Le débat a lieu régulièrement : il a refait surface après l’attentat d’Arras. En France, on réclame à nouveau la mise en place de « porte dérobée », une exception au chiffrement des messageries chiffrées comme WhatsApp, Telegram ou Signal. Casser le chiffrement permettrait aux enquêteurs de gagner du temps, a expliqué le ministre de l’Intérieur Gérald Darmanin. Mais cela mettrait surtout en danger notre vie privée, revenant à donner carte blanche aux pirates informatiques.
C’est une rengaine régulièrement entonnée par nos politiques français et européen, sous couvert de lutte contre le terrorisme ou la pédopornographie : il faut casser le chiffrement des messageries chiffrées comme Signal, WhatsApp ou Telegram. Après l’attentat d’Arras, les attaques contre le chiffrement de bout en bout sont, sans surprise, revenues sur le devant de la scène. Interrogé jeudi 19 octobre chez nos confrères de BFM TV, le ministre de l’Intérieur, Gérald Darmanin, a répété, comme il l’avait déjà fait quelques jours plus tôt, qu’il faudrait « pouvoir négocier […] une porte dérobée » avec les géants du numérique pour mieux se défendre contre les terroristes.
Les services secrets impuissants face aux messageries chiffrées ?
De quoi est-il question ? Sur les messageries chiffrées que sont Signal, Whatspp, ou Telegram, seuls l’expéditeur et le destinataire peuvent avoir accès au contenu des messages, grâce à une clé qui permet de les déchiffrer. Ni les plateformes elles-même, ni les forces de l’ordre ne peuvent avoir connaissance des contenus échangés, y compris lorsqu’ils proviennent du grand banditisme, de pédocriminels ou de groupes terroristes.
Gérald Darmanin explique ainsi, au sujet de l’auteur présumé de l’attaque d’Arras, Mohammed Mogouchkov, que ce dernier était écouté quotidiennement depuis trois mois par la DGSI, une division du Renseignement dont l’objectif est de lutter contre le terrorisme, dans l’Hexagone. « Nous avons des dizaines d’heures d’enregistrement que la DGSI a traduit à l’heure près. Il n’y avait aucune menace. Il était géolocalisé », souligne-t-il chez nos confrères.
Mais les moyens dont dispose le Renseignement français ne seraient tout simplement plus suffisants face aux messageries chiffrées, avance l’homme politique. « Hier encore, les écoutes téléphoniques classiques nous renseignaient sur la grande criminalité et le terrorisme. Aujourd’hui, les gens passent par Signal, Telegram, WhatsApp, Facebook, ils s’envoient des messages qui ne passent pas par une ligne téléphonique classique mais par le numérique, par Internet », poursuit-il. Et si l’assaillant a utilisé des messageries chiffrées, le contenu de ses conversations aurait échappé aux services secrets.
Menace terroriste: « L’un des problèmes des services de renseignement sont les messageries cryptées », affirme Gérald Darmanin (ministre de l’Intérieur et des Outre-mer) pic.twitter.com/vK9JgY8pVG
— BFMTV (@BFMTV) October 19, 2023
La technique de la porte dérobée : la fin des correspondances privées ?
Pour permettre au Renseignement d’y avoir accès, Gérald Darmanin souhaiterait pouvoir imposer aux plateformes de mettre en place une exception au chiffrement, ce qu’on appelle une porte dérobée, sur demande des autorités, soit « un juge ou un préfet ». Ces messageries étant « utilisées par des gens malfaisants, on doit pouvoir négocier avec les entreprises une porte dérobée, c.-à-d. de dire, “Mr WhatsApp, je soupçonne que Monsieur X va passer à l’acte, (…) donnez nous la conversation de cette personne qui représente une menace”. Nous gagnerons énormément de temps ».
