leur guise. Une telle mesure risque de « remettre en cause l'utilisation du chiffrement de bout en bout ».

Des conséquences énormes pour les entreprises

Quelle que soit la manière dont le gouvernement tente de justifier sa décision de modifier l’IPA, les changements présentent des défis importants pour les organisations en matière de maintien de la sécurité des données, de respect des obligations réglementaires et de satisfaction des clients.

Jordan Schroeder, directeur du RSSI de Réseaux de barrières, soutient que minimiser le chiffrement de bout en bout à des fins de surveillance et d’enquête de l’État créera une « faiblesse systémique » qui peut être exploitée par les cybercriminels, les États-nations et les initiés malveillants.

« L'affaiblissement du chiffrement réduit intrinsèquement les protections de sécurité et de confidentialité sur lesquelles comptent les utilisateurs », explique-t-il. « Cela représente un défi direct pour les entreprises, notamment celles des secteurs de la finance, de la santé et du droit, qui dépendent d'un chiffrement fort pour protéger les données sensibles de leurs clients. »

Aldridge, d'OpenText Security Solutions, reconnaît qu'en introduisant des mécanismes visant à compromettre le chiffrement de bout en bout, le gouvernement expose les entreprises à des risques de cybersécurité, intentionnels ou non. Cela entraînera une « diminution considérable de la garantie de confidentialité et d'intégrité des données ».

Pour se conformer à ces nouvelles règles, Aldridge prévient que les fournisseurs de services technologiques pourraient être contraints de retenir ou de retarder la publication de correctifs de sécurité essentiels. Il ajoute que cela donnerait aux cybercriminels plus de temps pour exploiter les vulnérabilités de cybersécurité non corrigées.

Par conséquent, Alridge s'attend à une « réduction nette » de la cybersécurité des entreprises technologiques opérant au Royaume-Uni et de leurs utilisateurs. Cependant, compte tenu de l'interconnexion des services technologiques, il estime que ces risques pourraient affecter d'autres pays que le Royaume-Uni.

Les portes dérobées de sécurité imposées par le gouvernement pourraient également être préjudiciables à l’économie britannique.

Agnew de Sécurité porte fermée affirme que les entreprises internationales pourraient cesser leurs activités au Royaume-Uni si un « excès de pouvoir judiciaire » les empêche de protéger les données des utilisateurs.

Sans accès aux services chiffrés de bout en bout grand public, Agnew estime que de nombreuses personnes se tourneront vers le dark web pour se protéger d'une surveillance étatique accrue. Il affirme que l'utilisation accrue du stockage de données non réglementé ne fera qu'accroître les risques pour les utilisateurs et profitera aux criminels, rendant ainsi les changements annoncés par le gouvernement inutiles.

Atténuer ces risques

Dans un régime IPA plus répressif, les portes dérobées de chiffrement risquent de devenir la norme. Si cela devait se produire, les organisations n'auraient d'autre choix que de modifier radicalement leur dispositif de cybersécurité.

Selon Schroeder de Réseaux de barrières, l’étape la plus cruciale est un changement culturel et mental dans lequel les entreprises ne supposent plus que les fournisseurs de technologie possèdent les capacités de protéger leurs données.

Il explique : « Là où les entreprises comptaient autrefois sur des fournisseurs comme Apple ou WhatsApp pour garantir le chiffrement de bout en bout, elles doivent désormais supposer que ces plateformes sont accidentellement compromises et assumer la responsabilité de leurs propres pratiques de chiffrement. »

Sans protection adéquate de la part des fournisseurs de services technologiques, Schroeder exhorte les entreprises à utiliser des systèmes de cryptage indépendants et auto-contrôlés pour améliorer la confidentialité de leurs données.

Il existe plusieurs façons d'y parvenir. Selon Schroeder, l'une d'elles consiste à chiffrer les données sensibles avant leur transfert vers des systèmes tiers. Ainsi, les données seront protégées en cas de piratage de la plateforme hôte.

Les organisations peuvent également utiliser des systèmes décentralisés open source, sans portes dérobées de chiffrement imposées par l'État. L'inconvénient, selon Shroeder, est que ces logiciels présentent des risques de sécurité différents et ne sont pas toujours simples à utiliser pour les utilisateurs non techniques.

Reprenant des points de vue similaires à ceux de Schroeder, Aldridge d'OpenText Security Solutions affirme que les entreprises doivent désormais mettre en œuvre des couches de cryptage supplémentaires, car elles ne peuvent plus dépendre du cryptage de bout en bout des fournisseurs de cloud.

Avant de transférer des données vers le cloud, les organisations devraient, selon Aldridge, les chiffrer localement. Elles devraient également éviter de stocker leurs clés de chiffrement dans le cloud. Il leur conseille plutôt d'opter pour leurs propres modules de sécurité matériels, cartes à puce ou jetons, hébergés localement.

Agnew de Sécurité porte fermée recommande aux entreprises d’investir dans des stratégies de confiance zéro et de défense en profondeur pour se protéger des risques liés aux portes dérobées de chiffrement normalisées.

Il admet toutefois que, malgré ces mesures, les organisations seront tenues de transmettre des données aux agences gouvernementales si elles en font la demande par mandat. Dans cette optique, il encourage les entreprises à se concentrer en priorité sur les données qu'elles possèdent, celles que les personnes peuvent soumettre à leurs bases de données ou sites web, et la durée de conservation de ces données.

Évaluer ces risques

Il est crucial que les entreprises prennent en compte ces défis dans le cadre d'une stratégie globale de gestion des risques. Selon Schroeder de Barrier Networks, cela impliquera de réaliser des audits réguliers des mesures de sécurité mises en œuvre par les fournisseurs de chiffrement et l'ensemble de la chaîne d'approvisionnement.

Aldridge, d'OpenText Security Solutions, souligne également l'importance de réévaluer les analyses de cyberrisques afin de prendre en compte les défis posés par un chiffrement affaibli et les portes dérobées. Il ajoute ensuite qu'il faudra se concentrer sur la mise en œuvre de couches de chiffrement supplémentaires, de clés de chiffrement sophistiquées, de la gestion des correctifs des fournisseurs et du stockage local des données sensibles dans le cloud.

Une autre bonne façon d’évaluer et d’atténuer les risques engendrés par les changements apportés à l’IPA par le gouvernement est de mettre en œuvre un cadre de cybersécurité professionnel.

Selon Schroeder, la norme ISO 27001 est un choix judicieux, car elle fournit des informations détaillées sur les contrôles cryptographiques, la gestion des clés de chiffrement, la sécurité des communications et la gouvernance des risques de chiffrement. Il ajoute : « Cette norme peut aider les organisations à garantir que, même en cas de compromission de leur fournisseur principal, elles conservent le contrôle de la sécurité de leurs données. »

Globalement, les modifications apportées à l'IPA semblent illustrer une fois de plus la volonté du gouvernement de mieux contrôler nos communications. Présentées comme une mesure visant à renforcer la sécurité nationale et à protéger les citoyens et les entreprises, ces modifications ne font qu'accroître le risque de violation de données. Parallèlement, les entreprises sont contraintes de consacrer des équipes informatiques déjà débordées et des budgets serrés au développement de leurs propres moyens de chiffrement, car elles ne peuvent plus faire confiance aux protections offertes par les fournisseurs de cloud. Quoi qu'il en soit, intégrer le risque de portes dérobées de chiffrement est désormais une nécessité absolue pour les entreprises.