La riposte s’organise contre les portes dérobées dans les messageries chiffrées demandées par les sénateurs. Les opposants commencent en effet à fourbir leurs armes contre cette mesure contestée embarquée dans la proposition de loi contre le narcotrafic. Ce texte va être étudié à l’Assemblée nationale cette semaine, avec un premier examen en commission des lois ce mardi 4 mars.
Pour rappel, il y a un peu plus d’un mois, le Sénat avait voté un amendement explosif. Ce dernier impose aux plateformes de messageries chiffrées la mise en place des mesures techniques nécessaires pour permettre aux services de renseignement d’accéder aux contenus échangés.
“Il n’y a pas de raison” pour que ces messageries “soient des sanctuaires pour les délinquants et ceux qui veulent attenter aux règles”, plaide auprès de ZDNET.fr Cédric Perrin, le sénateur (LR) à l’origine de l’amendement. Le texte prévoit une amende de 1,5 million d’euros pour les personnes physiques et une amende pouvant aller jusqu’à 2% du chiffre d’affaires mondial annuel pour les personnes morales pour faire respecter l’obligation.
Le chiffrement de bout en bout des communications ne saurait être fragilisé pour permettre des accès par des tiers, fûssent-ils les services de rens.
C’est tout un pan de la confiance dans les messageries qui s’en trouverait questionné. 1/3www.senat.fr/amendements/…
— Eric Bothorel (@bothorel.bsky.social) 30 janvier 2025 à 15:44
Un “affaiblissement”
Mais “une telle disposition méconnaît les risques majeurs qu’elle fait peser sur la sécurité des communications numériques”, rétorque le député (Ensemble pour la république) Eric Bothorel. L’élu des Côtes-d’Armor a publié sur LinkedIn son amendement de suppression. En effet, “l’exigence d’un affaiblissement des mécanismes de chiffrement va à l’encontre des principes fondamentaux de sécurité informatique”, rappelle-t-il.
Une position partagée par Guillaume Poupard, l’ancien directeur général de l’Anssi. “Attention aux conséquences délétères d’idées en apparence séduisantes”, avertit-il également sur le même réseau social. Et de citer une analyse du cyber-pompier de l’Etat de… 2016. Elle avait été dévoilée à l’époque par Libération. Ainsi, il existe déjà dans le code pénal et le code de la sécurité intérieure la possibilité d’exiger “le concours des prestataires en cryptologie afin d’aider au contournement des mécanismes de sécurité”, signalait ce document.
Faire évoluer cette obligation de moyen vers une obligation de résultat reviendrait à imposer “aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques employés”, précisait la note. “Or il est techniquement impossible d’assurer que ce dispositif ne bénéficiera qu’aux personnes autorisées.” Au contraire: les attaquants de tout type, qu’ils soient étatiques ou des cybercriminels opportunistes, sont friands de ce genre de porte dérobée.
“Impossible à réaliser”
L’Alliance française des industries du numérique a également pointé les risques d’une telle mesure pour la cybersécurité des services de messagerie. Cette association qui rassemble notamment Apple, Amazon, ou encore Airbus, vient d’envoyer aux parlementaires un courrier signalé par L’Informé. Elle y appelle à une saisine de l’Anssi, de la Cnil et de l’Arcep en préalable des débats à l’Assemblée nationale.
“Une backdoor ‘sûre’ est techniquement impossible à réaliser”, abondait également Olvid. L’entreprise est à l’origine d’une solution de messagerie chiffrée du même nom. Cette société française s’interrogeait toutefois sur les véritables intentions du législateur. “L’objectif est peut-être de forcer les messageries comme Telegram à communiquer aux autorités françaises les données auxquelles elles ont déjà accès en clair”, indiquait-elle.
Cette dernière plateforme est présentée à tort comme une messagerie chiffrée. Or “les discussions de groupe, par exemple, sont systématiquement accessibles en clair sur les serveurs. Peut-être que l’amendement vise à ce que [Telegram] ne soit pas la seule à pouvoir consulter les discussions de ses utilisateurs?”, demandait, faussement ingénue, Olvid.
L’avertissement de Signal
Ce questionnement sur le chiffrement ne se déroule pas seulement en France. La présidente de la fondation Signal, qui gère la messagerie chiffrée du même nom, vient d’avertir dans la presse locale. L’application ne sera plus disponible en Suède si les plateformes de messagerie sont obligées par une nouvelle loi de conserver les messages échangés par leurs utilisateurs.
Apple a également indiqué la semaine dernière avoir désactivé la protection avancée des données pour ses utilisateurs basés au Royaume-Uni.
Le gouvernement vient en effet de demander à pouvoir avoir un droit de consultation. Avec un couperet immédiat pour les amoureux de la marque à la pomme. Concrètement, cela signifie désormais l’arrêt du chiffrement de bout en bout pour une floppée de services. Comme pour les sauvegardes iCloud, le drive, ou encore les photos. Un épineux problème de sécurité pour les personnes concernées.