Regarder, attendre et prier : l'impact potentiel des mises à jour de la Loi sur les pouvoirs d'enquête

En matière de réglementation technologique, le gouvernement britannique semble passer d’une controverse à l’autre. Après une bataille avec les géants de la technologie sur le chiffrement de bout en bout (E2EE) dans son projet de loi très controversé sur la sécurité en ligne, le gouvernement se tourne désormais vers les mises à jour proposées de la loi sur les pouvoirs d'enquête (IPA).

Si elles sont mises en vigueur sous leur forme actuelle, les propositions pourraient transformer le Royaume-Uni en un Far West pour les cybermenaces et l’exploitation et pourraient forcer d’innombrables fournisseurs de technologies à retirer leurs services du marché, laissant les utilisateurs coincés avec des outils de communication peu sûrs et inefficaces.

Quoi de neuf dans l'IPA ?

L'IPA était largement connue sous le nom de « Charte du Snooper ». pour une très bonne raison. L'une de ses dispositions les plus controversées consiste à permettre au gouvernement d'exiger que les fournisseurs de technologies de communication modifient leurs services pour permettre au gouvernement d'espionner d'une manière qui pourrait compromettre la sécurité de tous. Un avis de capacité technique (TCN) est le principal moyen d’y parvenir. Cela pourrait théoriquement exiger « la suppression par un opérateur compétent de la protection électronique » à condition que le gouvernement puisse prouver que cela serait proportionné à son objectif final. De telles demandes étant secrètes, on ne peut qu’imaginer qu’aucune n’a abouti jusqu’à présent, car les entreprises technologiques concernées auraient très probablement réagi en menaçant de quitter le marché.

Plusieurs objectifs sont répertoriés dans le cadre de les mises à jour IPA proposées. Mais deux d’entre eux pourraient s’avérer particulièrement problématiques pour les entreprises britanniques :

Objectif 3

élargit la couverture extraterritoriale existante de l'IPA, obligeant les entreprises technologiques mondiales à s'en tenir aux règles du gouvernement dans chaque pays dans lequel elles opèrent. La raison invoquée est de résoudre toute « incertitude » potentielle pour le gouvernement dans l'octroi de TCN à des entreprises ayant des « structures d'entreprise complexes ». L'objectif propose également de « renforcer les options d'application disponibles en cas de non-respect des régimes de notifications » parallèlement à cet objectif.

Objectif 4

ajoute l'obligation pour les « opérateurs » d'« informer le secrétaire d'État des changements pertinents, y compris les changements techniques », et de le faire « dans un délai raisonnable avant que les changements pertinents ne soient mis en œuvre ». De tels changements ne sont pas spécifiés mais pourraient être interprétés comme signifiant toute nouvelle fonctionnalité de sécurité introduite par un fournisseur de technologie ou même des mises à jour de sécurité corrigeant des vulnérabilités. Théoriquement, le secrétaire d'État pourrait bloquer de tels changements, qui auraient un impact sur tous les utilisateurs finaux des services de messagerie et des appareils de communication.

À quoi pourrait conduire une nouvelle IPA

Les défenseurs de la vie privée et de la sécurité sont naturellement choqués par ces propositions. Et Apple a déjà dit que ça va supprimer des services comme iMessage et FaceTime du Royaume-Uni s'ils sont mis en œuvre. Il existe plusieurs raisons évidentes pour lesquelles non seulement les entreprises technologiques, mais aussi les entreprises et les consommateurs, s’opposeraient à un nouvel IPA :

L’objectif 3 :

• Cela pourrait potentiellement compromettre la sécurité des journalistes, des dissidents et d’autres personnes dans diverses régions du monde qui dépendent de communications sécurisées pour échapper à l’attention des gouvernements autocratiques.
• Placer les entreprises technologiques dans une situation impossible : obligées de se conformer aux nouvelles exigences du gouvernement britannique, qui pourraient en fait enfreindre les lois internationales sur les droits de l'homme et contredire les règles établies dans des législations comme la RGPD, qui place la sécurité dès la conception au cœur.

