Partager cet article

La remise en cause du chiffrement des communications est une fausse solution

ibroken | Mo via Flickr CC License by

ibroken | Mo via Flickr CC License by

Déjà attaqué aux États-Unis, le chiffrement l'est désormais en France après les attentats du 13 novembre. Le rendre moins performant créerait pourtant autant de problèmes que cela en résoudrait.

Plusieurs députés, dont Nathalie Kosciusko-Morizet, ont déposé un amendement dans la loi sur le numérique, qui permettrait idéalement de «forcer tous les constructeurs de matériel à installer une backdoor pour les autorités», ou en tout cas «d’ouvrir le débat parlementaire» sur ce sujet, indique Next Inpact.

À cette occasion, nous republions cet article, daté de novembre, dans lequel nous estimions que l’instauration de ces portes dérobées serait une mauvaise idée.

Quelques mois après l’examen de la loi renseignement, voici l’un des débats que l’on va revivre au cours des prochains jours, des prochaines semaines, des prochains mois: faut-il abandonner une partie de notre vie privée pour notre sécurité? et que devons-nous abandonner de notre vie privée aux autorités? la liste des sites que nous visitons? les messages que nous envoyons et recevons? et pourrons-nous encore chiffrer nos communications pour éviter qu’elles puissent être facilement lisibles?

Ce dernier débat a déjà été largement entamé, de l’autre côté de l’Atlantique comme de la Manche, après les attentats du 13 novembre. Comme l’écrit ironiquement Rob Pegaro sur Yahoo!, «on a découvert que, l’ennemi, c’est les maths» –le chiffrement découle en effet de principes mathématiques. Le directeur de la CIA, John Brennan, a ainsi attaqué les limites posées par le gouvernement américain à la surveillance des communications. Interrogé par l’AFP quelques jours après les attentats, Bruce Schneier, l’un des meilleurs spécialistes de la sécurité en ligne, estimait que l’on allait se servir des tueries commises à Paris «pour essayer de convaincre les gens qu’on a besoin de portes dérobées (backdoors) [un accès intentionnellement caché aux messages privés, qui peut ensuite devenir une faille; NDLR]. Cela pourrait changer la donne, parce que les gens sont effrayés.» 

De son côté, Glenn Greenwald, cofondateur de The Intercept et responsable d’une bonne partie des révélations dans l’affaire Snowden, estime que l’objectif du renseignement américain est de se servir de ces attentats pour s’attaquer au chiffrement:

«Le véritable objectif est de dépeindre la Silicon Valley comme ayant aidé les terroristes –parce que ses entreprises ont offert des protections pour leur vie privée aux internautes–, et ce, dans le but de forcer ces entreprises technologiques à livrer au gouvernement américain des backdoors pour accéder aux communications de tout le monde. Les agences américaines de renseignement ont exigé de tels accès depuis le milieu des années 1990. Elles voient aujourd’hui l’exploitation des scandales et de la peur, qui sont une conséquence des attentats de Paris, comme leur meilleure opportunité jusque-là d’y arriver.»

«Toute protection est cassable»

En septembre dernier, le directeur du FBI s’en prenait déjà à WhatsApp. James Comey estimait ainsi que «la menace posée par Daech méritait un “débat” sur la limitation du chiffrement commercial –le pilier de la sécurité numérique–, et ce, malgré les critiques des experts, qui estiment qu’affaiblir le chiffrement serait une aubaine pour les hackers, cybercriminels, espions étrangers et terroristes».

Fin novembre 2014, James Comey allait encore un peu loin, rapportait à l’époque le Wall Street Journal:

«Le numéro deux du département de la Justice a fait passer un message assez direct aux dirigeants d’Apple [...] La nouvelle technologie de chiffrement qui empêche les forces de l’ordre d’avoir accès aux iPhones verrouillés va mener à une tragédie. Un enfant va mourir, a-t-il expliqué, parce que la police ne pourra pas fouiller le téléphone d’un suspect, raconte une des personnes qui a assisté à l’entretien.»

Daech trouvera un autre moyen. À chaque fois, ils deviennent plus intelligents et font évoluer leur stratégie

Rahaf Harfoush, professeure à Sciences Po, et co-auteure de The Decoded Company

En clair, les autorités américaines en ont assez qu’Apple, Google, WhatsApp et les autres laissent leurs utilisateurs communiquer sans qu’ils puissent –officiellement– savoir les messages qu’ils échangent.