Problème : cette technique de porte dérobée a été décriée à maintes reprises parce qu’elle compromet l’efficacité du chiffrement dans son ensemble, en étant notamment une voie d’accès aux pirates informatiques. Pour Andy Yen, CEO et fondateur de la messagerie chiffrée Proton, « il est impossible de créer une porte dérobée qui ne laisserait entrer que les acteurs bienveillants (comme les enquêteurs français, ndlr). Affaiblir le chiffrement de bout en bout donnerait carte blanche aux pirates informatiques et autres acteurs étatiques à un moment où l’Europe voit le nombre de cyberattaques grimper en flèche, et à un moment où elle se trouve au centre d’une cyberguerre déclenchée par l’invasion de l’Ukraine par la Russie ». Pour le chef d’entreprise, une telle mesure porterait « atteinte à la sécurité de millions d’entreprises et citoyens français », écrit-il à 01net. Apple et Meta ont déjà rappelé, dans le passé, que les portes dérobées ne sont pas « réservées aux gentils », (soulignait Tim Cook). Elles seraient un cadeau pour les malfrats, les pirates informatiques et les régimes répressifs, précisait Facebook.
Pour de nombreux spécialistes, le problème serait bien plus profond. Altérer le chiffrement reviendrait à mettre fin au caractère secret (et sacré) des correspondances privées.
Le chiffrement est un standard de sécurité qui permet de protéger sa vie privée
Ces messageries chiffrées, qui sont très utilisées, permettent à bon nombre de militants des droits de l’homme, de journalistes, d’opposants politiques, de citoyens et d’entreprises de communiquer en toute sécurité. Elles sont aussi un moyen de se défendre contre la surveillance de certains États, de se prémunir de l’usurpation d’identité, du vol d’informations confidentielles, et de l’utilisation de nos données, partout dans le monde. La Quadrature du Net rappelle, sur son compte X le 17 octobre, que « le chiffrement est (avant tout) un standard de sécurité, il protège tout le monde et permet l’exercice d’un droit fondamental, celui de protéger sa vie privée ».
Introduire un accès, une « backdoor », affaiblirait le niveau de protection de l’ensemble des communications. Le chiffrement est une mesure de sécurité, le casser rendrait le monde numérique vulnérable et personne n’y a intérêt.
— La Quadrature du Net (@laquadrature) October 17, 2023
Et si casser le chiffrement permettrait de « gagner du temps », selon le ministre, le Renseignement français dispose déjà de moyens substantiels pour contourner le chiffrement, estime l’association. L’ONG rappelle que la loi Renseignement de 2015 permet aux enquêteurs d’installer des logiciels espions sur des smartphones de suspects, y compris à distance. Pour Andy Yen, le patron de Proton, « il existe des moyens plus progressistes et plus efficaces de lutter contre la criminalité en ligne sans porter atteinte à la vie privée et à la sécurité ».
Cette porte dérobée est-elle imposée dans d’autres pays ? La réponse est négative pour le ministre. Le Royaume-Uni a voulu l’introduire dans la loi avant de reculer, en septembre dernier, face à la bronca des défenseurs des droits, mais aussi des plateformes. Au sein de l’Union européenne, le projet controversé de règlement CSAR, qui prévoit de pouvoir scanner les messageries chiffrées pour détecter des contenus pédopornographiques, était âprement discuté au Conseil ces derniers jours. Et là aussi, la mesure est très discutée. La possible future obligation de scan automatique des messageries chiffrées, qui altérerait le chiffrement, pourrait bien être retirée du projet de loi, tant elle divise les 27 États-membres. « La loi ne le prévoit pas, aucune loi au monde ne le prévoit pour l’instant », reconnaît Gérald Darmanin.
Et pour cause : pour beaucoup, imposer des portes dérobées aux messageries chiffrées reviendrait à ouvrir la boîte de Pandore, menant tout droit à une société de surveillance généralisée. Car après la lutte contre le terrorisme et la pédopornographie, qu’est-ce-qui empêchera les gouvernements d’étendre ces exceptions à d’autres finalités, plus politiques ?
À lire aussi : Supprimer les VPN, lever l’anonymat sur Internet… Pourquoi nos politiques proposent-ils des idées irréalistes ?
Source :
Interview de Gérald Darmanin du 19 octobre sur BFM TV