Dès 2000 le gouvernement britannique prévoyait l’obligation de la remise des clés de chiffrement par les utilisateurs de la cryptographie. Le texte est donc inscrit depuis cinq ans au chapitre trois du Regulation of Investigatory Powers Act (RIPA), mais le gouvernement n’avait jusqu’à présent jamais cherché à le faire respecter.

Cela pourrait bientôt changer, le Home Office , chargé de la sécurité intérieure du pays, ayant décidé d’engager un processus de consultations pouvant mener à l’activation de ce texte de loi.

Si cela devient le cas, la police pourra exiger de n’importe qui, particulier ou entreprise, qu’il remette les clés de déchiffrement de ses données protégées. Et la requête pourra intervenir à tout moment. Pour de nombreux défenseurs des libertés individuelles, cela revient à criminaliser d’office la population, tandis que pour le gouvernement, interrogé par nos confrères de ZDNet UK, cela est nécessaire afin de lutter contre l’usage de la cryptographie par les groupes terroristes.

Selon le texte, quiconque refuserait de divulguer ses clés ou de déchiffrer les données protégées pourrait encourir jusqu’à deux ans de prison. Mais du côté des détracteurs, on fait remarquer qu’un individu suspecté de terrorisme préférera passer deux ans sous les verrous plutôt que de fournir les clés qui permettront de prouver qu’il est réellement lié à des activités terroristes, et ainsi passer beaucoup plus de deux ans en prison (cinq ans à l’heure actuelle s’il ne collabore pas avec la police).

Telle qu’elle, cette loi ne menace donc que les innocents, et c’est bien ce que lui reprochent les associations de défense des libertés individuelles.

Autre aspect négatif de ce texte : les entreprises installées sur le territoire britannique ne voudront probablement pas d’une telle menace. Car le chapitre trois permettrait par exemple au gouvernement de saisir les clés d’organismes bancaires, et ce de manière tout à fait légale. Peu de groupes étrangers voudront courir un tel risque. Et si nombre d’entre eux pourront s’arranger afin de faire réaliser le chiffrement en dehors du pays (et n’utiliser que des clés de sessions générées dynamiquement pour le transfert), d’autres pourraient tout simplement décider de quitter le pays.

L’affaire n’est toutefois pas encore entendue : le gouvernement se contente de consulter et attend l’issue de ce processus pour annoncer sa décision. Les associations de défense des libertés individuelles sont dores et déjà au créneau afin de démontrer combien ce texte sera inapplicable (notamment en raison de l’impossibilité de prouver le contenu illégal de contenus qu’on arrive pas à déchiffrer, ou celle de forcer quelqu’un à se souvenir d’un mot de passe qu’il a oublié).