/opinion/blogs
Navigation

FBI-Apple : problème insoluble ?

Don't break our phones

Coup d'oeil sur cet article

Le conflit sur le déverrouillage d’un téléphone soulève un problème si compliqué que sa solution mériterait à ses auteurs l’équivalent d’un prix Nobel.

Il n’existe pas de prix Nobel en mathématiques. Les médaille Fields et prix Abel représentent ce qui s’en rapproche le plus.

Et Alfred Nobel n’avait jamais songé à financer un prix en informatique, discipline qui n’apparut qu’un demi-siècle après sa mort. L’Institute of Electrical and Electronics Engineers (IEEE) décerne cependant une récompense dont le nom sonne presque comme le vrai truc : le prix Daniel E. Noble.

Quel rapport avec le bras de fer entre le FBI et Apple sur le déverrouillage du téléphone d’un des auteurs des attentats de San Bernadino ?

Comment donner à un seul bon l’accès au seul appareil d’un seul méchant tout en empêchant tous les méchants d’accéder à tous les appareils de tous les bons du monde ?

Tout à voir. Cette controverse hautement publicisée jette les projecteurs sur un problème sur lequel mathématiciens et informaticiens se cassent les dents depuis des années :

Comment donner un accès légitime à un appareil verrouillé (ou à des informations cryptées) tout en protégeant tous les autres appareils du même environnement informatisé contre tout accès illégitime ?

Ou en termes plus simplistes :

Comment donner à un seul bon l’accès au seul appareil d’un seul méchant tout en empêchant tous les méchants d’accéder à tous les appareils de tous les bons du monde ?

Voilà pourquoi la saga médiatique et judiciaire qui se déroule aux États-Unis nous concerne tous, ici au Québec et partout ailleurs.

Mais voilà aussi pourquoi ce ne sont pas des juges qui en trouveront la solution.

Pour autant qu’une telle solution soit même possible.

Inquiétants problèmes de sécurité

Qu’on les appelle « téléphone », « tablette », « portable », « serveur » ou autres, tous ces appareils numériques sont des ordinateurs. Des « machines universelles » qui, seules ou avec plusieurs autres, peuvent réaliser pour nous un nombre quasi infini de tâches et d’activités. Y compris afin de commettre des crimes : espionner, comploter, voler, saboter, frauder, tuer, etc.

Or, pour la seule année 2012 aux seuls États-Unis, Consumer Report a estimé que plus de 3,1 millions de téléphones cellulaires avaient été volés. Cela fait beaucoup de possibilité d’accès, non seulement aux informations personnelles de leurs propriétaires, mais aussi à des informations confidentielles sur des individus, entreprises et organisations tierces avec qui ces propriétaires faisaient affaire. Et pire encore, souvent des moyens d’accès directs aux systèmes informatiques de ces entreprises et organisations.

Voilà précisément pourquoi Apple et autres fabricants de téléphones et tablettes cherchent à en rehausser la sécurité pour éviter aux voleurs et autres tiers d’accéder aux informations, applications et accès qu’ils contiennent.

Vaut mieux garantir la sécurité de la société entière au prix de quelques frustrations de la police dans un petit nombre d’enquêtes

Une des solutions : faire que seul le propriétaire connaisse le code d’accès au téléphone et crypter tout le contenu de l’appareil après un petit nombre d’entrées de codes d’accès erronés. Même le fabricant ne peut ouvrir le téléphone ou décrypter son contenu sans connaitre le code d’accès choisi par le propriétaire.

D’où les bras de fer entre le FBI et Apple ainsi qu’entre d’autres polices et fabricants ailleurs dans le monde. Ces polices se disent frustrées par une mesure qu’elles avaient elles-mêmes réclamée pour contrer les vols de téléphones et tous les crimes pouvant être commis avec des téléphones piratés.

Juste pour vous donner une idée de l’étendue de crimes possibles, voici un exemple pas du tout théorique puisque des pirates et cracks informatiques en ont déjà réussi chaque étape séparément :

  • prendre à distance accès et contrôle du téléphone d’une personne qui ira prendre l’avion ;
  • peu après l’envol, entrer en communication avec ce téléphone pour se connecter au réseau wifi de l’avion, puis
  • utiliser ce réseau pour atteindre le système de pilotage de l’avion lui-même et en prendre les contrôles.

Une fois installée, une porte existe pour tout le monde

Les solutions de sécurité actuellement disponibles sont surtout du type « tout ou rien ».

Ou bien tous les appareils ont une – relative – sécurité, mais la police ne peut les contourner.

Ou bien on crée une « porte » d’accès pour la police, mais tout le monde, y compris les criminels, les espions en tout genre et les bataillons numériques des armées ennemies pourront aussi l’emprunter.