Cependant, comme l’écrit justement Andréa Fradin sur Rue 89«notons [...] une nouvelle fois que les services de renseignement disposent de tout un tas d’autres outils pour suivre à la trace les personnes qui les intéressent. Et que toute protection est cassable: pas pour rien que les services du monde entier sont dotés de grosses plateformes de déchiffrement –ainsi, la controversée PNCD de la DGSE (direction générale de la Sécurité extérieure). De plus, une majorité des services visés par les autorités sont soit des sites qui collaborent déjà activement avec les services de renseignement (souvenez-vous, Google, Apple and co ont été largement soupçonnés d’étroitement collaborer avec les agences américaines), soit des outils tout simplement évités par les terroristes».

Accusé peu de temps après les attentats d’aider Daech en lui fournissant des canaux de communication chiffrée, le service Telegram a ainsi décidé de faire lui-même le ménage en supprimant soixante-dix-huit chaînes. Impossible de dire si elles n’ont pas été réouvertes sur cette même application ou sur une autre depuis. Interrogé par l’Obs, Rahaf Harfoush, professeure à Sciences Po et coauteure de The Decoded Company, estime que «Daech trouvera un autre moyen. À chaque fois, ils deviennent plus intelligents et font évoluer leur stratégie».

Il n’est pas sûr que de tels gestes soient suffisants pour apaiser les différents gouvernements et magistrats qui réclament donc depuis des mois des portes dérobées dans les logiciels. En clair, ils veulent que ces entreprises, qui permettent à leurs utilisateurs d’adopter le chiffrement de bout en bout, leur laissent une clé sous le paillasson pour que, dès qu’ils le souhaitent, ils puissent avoir accès aux contenus des communications et prévenir, selon eux, des attentats.

Bloquer les enquêtes judiciaires

Et cela ne concerne pas que les États-Unis. En août 2015, le procureur François Molins –qui supervise l’enquête sur les attentats de Paris– cosignait une tribune dans le New York Times avec trois autres procureurs américain, anglais et espagnol, dans laquelle les quatre hommes expliquaient en quoi le chiffrement des téléphones bloquait le développement des enquêtes judiciaires:

«Aux États-Unis, en Grande-Bretagne, en France, en Espagne et dans d’autres sociétés démocratiques, le système juridique permet aux autorités d’avoir accès aux lieux où les criminels cachent les preuves, dont leur domicile, leur coffre de voiture, leur box, leurs ordinateurs et réseaux numériques. 

 

Dans chacune de ces lois, il existe un équilibre entre les droits à la vie privée des individus et les droits à la sécurité publique de leurs communautés. Pour que nos enquêteurs effectuent des perquisitions dans nos juridictions, un juge ou un procureur doit décider qu’il y a bien une raison à cela. [...]

 

C’est cet équilibre qui dirige les opérations des autorités locales dans nos villes et guide nos habitants dans le développement de leurs attentes quant à la vie privée. Mais en l’absence de lois qui suivent la technologie, nous avons permis aux entreprises de la Silicon Valley de bouleverser fondamentalement cet équilibre.»

Le ministre de l’Intérieur, Bernard Cazeneuve, a lui indiqué sur France Info, quatre jours après les attentats, que la France allait «investir dans des moyens numériques face à des terroristes qui utilisent le cryptage [sic]».

Et le site web du quotidien suisse Le Temps rappelait le 20 novembre qu’il «se pourrait bien qu’il y arrive puisque François Hollande a décidé d’apporter plusieurs modifications à la loi sur le renseignement».

Liberté fondamentale de chuchoter

Le problème, comme le note Glenn Greenwald, c’est que laisser une clé sous le paillasson pour les services de renseignement d’un pays, c’est prendre le risque que des pirates ou d’autres services de renseignement (chinois, iraniens, russes…) ou d’autres acteurs non-étatiques trouvent cette clé et décident eux aussi de l’utiliser.

Laisser une clé sous le paillasson pour les services de renseignement, c’est prendre le risque que des pirates ou d’autres acteurs non-étatiques trouvent cette clé et décident eux aussi d’aller y faire un tour

Et c’est à ce moment-là qu’une partie d’entre vous va probablement nous dire:

«Je me fous que mes messages soient lus par les services de renseignement ou qui que ce soit, tant qu’ils empêchent des attentats de se produire. Je n’ai rien à cacher.»

