Et si les forces de l'ordre obtenaient un moyen pour casser légalement le chiffrement d'applications comme WhatsApp et Signal, afin de surveiller les discussions des criminels ? L'Europe songe à mettre un tel dispositif en place, mais elle va se heurter à un mur à la fois éthique et technique.

Déjà longuement discutée entre 2015 et 2017, la question de l’accès aux communications chiffrées par les forces de l’ordre revient discrètement dans les organes de l’Union européenne en cette fin d’année 2020. Le 6 octobre, l’Electronic Frontier Foundation, ONG de protection des libertés sur Internet, publiait un article au titre particulièrement alarmiste sur le sujet : «  Ordres venus d’en haut : le calendrier de l’UE pour le démantèlement du chiffrement de bout en bout ». Ce billet agrège les derniers documents internes de l’UE et spécule sur l’intention des lobbyistes de faire présenter une « loi anti-chiffrement » au Parlement européen dès l’année 2021. Reste que pour l’instant, cette discussion n’est pas encore entrée dans l’appareil législatif.

Pour comprendre la tendance, il faut avoir à l’esprit comment les communications sont protégées. De nombreuses applications de messageries permettent aujourd’hui d’avoir des communications chiffrées de bout en bout. WhatsApp ou Signal le font par défaut, d’autres comme Zoom ou Messenger, de façon optionnelle. Ce standard de sécurité garantit que seules les deux extrémités de la communication, l’émetteur et le récepteur, peuvent lire le message. Toute personne qui parviendrait à l’intercepter sur le chemin entre les deux n’aurait sous les yeux qu’une suite complexe de chiffres et de lettres, extrêmement difficile, voire impossible à déchiffrer.

Les forces de l’ordre aimeraient vraiment accéder à certaines communications chiffrées. // Source : Melvyn Dadure pour Numerama

Cet intercepteur peut être un cybercriminel, un employé corrompu du service de messagerie utilisé ou encore le salarié malveillant d’un des opérateurs par lesquels circule la communication. Dans ces trois cas, tout le monde se félicite de la protection offerte par le chiffrement de bout en bout (E2E). Mais il existe un autre cas, que l’Europe songe à débloquer : l’intercepteur peut être un membre des forces de l’ordre qui aurait été autorisé par la Justice à accéder à certaines conversations.

Existe-t-il vraiment une « frontdoor » fermée aux abus ?

L’Europe envisagerait donc la création d’une technique qui permettrait de lever le chiffrement bout en bout sur certaines conversations (dans un cadre très régulé) afin d’en donner l’accès aux forces de l’ordre. Mais cet accès doit dans le même temps rester verrouillé pour les autres profils d’intercepteurs. Autant dire que l’équation s’avère particulièrement difficile à résoudre, et serait vraisemblablement la combinaison de plusieurs techniques.

Un papier du coordinateur de l’antiterrorisme européen, publié en mai, suggérait la création d’une « front-door », par opposition à une « backdoor » qui elle « affaiblirait le chiffrement » et ne serait pas une « option désirable ». Ce jeu sur les mots expose les contradictions internes auxquelles se confronte l’UE : la « front-door » ne serait ni plus ni moins qu’une « backdoor » connue, mise en place avec le consentement des entreprises concernées. Pour justifier cette dérogation, les lobbyistes ont des arguments solides : après tout, qui ne voudrait pas que des terroristes ou des pédocriminels soient arrêtés grâce à de nouveaux moyens ?

En 2015 et 2016, lors de la première émergence du débat sur le contournement du chiffrement par les autorités, la Cnil [l’autorité des données, ndlr] s’était montrée réticente à la création de portes dérobées dans le chiffrement. Mais l’Anssi [l’autorité nationale en matière de sécurité et de défense des systèmes d’information, ndlr] jugeait l’idée plutôt nécessaire. Autant dire que le sujet ne fait l’unanimité à aucun niveau.

Une backdoor n’inquièterait pas les criminels de haut niveau

Olivier Blazy, chercheur en cryptographie, a eu l’occasion de travailler sur des problématiques similaires au contournement du chiffrement E2E. Portes dérobées (backdoors) qui se referment après une certaine durée pour éviter que l’accès soit usurpé ; génération de clé maître contrôlée par plusieurs acteurs ; systèmes de contrôle pour empêcher les fuites d’informations… certaines pistes sont prometteuses.

Mais dans le cas du chiffrement de bout en bout, le professeur universitaire n’hésite pas à trancher : « C’est fatigant que le sujet revienne, ça ne devrait même pas être ouvert au débat », confie-t-il à Numerama. Pour lui, si des solutions pour encadrer l’accès existent, elles ne seraient de toute façon pas efficaces : «  Des gens réellement mal intentionnés avec un peu de bagage technologique, ne seraient pas inquiétés par une telle loi. Rien n’empêche d’utiliser un chiffrement bonus sur un logiciel e2e.  »

À moins d’interdire le chiffrement…

En effet, appliquer une seconde couche de chiffrement à une communication ne requiert pas de compétence avancée ni d’important coût supplémentaire. Avec cette nouvelle protection, même si les autorités pouvaient casser ou déchiffrer le chiffrement de bout en bout, ils seraient de nouveau confrontés à une suite de chiffres et de lettres indéchiffrables.

Peut-être que certains délinquants et criminels de bas étage ne s’adapteraient pas, mais comme le souligne Olivier Blazy, le « grand banditisme » n’aurait aucun problème à déployer ce genre de protection supplémentaire, si il ne le fait pas déjà.  Pour le scientifique, il n’existe qu’un moyen d’empêcher les abus du chiffrement, et de vraiment contrôler les communications. Et il n’est pas vraiment envisageable : « À moins d’interdire aux gens d’utiliser le chiffrement, on ne peut rien faire. Et si on arrête le chiffrement on arrête beaucoup de choses, comme le paiement en ligne par exemple… Il faut aller au bout du raisonnement quand on réfléchit à ce genre de choses.  »

Crédit photo de la une : CCO/Pxfuel

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux