Microsoft transmet les clés BitLocker au FBI, exposant les utilisateurs à une faille majeure de confidentialité

Microsoft a remis les clés de récupération BitLocker au FBI après avoir reçu un mandat valide, exposant la confidentialité des utilisateurs Windows. Cette divulgation fait suite à une enquête du FBI à Guam, où Microsoft a fourni des clés de chiffrement pour déverrouiller les ordinateurs portables de trois suspects dans une affaire de fraude à Guam.

Les enquêteurs fédéraux à Guam pensaient que les ordinateurs portables contenaient des informations qui prouveraient que les personnes en charge du programme d'aide au chômage COVID-19 de l'île étaient impliquées dans un stratagème visant à détourner de l'argent.

La divulgation de la clé Microsoft BitLocker suscite des préoccupations mondiales en matière de confidentialité 

Microsoft a fourni les clés de récupération aux enquêteurs du FBI car les données étaient protégées par BitLocker. Ce logiciel protège toutes les données du disque dur de l'ordinateur et est automatiquement activé sur de nombreux PC Windows contemporains. Les données sont brouillées par BitLocker de sorte que seules les personnes possédant la clé peuvent les déchiffrer.

Bien que les utilisateurs puissent conserver leurs clés sur un appareil personnel, Microsoft conseille aux clients BitLocker de stocker leurs clés sur ses serveurs pour une gestion plus facile. Cela expose les personnes à des risques de poursuites judiciaires et de mandats des forces de l'ordre, même si cela signifie également qu'ils peuvent accéder à leurs données s'ils oublient leur mot de passe ou verrouillent l'appareil après plusieurs tentatives de connexion infructueuses.

La société de Redmond, Washington, n'avait jamais auparavant fourni de clé de chiffrement aux forces de l'ordre, à ce que l'on sache, jusqu'à l'affaire de Guam, où elle a remis les clés de chiffrement aux enquêteurs. Cependant, Microsoft a confirmé qu'elle fournit des clés de récupération BitLocker en cas d'ordonnance judiciaire légitime. 

Chamberlayne a ajouté que Microsoft reçoit environ 20 demandes de clés BitLocker par an. Dans de nombreux cas, les clients n'ont pas enregistré leurs clés dans le cloud, ce qui empêche l'entreprise de les aider.

Cependant, la remise des clés aux forces de l'ordre a suscité des préoccupations en matière de confidentialité. Dans une déclaration faite par le sénateur Ron Wyden à Forbes, il est « tout simplement irresponsable pour les entreprises technologiques de livrer des produits d'une manière qui leur permet de remettre secrètement les clés de chiffrement des utilisateurs ». Il a poursuivi en disant que permettre à l'ICE ou à d'autres voyous de Trump de voler les clés de chiffrement d'un utilisateur met en danger la sécurité personnelle des utilisateurs et de leurs familles et leur donne accès à toute l'existence numérique de l'utilisateur.

Ce problème ne se limite pas aux États-Unis. La conseillère en surveillance et cybersécurité de l'ACLU, Jennifer Granick, a noté que des pays ayant des antécédents douteux en matière de droits de l'homme demandent également des données aux géants technologiques comme Microsoft. Elle a ajouté que le stockage des clés de décryptage à distance peut être très risqué.

Un participant sur Hacker News a affirmé que le problème était que Microsoft possédait déjà ces clés. Si la clé est accessible et libre d'utilisation, à quoi sert le chiffrement ? iCloud Email est pareil, a ajouté l'utilisateur.

L'utilisateur a également soutenu que les lois et règlements créés par l'homme ne peuvent pas garantir la confidentialité car ils sont abusés et sujets à changement. La source de la confidentialité est les mathématiques, qui ne tiennent pas compte des règles et des règlements.

Les gouvernements du monde entier poussent les entreprises technologiques vers des portes dérobées de chiffrement

Les forces de l'ordre demandent fréquemment des clés de chiffrement, un accès par porte dérobée ou d'autres failles de sécurité aux sociétés informatiques. Apple a été sollicité à plusieurs reprises pour accéder aux données chiffrées dans son cloud ou sur ses appareils. En octobre de l'année dernière, le gouvernement britannique a renouvelé sa confrontation avec Apple concernant l'accès aux données des clients. Le gouvernement a exigé une porte dérobée dans les serveurs de stockage cloud de l'entreprise technologique, ciblant uniquement les utilisateurs britanniques.

Dans une confrontation largement médiatisée avec le gouvernement en 2016, Apple a résisté à un ordre du FBI de l'aider à ouvrir les téléphones de terroristes qui ont tiré et tué 14 personnes à San Bernardino, en Californie. En fin de compte, le FBI a réussi à faire pirater les iPhones par un entrepreneur.

Dans un rapport distinct en avril de l'année dernière, les législateurs de Floride ont approuvé à l'unanimité un projet de loi qui obligerait les sociétés de médias sociaux à fournir aux forces de l'ordre un accès aux comptes d'utilisateurs via des portes dérobées de chiffrement.

Ne vous contentez pas de lire l'actualité crypto. Comprenez-la. Abonnez-vous à notre newsletter. C'est gratuit.