Aux États-Unis, Microsoft a accepté de fournir au Federal Bureau of Investigation des clés de récupération BitLocker permettant d’accéder aux données chiffrées de trois ordinateurs. Une décision inédite, révélée par Forbes, qui met en lumière une faille structurelle dans la manière dont la protection des données est conçue sur Windows et relance le débat sur la confidentialité numérique.

Les faits remontent au début de 2025. Dans le cadre d’une enquête menée sur l’île de Guam, le FBI soupçonnait des responsables du programme d’aide au chômage lié à la pandémie de Covid-19 d’avoir participé à un détournement de fonds. Les enquêteurs pensaient que trois ordinateurs portables contenaient des preuves clés. Ces appareils étaient protégés par BitLocker, le système de chiffrement intégré à Windows.

BitLocker chiffre l’intégralité du disque dur afin de rendre les données illisibles sans clé de déchiffrement. Par défaut, Microsoft encourage les utilisateurs à sauvegarder cette clé de récupération dans leur compte en ligne. Cette option facilite la récupération des données en cas d’oubli de mot de passe ou de blocage de l’appareil, mais elle crée aussi un point d’accès juridique pour les autorités.

Dans l’affaire de Guam, cette architecture a permis à Microsoft de transmettre les clés de récupération aux enquêteurs, sur présentation d’un mandat de perquisition valide. L’entreprise a confirmé à Forbes qu’elle répondait à ce type de demande lorsqu’elle est légalement fondée. Selon son porte-parole Charles Chamberlayne, Microsoft reçoit environ vingt requêtes de ce genre par an, mais ne peut souvent pas y répondre lorsque les utilisateurs n’ont pas stocké leur clé dans le cloud.

Sur le plan technique, il ne s’agit pas d’un échec du chiffrement. BitLocker n’a pas été contourné ni piraté. L’accès aux données a été rendu possible uniquement parce que Microsoft détenait les clés. Les autorités américaines reconnaissent d’ailleurs qu’elles ne disposent pas des outils nécessaires pour casser ce type de chiffrement par leurs propres moyens.

Ce cas est le premier connu où Microsoft a fourni directement des clés de chiffrement aux forces de l’ordre. En 2013, un ingénieur de l’entreprise avait refusé une demande visant à intégrer des portes dérobées dans BitLocker. La différence aujourd’hui tient moins à un changement de doctrine qu’à un choix d’architecture logicielle.

C’est sur ce point que les critiques se concentrent. D’autres géants technologiques ont conçu leurs systèmes de manière à ne jamais pouvoir fournir eux-mêmes les clés de déchiffrement. Apple, avec FileVault et ses services cloud, permet aux utilisateurs de conserver leurs clés sous une forme chiffrée, y compris lorsqu’elles sont stockées en ligne. Même principe chez Meta avec WhatsApp. Dans ces cas, une demande judiciaire devient techniquement inopérante.

Pour Matt Green, professeur associé en cryptographie à la Johns Hopkins University, Microsoft fait figure d’exception. Selon lui, si Apple et Google peuvent concevoir des systèmes où l’entreprise elle-même n’a pas accès aux clés, Microsoft pourrait en faire autant. Le fait de conserver cet accès garantit qu’à terme, les autorités chercheront à l’exploiter.

Les inquiétudes dépassent le cadre américain. Jennifer Granick, juriste spécialisée en surveillance et cybersécurité à l’American Civil Liberties Union, souligne que des gouvernements étrangers, parfois aux pratiques contestées en matière de droits humains, peuvent eux aussi exiger l’accès à des données détenues par des entreprises américaines. Le stockage distant des clés de déchiffrement représente alors un risque majeur.

Sur le terrain politique, le sénateur américain Ron Wyden a vivement critiqué la décision. Il estime irresponsable de commercialiser des produits permettant aux entreprises de remettre secrètement les clés de chiffrement des utilisateurs. Selon lui, donner accès à ces clés revient à ouvrir l’ensemble de la vie numérique d’une personne, avec des conséquences directes sur sa sécurité et celle de ses proches.

Dans le dossier de Guam, le mandat a bien été exécuté. L’avocate d’une des accusées, qui plaide non coupable, a confirmé que des éléments transmis par les procureurs provenaient de l’ordinateur de sa cliente et faisaient explicitement référence aux clés BitLocker fournies par Microsoft. La procédure judiciaire est toujours en cours.

Cette affaire met en évidence une ligne de fracture claire dans l’industrie technologique. D’un côté, des systèmes pensés pour privilégier la commodité, quitte à conserver un accès potentiel aux données. De l’autre, des architectures conçues pour que le contrôle reste exclusivement entre les mains des utilisateurs. Le choix de Microsoft, désormais public, pourrait entraîner une multiplication des demandes judiciaires et poser une question centrale aux utilisateurs de Windows. Qui détient réellement les clés de leur vie numérique.

Source : Forbes

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.