- Accueil
- Transformation numérique
- Pourquoi le chiffrement de bout en bout est indispensable à nos démocraties
Pourquoi le chiffrement de bout en bout est indispensable à nos démocraties
Le 11 août 2015, le procureur de la République François Molins co-signait une tribune dans le New York Times. Il y dénonçait le chiffrement de bout en bout des téléphones par Apple et Google, qui détenaient alors 96% du marché. En effet, pour ce magistrat connu depuis les attentats de 2012 pour son engagement sans faille dans la lutte contre le terrorisme, « le chiffrement intégral limite considérablement notre capacité à enquêter et compromet gravement notre efficacité dans la lutte contre la criminalité et le terrorisme. »
Il aurait pu ajouter la lutte contre la pédocriminalité, une cause majeure portée aujourd’hui par les partisans de la réglementation européenne CSA, en débat depuis 2022, et qui vise cette fois les services de messagerie chiffrée comme Signal, Telegram, ou WhatsApp.
En 2016, un an après la tribune de François Molins, le directeur général de la DGSI Patrick Calvar témoignait devant Commission de la défense nationale et des forces armées. Le commissaire mettait lui aussi en cause l’obstacle du chiffrement de bout en bout des communications au sein des groupes terroristes : « nous nous heurtons à un problème bien connu et qui va grandissant : celui du chiffrement. »
En 2015, le FBI avait rencontré les mêmes difficultés lors des attentats de San Bernardino. Les enquêteurs, en possession du téléphone d’un des terroristes, étaient incapables de « casser » le chiffrement qui protégeaient ses données. Sollicité par la justice, Apple refusa de mettre au point une mise à jour de son logiciel utilisant une faille de son système d’exploitation et sa propre signature de code pour donner un accès aux mots de passe du terroriste.
Un compromis entre plus ou moins de sécurité
Pourquoi un tel refus ? Parce qu’aux yeux des spécialistes de la cryptologie et de la sécurité informatique, créer volontairement une « porte dérobée » ( ou backdoor) dans un système de chiffrement est une aberration. L’un des plus éminents experts en cybersécurité, Bruce Schneier, rappellera ainsi qu’« il n’existe aucun moyen de donner cette capacité au FBI sans affaiblir le chiffrement face à tous les adversaires ». Un avis partagé par Guillaume Poupart, qui considère qu’une porte dérobée « est une vulnérabilité qui peut être exploitée par n’importe qui ».
Les communications chiffrées ne fonctionnent pas comme les communications sur les lignes téléphoniques classiques, sur lesquelles il est aisé pour les autorités d’intercepter en passant par les opérateurs, ni comme les pass PTT. Le chiffrement est fort, par nécessité : « un chiffrement fort signifie un chiffrement incassable. Sinon, toute faiblesse dans le chiffrement sera exploitée – par des hackers, des criminels et des gouvernements étrangers. […] Le FBI présente les backdoors comme un compromis entre sécurité et vie privée. Ce n’est pas le cas. C’est un compromis entre plus de sécurité et moins de sécurité », concluait ainsi Bruce Schneier.
Ce débat entre partisans de la sécurité nationale et partisans de la confidentialité des échanges est ouvert à chaque attentat, ou bien plus récemment avec le règlement européen CSA dont l’objectif, plus que louable, est la lutte contre la pédocriminalité. Les services de messagerie chiffrée sont en effet sommés, dans ce projet de règlement, de « détecter » les contenus illicites sur leurs plateformes, « indépendamment des technologies utilisées par les fournisseurs concernés » mais sans pour autant renoncer au chiffrement que les législateurs reconnaissent par ailleurs être « un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris les communications des enfants. »
Cette injonction contradictoire est insurmontable, puisque le propre du chiffrement de bout en bout est de garantir que seuls l’émetteur et le destinataire du message puissent le lire, contrairement aux modes de communication classiques où l’opérateur privé indiscret (ou bien les services d’État abusifs) peuvent aisément consulter des échanges à l’insu de leurs correspondants.
La pierre angulaire de notre sécurité informatique
Depuis l’invention du Data Encryption Standard (DES) en 1975 par les équipes d’IBM pour la protection des données bancaires, ou encore la découverte des clés publiques et privées en 1976 par Whitfield Diffie et Martin Hellmanle, le chiffrement de bout en bout s’est lentement généralisé au point de constituer aujourd’hui la pierre angulaire de notre sécurité informatique. La cryptographie n’est plus le pré carré de la diplomatie et du renseignement. Elle garantit la confidentialité des échanges de milliards d’individus dans le monde, qu’ils soient journalistes, fonctionnaires, avocats, médecins, lanceurs d’alerte, militaires, hommes politiques ou simples citoyens.
Avec la numérisation de nos sociétés, la présence exponentielle des données critiques en circulation, le chiffrement de bout en bout est en effet loin d’apporter « un bénéfice marginal », comme le pensait François Molins. Bien au contraire, « il n’a jamais été aussi vital pour la sécurité nationale et la confidentialité des citoyens dans le monde entier », rappelait le service de messagerie Signal. Une réalité qu’a bien comprise la Cour Européenne des Droits de l’Homme (CEDH) en donnant raison à un ressortissant russe contre la volonté du FSB d’accéder aux clés de chiffrement de Telegram.
En 1984 avait lieu à Paris le premier congrès de cryptographie. Quarante ans plus tard, la France héberge une des communautés les plus reconnues en matière de cryptographie, que ce soit dans la recherche fondamentale avec des figures internationales au sein de l’ENS comme Jacques Stern et David Pointcheval, ou bien dans la Tech avec des entreprises comme Tanker, Linear ou encore les messageries Olvid et Citadel. Ce sont aussi des Français qui ont trouvé une faille dans le système de téléphonie chiffrée EncroChat, très prisé par les groupes criminels du monde entier, et qui ont permis l’arrestation de 6500 mafieux. Nul doute que de cet écosystème pourrait aussi émerger des sociétés plus « offensives », à même d’offrir des solutions d’interception à la justice, sans pour autant affaiblir nos capacités de chiffrement ou avoir recours à des entreprises étrangères régulièrement objets de scandale. Mais en a-t-on seulement la volonté politique ?
la newsletter
la newsletter