Je ne crois pas avoir quoi que ce soit à cacher non plus. Mais je n’aime vraiment pas l’idée que qui que ce soit puisse avoir accès à la totalité de mes communications en un claquement de doigts. Steve Morgan, fondateur d’une agence de presse spécialisée dans la sécurité en ligne, explique justement, dans un éditorial publié sur Forbes, que cela fait partie de nos libertés fondamentales:

«En tant que citoyens américains, nous avons le droit de nous chuchoter à l’oreille, de partager des secrets, de nous confier à nos amis et à notre famille, de garder privé ce que nous voulons garder privé. Nous vivons désormais dans une société numérique. Nous utilisons nos smartphones pour chuchoter. Sommes-nous prêts à abandonner notre vie privée? Si le gouvernement peut nous espionner, cela veut dire que les pirates peuvent nous espionner… et ce sont des pirates qui ne vont pas voler uniquement notre vie privée, mais aussi nos informations personnelles, récupérer nos numéros de carte bancaire, stocker nos numéros de sécurité sociale et vendre nos identifiants et mots de passe sur un marché noir que personne parmi nous ne comprend vraiment

Et comme le résume justement David Auerbach sur Slate.com, «si l’on rend illégal le chiffrement sécurisé, seuls les criminels utiliseront le chiffrement sécurisé».

Il ne faut pas non plus oublier que ces outils de chiffrement, et plus largement des logiciels comme PGP –pour communiquer– ou des réseaux comme Tor –pour naviguer sur le web et le dark web–, permettent à des opposants de certains régimes de pouvoir communiquer avec plus de sécurité.

«Droit au chiffrement»

Le chiffrement, c’est un débat chiant, mais crucial. D’autant que, contrairement à ce qui a pu être dit ou écrit, rien ne permet d’affirmer pour le moment que les terroristes de Paris ont bien utilisé ces techniques pour coordonner leurs attentats. The Intercept affirmait ainsi le 18 novembre que plusieurs informations indiquent que «les réseaux de Daech impliqués communiquaient en clair (sans chiffrer leurs communications) et que les données présentes sur leurs téléphones n’étaient pas chiffrées». Le 24 novembre, Le Monde indiquait que Salah Abdeslam –toujours en fuite– avait envoyé plusieurs messages qui avaient pu être captés et lus par les services de renseignement.

 

«Les auteurs des attentats de Paris étaient 1) connus des services de renseignement 2) se vantaient dans le magazine de Daech 3) se sont rencontrés sur Facebook 4) utilisaient les SMS (non chiffrés). Mais bannissez le chiffrement!!»

C’est le même débat qu’une toute petite partie de la population française a essayé d’avoir au moment de la loi renseignement, au printemps 2015. Le problème, c’est que cette fois-ci, il risque de ne même pas y avoir de débat. Un sondage réalisé entre les 18 et 20 novembre indiquait que les Français plébiscitaient la politique sécuritaire du gouvernement. Et l’opposition semble sur la même longueur d’onde. Sur 925 parlementaires, 887 ont décidé d’adopter la prorogation pour trois mois de l’état d’urgence et le renforcement de ses dispositions.

Nous jugions négativement les États-Unis pour l’adoption du Patriot Act un mois après les attaques du 11-Septembre, mais il semble déjà que des mesures similaires aient été mises en place ici. Voici par exemple ce qu’écrit Glenn Greenwald en conclusion de son édito publié dans le Los Angeles Times:

«La leçon-clé des abus post 11-Septembre –de Guantanamo à l’usage de la torture en passant par l’invasion de l’Irak–, c’est que nous ne devons pas autoriser les responsables militaires et du renseignement à utiliser notre peur du terrorisme pour manipuler l’opinion publique. Plutôt que de croire aveuglément leurs propos, nous devons vérifier ces affirmations. Au lendemain des attentats de Paris, cette leçon est plus urgente que jamais.»

Il est difficile de savoir ce qu’il adviendra du chiffrement. Les signaux ne semblent d’ailleurs pas tous aller dans le même sens selon qu’on regarde vers les politiques ou vers les dirigeants d’organismes publics du numérique. Lorsque nous avions contacté divers acteurs du web pour savoir ce qu’ils aimeraient intégrer à une charte mondiale des droits sur internet, Sébastien Soriano, le président de l’Arcep, le gendarme des télécoms, indiquait ainsi qu’il lui paraîtrait logique de voir comment «assurer le secret des correspondances privées» via une telle charte. Le président du Conseil national du numérique, Benoît Thieulin, proposait lui «par exemple “un droit au chiffrement”, qui imposerait aux services concernés d’offrir aux internautes des outils permettant de protéger leurs échanges en ligne».

C’était début novembre.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte