Deux experts britanniquesen sécurité informatique viennent de sortir un rapport pointant les nombreuses failles, incohérences et inepties de la RIP Bill, tout en expliquant aux internautes anglais comment la contourner en toute légalité.
La Regulation of Investigatory Powers (RIP) Bill est passée, comme prévu, à la Chambre des communes, et ce malgré la levée de bouclier de l’internet anglais (voir Big Browser soulève l’ire du net). Elle prendra effet à compter du 5 octobre prochain. Mais la loi vient aussi de rencontrer un nouvel obstacle en la personne de deux experts en sécurité informatique, Ian Brown et Brian Gladman. Selon eux, la RIP Bill est "techniquement inepte, inefficace contre les criminels tout en minant la vie privée et la sécurité des honnêtes citoyens et du business". C’est d’ailleurs le titre du rapport qu’ils ont remis aux parlementaires anglais en début de semaine, et qu’ils viennent de rendre public afin d’apprendre aux "honnêtes internautes" à protéger leur vie privée.
Une loi déjà obsolète
La RIP Bill prévoit ainsi d’installer des "black box" chez les fournisseurs d’accès britanniques afin que le MI5 (l’équivalent anglais du FBI) puisse scanner le trafic Internet, mails compris, à la recherche d’éléments relatifs à la pédophilie, au trafic de drogue, au blanchiment d’argent, etc. Sauf que rien n’empêche de passer par un petit provider, le gouvernement ayant annoncé qu’il n’installerait de "black box" que chez les plus gros d’entre-eux. De même, il est tout aussi légal d’ouvrir un compte sur un serveur mail basé à l’étranger, et d’en choisir un qui, de préférence, crypte les mails tout en offrant une connexion sécurisée, donc non-espionnable. De plus, il est tout à fait possible de faire de son ordinateur un serveur mail : on évite ainsi d’avoir à stocker son courrier chez son provider, et donc de le voir surveillé. Enfin, le prochain protocole internet, IPv6, cryptera l’ensemble du trafic Internet (Web, mail, sons, vidéos, etc.) : autrement dit, il rendra totalement inefficace, à terme, ladite RIP Bill... En attendant, elle aura coûté bonbon aux contribuables anglais, sans pour autant empêcher les criminels d’user de méthodes encore plus sophistiquées contournant cette surveillance généralisée.
Faites évader vos données
La loi autorise également les forces de l’ordre à exiger le décryptage d’un message, celui qui s’y refuse risque jusqu’à deux ans d’emprisonnement. Pire, si l’on peut dire : ceux qui préviendraient leurs correspondants, ou encore leur société, partenaires, clients, de l’intrusion du MI5 dans leur système de communication sécurisé, risquent... cinq ans de prison. Brown et Gladman, se référant aux différents niveaux de sécurité d’un château fort (construit en haut d’une colline, entouré d’un fossé et de fortifications), rappellent qu’il est conseillé de conserver ses données sensibles, et cryptées, sur un support amovible que l’on prendra soin de mettre à l’abri des regards indiscrets, ou encore sur un site Internet établi hors du Royaume-Uni, plutôt que sur son disque dur. Un moyen de protéger ses données à la fois d’un crash de l’ordinateur, mais aussi de toute forme d’interception (légale ou pas, d’ailleurs). Quant à l’utilisation de la cryptographie, les experts préconisent tout simplement de lui préférer la stéganographie, qui consiste à cacher un message à l’intérieur d’un autre (lire Souriez, vous êtes tracés !), rendant invisible le message que l’on envoie véritablement. Le MI5 va en effet être doté d’un centre tout spécialement destiné à cracker les messages cryptés, et la crypto, pour être véritablement efficace, réclame des connaissances techniques que ne possède généralement pas l’internaute lambda.
L’anti-espion venait de l’intérieur (de la défense)
Charles Clarke, ministre de l’Intérieur britannique, en s’exprimant devant la Chambre des communes, a reconnu que cette loi était l’une des plus compliquées qu’il avait jamais vue. S’en prenant aux médias, coupables selon lui d’avoir mal interprété la teneur de la RIP Bill, il a déclaré qu’il fallait faire œuvre de "propagande" en vue de rééduquer le public, mal informé. Il a aussi trouvé le temps, au cours des cinq minutes qu’a duré son intervention, de répéter par trois fois : "je n’accepte pas les commentaires faits par cette organisation", évoquant la Foundation for Information Policy Research, qui vient de mettre en ligne le rapport des deux experts et fut à la pointe de la lutte anti-RIP Bill. Petite précision, qui a son importance : Brian Gladman, co-auteur du rapport, a fait sa carrière dans l’armée britannique et a même officié en tant que "directeur des communications électroniques stratégiques" auprès du ministère de la Défense, avant d’aller travailler à l’OTAN. Ce doit être pour cela que Clarke n’accepte pas ses commentaires...