Photo prise par Microsoft a remis au FBI les clés de récupération BitLocker après avoir reçu un mandat valide, exposant ainsi la confidentialité des données des utilisateurs de Windows. Cette divulgation fait suite à une enquête du FBI à Guam, où Microsoft a fourni des clés de chiffrement permettant de déverrouiller les ordinateurs portables de trois suspects dans une affaire de fraude.
Les enquêteurs fédéraux de Guam pensaient que les ordinateurs portables contenaient des informations prouvant que les personnes responsables du programme d'aide au chômage lié à la COVID-19 de l'île étaient impliquées dans un système de détournement de fonds.
La divulgation de la clé BitLocker de Microsoft suscite des inquiétudes mondiales en matière de protection de la vie privée
Microsoft a fourni les clés de récupération aux enquêteurs du FBI car les données étaient protégées par BitLocker. Ce logiciel protège toutes les données du disque dur de l'ordinateur et est activématicsur de nombreux PC Windows récents. BitLocker chiffre les données afin que seules les personnes possédant la clé puissent les déchiffrer.
Bien que les utilisateurs puissent conserver leurs clés sur un appareil personnel, Microsoft recommande aux clients BitLocker de les stocker sur ses serveurs pour une gestion simplifiée. Cette pratique les expose à des poursuites judiciaires et à des mandats d'arrêt, même si elle leur permet d'accéder à leurs données en cas d'oubli de leur mot de passe ou de verrouillage de l'appareil après plusieurs tentatives de connexion infructueuses.
À notre connaissance, la société de Redmond (Washington) n'avait jamais fourni de clé de chiffrement aux forces de l'ordre avant l'affaire de Guam, où elle a remis les clés aux enquêteurs. Microsoft a toutefois confirmé proposer des clés de récupération BitLocker en cas de mandat judiciaire légitime.
« Bien que la récupération des clés offre un avantage pratique, elle comporte également un risque d’accès non autorisé. C’est pourquoi Microsoft estime que les clients sont les mieux placés pour décider… comment gérer leurs clés. »
— Charles Chamberlayne, porte-parole de Microsoft.
Chamberlayne a ajouté que Microsoft reçoit environ 20 demandes de clés BitLocker par an. Dans de nombreux cas, les clients n'ont pas enregistré leurs clés dans le cloud, ce qui empêche l'entreprise de leur apporter une assistance.
Cependant, la transmission des clés aux forces de l'ordre a soulevé des inquiétudes quant au respect de la vie privée. Dans une déclaration faite à Forbes, le sénateur Ron Wyden a affirmé qu'il était « tout simplement irresponsable de la part des entreprises technologiques de commercialiser des produits leur permettant de transmettre secrètement les clés de chiffrement des utilisateurs ». Il a ajouté que permettre à l'ICE ou à d'autres agents de l'administration Trump de voler les clés de chiffrement d'un utilisateur mettait en danger la sécurité personnelle des utilisateurs et de leurs familles et leur donnait accès à l'intégralité de leur vie numérique.
Ce problème ne se limite pas aux États-Unis. Jennifer Granick, conseillère juridique de l'ACLU en matière de surveillance et de cybersécurité, a souligné que des pays dont le bilan en matière de droits humains est discutable demandent également des données à des géants de la technologie comme Microsoft. Elle a ajouté que le stockage à distance des clés de déchiffrement peut s'avérer très risqué.
Un utilisateur de Hacker News a affirmé que le problème venait du fait que Microsoft possédait déjà ces clés. Si la clé est accessible et gratuite, à quoi bon le chiffrement ? « C'est la même chose pour iCloud », a-t-il ajouté.
L'utilisateur a également fait valoir que les lois et réglementations d'origine humaine ne peuvent garantir la confidentialité car elles sont détournées et sujettes à modification. La source de la confidentialité réside dans lesmatic, qui s'affranchissent des règles et des réglementations.
Les gouvernements du monde entier font pression sur les entreprises technologiques pour qu'elles intègrent des portes dérobées dans le chiffrement
Les forces de l'ordre demandent fréquemment aux entreprises informatiques des clés de chiffrement, des accès dérobés ou d'autres failles de sécurité. Apple a été sollicitée à plusieurs reprises pour accéder aux données chiffrées stockées dans son cloud ou sur ses appareils. En octobre dernier, le gouvernement britannique a relancé son bras de fer avec Apple concernant l'accès aux données clients. Il a exigé un accès dérobé aux serveurs de stockage cloud de l'entreprise, ciblant exclusivement les utilisateurs britanniques.
En 2016, lors d'un affrontement largement médiatisé avec le gouvernement, Apple a refusé d'obtempérer à une injonction du FBI lui ordonnant de déverrouiller les téléphones des terroristes responsables de la fusillade de San Bernardino, en Californie, qui a fait 14 morts. Finalement, le FBI a réussi à faire appel à un soustracpour accéder aux données des iPhones.
Dans un rapport distinct publié en avril de l'année dernière, les législateurs de Floride ont approuvé un projet de loi qui obligerait les entreprises de médias sociaux à fournir aux forces de l'ordre un accès aux comptes des utilisateurs via des portes dérobées de chiffrement.