En fait, le problème s’est encore plus compliqué depuis les révélations d’Edward Snowden. Elles ont prouvé que les populations ne peuvent faire confiance à la police et autres agences de sécurité de l’État pour n’utiliser ces portes que légalement. Bref, il faut aussi :

empêcher tous les méchants et les bons d’accéder à tous les appareils de tous les bons de ce monde !

De brillants cerveaux

C’est ici que nous faisons entrer en scène le personnage de David Chaum. Il s’est mérité des prix de mathématiques et d’informatique pour avoir réussi à imaginer des inventions à première vue impossibles. Citons-en seulement trois :

  • des systèmes de paiement électronique hautement sécuritaires, mais aussi intraçables que l’usage du papier monnaie ;
  • des communications électroniques entre A et B sans que ces derniers ou qui que ce soit d’autre ne connaissent où, dans le monde, sont A et B ;
  • des systèmes de vote électronique qui prouvent les validités d’un vote et de son décompte, mais sans connaitre ni l’identité du votant ni pour qui il a voté.

Bref, Chaum est un ces nombreux surdoués qui inventent notre monde numérique. Et depuis l’affaire Snowden en 2013, lui et de très nombreux autres se creusent les méninges pour imaginer une très haute sécurité de notre monde numérique tout en préservant certains accès pour des fins uniquement légitimes.

En janvier dernier, Chaum et quatre autres collègues ont publié un concept de solution.

Simplifier à sa plus simple expression, un fabricant comme Apple ne garderait aucune clé de déverrouillage de ses téléphones. Pareil pour le fournisseur d’une application ou d’un service de communications. Cependant, chacune de ces entreprises confierait un certain nombre de clés différentes à des tiers de confiance dans autant de pays dotés de législation hautement protectrice contre les perquisitions et saisies abusives. Disons 5 clés à 5 tiers dans 5 pays. Alors, pour accéder au contenu d’un téléphone, d’une application ou d’une communication, il faudrait que toutes les cinq clés soient « tournées » simultanément de toutes ces dix juridictions.

Or, aussitôt publiée, cette proposition a été attaquée et démolie de toutes parts. Moins pour une erreur technique ou mathématique que pour une faiblesse politique. L’affaire Snowden nous ayant révélé qu’on ne pouvait faire confiance à aucun État, aucune entreprise et même aucun organisme de surveillance. Seul ou à plusieurs...

Les solutions de sécurité actuellement disponibles sont du type « tout ou rien »

Si je relate cette histoire, ce n’est pas pour rappeler que des génies peuvent concevoir des solutions imparfaites. Mais plutôt pour illustrer l’ampleur du travail (jeter seulement un coup d’œil à la publication technique) nécessaire pour résoudre le problème au cœur du conflit entre Apple et le FBI – et entre les géants du numérique et polices du monde entier.

Une solution existe. Ou pas.

Comme de nombreux observateurs et experts l’ont souligné, « la » solution n’existe actuellement pas. Mais plusieurs la croient possible. Les ordinateurs ne sont-ils pas des « machines universelles » capables d’exécuter, seules et à plusieurs, n’importe quelles procédures imaginables par les êtres humains ?

Soyez certains que ceusses qui arriveront à concevoir une telle solution seront considérés dignes d’un prix équivalent au Nobel... et de notre reconnaissance.

Cependant, arriver à concevoir une telle solution pourrait prendre longtemps. On ne sait combien de temps.

Et une fois une solution reconnue adéquate, sa mise en place pourrait prendre un certain temps et couter très cher. Certains ont parlé d’éventuellement jusqu’à des milliards de dollars pour mettre en place toute l’infrastructure technique et de « confiance ».

Il faut aussi envisager d’autres conclusions à cette recherche de solution.

L’une d’elles est qu’on découvre qu’une telle solution est purement et simplement impossible. Comme c’est le cas pour la solution à la fameuse quadrature du cercle.

Une autre conclusion, plus probable, est que, contrairement aux inventions précédentes de Chaum et d’autres, aucune solution « parfaite » n’existe. Comme c’est le cas pour les systèmes de votation ou décision dont aucun ne peut refléter parfaitement la volonté des participants (sauf dans un système impliquant un seul individu, un dictateur).

Si on arrive à cette dernière conclusion, le monde devra donc choisir entre différentes solutions offrant différents types de compromis en matière de sécurité, accès et confiance. Cela, au terme d’un grand débat public et démocratique, souhaitons-le.

En attendant, avec les solutions « tout ou rien » actuelles, il vaut clairement mieux garantir la sécurité de la société entière et de tous ses citoyens même si c’est au prix de quelques frustrations de la police dans un petit nombre d’enquêtes.