Exit les backdoors ! Le débat sur le chiffrement des données est en train de prendre une nouvelle direction au niveau européen.
Depuis plusieurs années, les gouvernements cherchent un moyen pour aider les forces de l’ordre à contourner les verrous cryptographiques qui rendent le travail d’investigation de plus en plus difficile. Surtout s’il s’agit de chiffrement de bout en bout comme pour WhatsApp ou Signal.
Certains responsables politiques, en Europe comme aux Etats-Unis, ont plaidé pour la création de portes dérobées dans les logiciels, générant une forte levée de boucliers au sein de la communauté informatique.
Deux rapports européens montrent que la piste des portes dérobées semble être de plus en plus abandonnée au profit d’un renforcement des « capacités de déchiffrement ». Dans un rapport sur la sécurité, la Commission européenne veut ainsi augmenter pour l’année 2018 les effectifs du centre de déchiffrement d’Europol à 86 personnes, soit 19 personnes de plus qu’en 2017.
Elle veut également créer un observatoire technique et juridique sur le domaine du chiffrement, qui analysera les nouvelles techniques et leur impact sur l’enquête criminalistique. Il fonctionnerait en collaboration avec Europol et Eurojust, l’agence européenne pour la coopération judiciaire.
« Etudier les points faibles », « exploiter des erreurs »
La Commission européenne est prête à dépenser 500 000 euros pour former davantage les agents des forces de l’ordre dans les techniques de chiffrement et déchiffrement. Elle souhaite aussi que les états membres se dotent d’un réseau de centres d’expertise dans ce domaine, qui serait basé sur l’entraide et la collaboration internationale. L’idée étant que les pays les plus équipés puissent apporter leur soutien aux autres.
Ce réseau aurait notamment pour mission de créer une « boîte à outils pour techniques d’investigation alternatives » qui serait partagée entre les états membres et qui permettrait de venir plus facilement à bout des données chiffrées.
En quoi peuvent bien consister ces « techniques alternatives » ? La Commission ne le dit pas, mais un rapport sur la cybercriminalité du Conseil européen donne quelques indications supplémentaires.
Ainsi, les forces de l’ordre devraient « investir dans du matériel et des logiciels spécialisés dotés d’une capacité de calcul suffisante », afin de pouvoir lancer des calculs de cryptanalyse. Ils devraient également « étudier les points faibles des algorithmes et des applications, notamment pour pouvoir exploiter d’éventuelles erreurs ».
La coopération avec des sociétés privées est encouragée « afin d’améliorer les capacités de déchiffrement des autorités compétentes ».
Enfin, les états membres devraient « intensifier les travaux de recherche et développement en vue de mettre au point de nouvelles méthodes plus efficaces de déchiffrement ».
Le FBI a montré la voie
On peut se demander si la stratégie sous-jacente n’est pas finalement de se doter d’un arsenal de failles zero-days. En effet, les progrès en matière de cryptanalyse sont longs, fastidieux et nécessitent des compétences mathématiques très pointues. Détecter des failles dans les implémentations logicielles pourraient être beaucoup plus efficace.
Dans le cas de l’iPhone de San Bernardino, par exemple, le FBI se serait appuyé sur une faille zero-day fourni par un groupe de hackers. Une telle approche des choses ferait évidemment le bonheur de sociétés spécialisées dans l’exploitation de failles de sécurité comme Cellebrite ou Zerodium. D’ailleurs, cette dernière propose depuis septembre la somme d’un million de dollars pour le premier qui trouve une faille exploitable dans Tor, le navigateur Web qui permet d’accéder au Darknet. Les forces de l’ordre seraient sûrement très intéressées d’avoir en leur possession une telle brèche informatique.
En Allemagne, en tous les cas, l’utilisation de failles zero-day n’est plus vraiment un tabou. En septembre dernier, le ministère de l’intérieur a inauguré le « Zitis », un centre de recherche en sécurité informatique dédié à la lutte contre la criminalité et le terrorisme.
Il va regrouper à terme 400 hackers dont la mission est de développer des techniques de surveillance et de cryptanalyse. Ils ont particulièrement en ligne de mire les services de messageries chiffrées telles que WhatsApp ou Signal. Il est probable que les autres pays européens prennent exemple sur cette nouvelle stratégie de lutte contre la criminalité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.