La fonction de chiffrement BitLocker de Microsoft disponible sur les systèmes Windows est bien pratique pour mettre en sécurité ses données. Mais à quoi sert un bon cadenas si on donne la clé à n’importe qui ? Une question que peuvent maintenant se poser les utilisateurs de PC car la firme de Redmond fournit en effet à la Justice américaine et au FBI les clés pour accéder à leurs données chiffrées par BitLocker dans le cloud. La décision du fournisseur de livrer ces clés est exécutée quand un mandat en bonne et due forme lui est envoyé par le gouvernement américain. Le fait pour un éditeur de se plier facilement à ce type d’injonctions interroge. Surtout quand on sait qu’Apple par exemple a toujours refusé de livrer à la justice US ou à des agences les clés pour déchiffrer le contenu d’iPhone bien que celles-ci ont fini par être contournées. Selon Forbes, Microsoft a fourni des clés au gouvernement américain début 2025, dans le cadre d’un mandat pour devérrouiller des données chiffrées stockées sur trois ordinateurs portables. Selon des enquêteurs fédéraux de l’Ile de Guam, ces terminaux contenaient des preuves permettant de démontrer que des personnes chargées du programme d’indemnisation chômage pendant la période Covid faisaient partie d’un complot pour détourner des fonds.
En stockant leurs clés de déchiffrement dans le cloud de Microsoft, les utilisateurs ont un moyen d’accéder à leurs données en cas d’oubli de mot de passe ou tentatives multiples de connexions débouchant sur le verrouillage d’un système. Une fonction pratique mais dont l’intérêt diminue fortement pour les utilisateurs soucieux de garantir totalement leur vie privée. « Si la récupération des clés apporte une certaine commodité, elle comporte également un risque d'accès indésirable. La société estime donc que les clients sont les mieux placés pour décider sur la façon de gérer leurs clés », a déclaré à Forbes Charles Chamberlayne, porte-parole de Microsoft. Il a expliqué que la société recevait environ 20 demandes de clés BitLocker par an et que, dans de nombreux cas, l'utilisateur n'avait pas stocké sa clé dans le cloud, ce qui rendait impossible toute assistance de la part du fournisseur. « Si Apple peut le faire, si Google peut le faire, alors Microsoft peut le faire », d'après Matt Green, professeur associé à l'université Johns Hopkins.
Un risque de fouille numérique
La décision du groupe a fait réagir : aux Etats-Unis, le sénateur (démocrate) de l’Oregon Ron Wyden a déclaré « qu'il était tout simplement irresponsable de la part des entreprises technologiques de commercialiser des produits qui leur permettent de divulguer secrètement les clés de chiffrement des utilisateurs. Permettre à l'ICE ou à d'autres sbires de M. Trump d'obtenir secrètement les clés de chiffrement d'un utilisateur, c'est leur donner accès à l'intégralité de la vie numérique de cette personne et mettre en danger la sécurité personnelle des utilisateurs et de leurs familles », a-t-il ajouté. De son côté, Jennifer Granick, conseillère en matière de surveillance et de cybersécurité à l'Union américaine pour les libertés civiles (ACLU), a fait remarquer que « des gouvernements étrangers aux antécédents douteux en matière de droits humains » exigent également des données de la part de fournisseurs IT tels que Microsoft. « Le stockage à distance des clés de déchiffrement peut être très dangereux », a-t-elle déclaré. « Les clés donnent la capacité au gouvernement d'accéder à des informations bien au-delà de la période couverte par la plupart des crimes, à savoir tout ce qui se trouve sur le disque dur. Nous devons alors faire confiance aux agents pour qu'ils ne recherchent que les informations pertinentes pour l'enquête autorisée et ne profitent pas de cette aubaine pour fouiller partout. »
Commentaire