Fastmail et Mozilla ont chacun adressé une lettre au gouvernement australien dans lesquelles ils fustigent des dispositions de la loi passée fin 2018 pour tenter d'offrir aux forces de l'ordre un accès plus aisé aux données qui transitent sur les serveurs du pays.
Comme le résume Naked Securities, ce texte, dit TOLA (Telecommunication & Other Legislation Amendment (Assistance & Access)", permet de demander à une entreprise de déchiffrer les communications de ses clients. Si l'entreprise refuse, elle peut y être forcée. Si elle fait valoir en sus que ce n'est pas dans ses capacités techniques, elle peut être obligée de modifier ses systèmes informatiques pour y tenter d'y parvenir. Autrement dit, s'attacher à affaiblir la sécurité de ces échanges et dans le plus grand secret.
Fastmail, qui vend un service de messagerie, explique que son activité n'a pas encore souffert de ce nouveau cadre législatif. Mais certains clients ont commencé à partir et d'autres, régulièrement, lui demandent si l'entreprise envisage de déménager de l'Australie.
Ce texte mine la confiance instaurée avec ses clients et il a la capacité de provoquer une forme de schizophrénie en interne. D'un coté des employés devront secrètement modifier les logiciels internes, de l'autre leurs collègues qui ne sont pas dans la confidence, risquent de tomber sur ces failles (quand ce ne seront pas des hacker extérieurs) et ils voudront naturellement les corriger.
Ce n'est pas une vue de l'esprit, Fastmail cite en exemple ce qui s'est passé en 2015 chez Yahoo. La direction avait fait installer des mouchards sur demande du FBI et de la NSA, sans en informer l'équipe de sécurité qui est tombée dessus et a cru initialement à un piratage réalisé depuis l'extérieur.
De même, ajoute aussi Fastmail, un code est amené à évoluer au fil du temps. Il n'est pas concevable que toutes les personnes concernées ne soient pas au diapason de ce qu'il contient : « La simple existence de fonctions qui ne sont ni documentées ni testées en même temps que le reste du système représente une faiblesse structurelle. »
Mozilla fait valoir des arguments similaires et d'autres, comme de juger aberrant que de telles mesures soient instaurées à un niveau qui frappe tous les utilisateurs d'un service et pas uniquement ceux visés expressément par une enquête.
L'encadrement judiciaire trop limité, les risques encourus par les entreprises en termes de confiance… Mozilla a une longue liste de récriminations vis-à-vis de ce texte.
Au mieux il devrait être jeté aux orties et repris de zéro, estime la Fondation. Consciente que ça ne risque pas d'arriver, elle offre un longue liste d'amendements, tout comme Fastmail propose de contribuer à améliorer nombre des passages de cette loi.
Source :