« L'obligation proposée d'informer HMG avant que des modifications techniques ne soient apportées a irrité plusieurs fournisseurs de technologie, petits et grands. Je ne sais vraiment pas pourquoi le gouvernement suggère cela, car il doit connaître la réaction que cela allait provoquer », a déclaré le professeur Alan Woodward de l'Université de Surrey à ISMS.online.

« En fin de compte, si le gouvernement tente de l’imposer, les entreprises technologiques concernées refuseront de s’y conformer. Et si cela nécessite de se retirer du Royaume-Uni, c’est exactement ce qu’ils feront. Il semble extraordinairement naïf que le gouvernement imagine que nos lois prévalent sur les lois d’autres juridictions – en particulier celle où est basé le vendeur.

L’objectif 4 pourrait conduire à :

• Le gouvernement britannique bloque ou retarde délibérément les mises à jour de sécurité afin que ses espions puissent exploiter les vulnérabilités sous-jacentes à des fins de surveillance.
• Les correctifs prennent plus de temps à être publiés ou sont retenus indéfiniment, ce qui laisse aux acteurs malveillants suffisamment de temps pour rechercher les exploits.
• Les acteurs menaçants ciblent les systèmes gouvernementaux pour obtenir des informations sur les correctifs des fournisseurs en attente.

« Retarder les mises à jour de sécurité est toujours une mauvaise chose, car même si vous n'avez aucune preuve qu'une vulnérabilité est exploitée, le fait que le fournisseur l'ait découverte signifie que quelqu'un d'autre l'a peut-être fait. Et chaque minute de retard leur donne un temps supplémentaire pour l’exploiter », poursuit Woodward.

"Il est difficile de ne pas conclure que le gouvernement souhaite être informé à l'avance de ces changements au cas où ils affecteraient une vulnérabilité qu'il exploite déjà à des fins de surveillance."

Quelle est la probabilité que ce soit le cas ?

La période de consultation publique sur ce que le gouvernement décrit comme les « régimes de notification révisés » dans l'IPA 2016 est désormais terminée. Par conséquent, rien n’a encore été décidé et il existe plusieurs raisons pour lesquelles les propositions les plus controversées pourraient ne pas figurer dans les révisions finales.

As Privacy International soutient, les objectifs 3 et 4 pourraient voir conjointement le Royaume-Uni violer le droit international des droits de l’homme, en particulier le droit au respect de la vie privée consacré à l’article 8 de la Convention européenne des droits de l’homme (CEDH). En effet, en empêchant un fournisseur de services de communication d'appliquer des mises à jour de sécurité ou une protection avancée comme E2EE, le gouvernement refuserait ce droit non seulement au Royaume-Uni mais aux citoyens du monde. Il est difficile d'imaginer un cas où autoriser ces pouvoirs serait « nécessaire et proportionné », comme l'exige la CEDH.

« Dans le paysage changeant des droits et de la sécurité numériques, ces changements proposés soulignent la nécessité impérative pour les gouvernements de trouver un équilibre approprié entre la sécurité nationale et les droits individuels », affirme Privacy International. "Alors qu'il révise ses lois nationales en matière de surveillance, le Royaume-Uni devrait réaffirmer son engagement à respecter ses obligations en vertu du droit international visant à sauvegarder les droits individuels dans son pays et à l'étranger."

La deuxième raison est plus purement commerciale. Si le gouvernement obtenait gain de cause et que ces propositions étaient adoptées, le monde numérique deviendrait nettement moins sûr. Mais les fournisseurs de technologies ne permettent tout simplement pas que cela se produise.

« En fin de compte, les forces du marché détermineront la réaction de ces entreprises : elles ne feront rien pour un marché relativement petit comme le Royaume-Uni alors que cela pourrait faire fuir les clients d’autres grands marchés », conclut Woodward.

Le pire des scénarios pour les entreprises britanniques serait que les propositions soient adoptées d’une manière ou d’une autre uniquement au Royaume-Uni, ce qui conduirait les entreprises technologiques à retirer du pays certains de leurs services les plus sécurisés. Cela tournerait probablement un engagement de longue date du gouvernement à l'envers et faire de la Grande-Bretagne l'endroit le moins sûr au monde pour faire des affaires en ligne.