On pensait que le sujet sur les backdoors dans les messageries chiffrées était plus ou moins enterré. Finalement, il réapparait en douce, depuis Bruxelles. Comme le souligne The Register, les ministres de l’intérieur français et allemand ont récemment envoyé une lettre de doléances à la Commission européenne pour l’inciter à proposer d’ici à quelques mois une nouvelle loi facilitant la contournement du chiffrement, surtout quand il s’agit de lutter contre le terrorisme.
Ainsi, les ministres Bruno Le Roux et Thomas de Maizière écrivent:
« La lutte contre le terrorisme requiert de donner les moyens juridiques aux autorités européennes afin de tenir compte de la généralisation du chiffrement des communications par voie électroniques lors d’enquêtes judiciaires et administratives. La Commission européenne doit veiller à ce que des travaux techniques et juridiques soient menés dès maintenant pour étudier la possibilité de définir de nouvelles obligations à la charge des prestataires de services de communication par voie électronique tout en garantissant la fiabilité de systèmes hautement sécurisés, et de proposer sur cette base une initiative législative en octobre 2017. »
Risque pour la sécurité globale
Ce texte ne mentionne pas le terme « backdoor », «porte dérobée» en français, un dispositif qui laisse une ouverture dans un logiciel pour déchiffrer les informations à l’insu des utilisateurs. Mais l’idée est bien sous-jacente dans le terme « nouvelles obligations ». Cette formulation a tout de suite fait bondir la Computer & Communications Industry Association (CCIA) qui défend le chiffrement informatique et rejette toute loi susceptible de l’affaiblir. L’association est d’autant plus alerte qu’un porte-parole de la Commission, cité par Politico Pro, a soutenu l’initiative franco-allemande en soutenant que « le chiffrement ne devait pas empêcher les forces de l’ordre et autres autorités compétentes d’exercer leurs missions légales ».
La CCIA rappelle, à ce titre, que toute porte dérobée « poserait de sérieux risques pour la sécurité globale et la confidentialité des communications des Européens, ce qui semble incompatible avec les protections juridiques existantes pour les données personnelles. Une sécurité affaiblie rend finalement les systèmes en ligne plus vulnérables à tous types d’attaques, des terroristes aux pirates informatiques ».
L’association est loin d’être seule dans ce jugement. Tous les cryptographes disent qu’il est impossible d’insérer une porte dérobée dans un système sans affaiblir son niveau de sécurité, car il y a toujours le risque que ce dispositif secret tombe en de mauvaises main. En décembre dernier, l’Enisa, l’agence européenne en charge de la sécurité des systèmes d’information, avait également écarté la création de portes dérobées dans un rapport. « L’utilisation de backdoors en cryptographie n’est pas une solution. Les utilisateurs légitimes existants sont mis en danger par l’existence même de backdoors. Les mauvaises personnes sont punies », résume l’agence.
Par ailleurs, les portes dérobées ne permettraient pas forcément de déchiffrer les messages qui intéresseraient les forces de l’ordre car « les criminels peuvent déjà développer et utiliser leurs propres outils cryptographiques ».
Vers les techniques intrusives
Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), défend les mêmes idées depuis plus d’un an. En janvier 2016, il s’était déjà prononcé contre toute insertion d’accès parallèles chez les fournisseurs technologiques. En revanche, il n’est pas contre les « technique d’enquêtes intrusives », comme il l’a précisé en janvier dernier, à l’occasion du FIC 2017. Cette expression signifie en fait le piratage des terminaux informatiques. Cette technique permet, en effet, de contourner le problème en interceptant le message avant qu’il soit chiffré ou après qu’il soit déchiffré.
Ce type d’outils sont réalisés par des éditeurs tels qu’Hacking Team, Amesys ou Gamma. Paradoxalement, l’ANSSI a été chargé de certifier ces outils de piratage avant qu’ils ne soient utilisés par les services de l’Etat. « La loi française autorise les chevaux de Troie. Quand un service de police veut utiliser un tel outil, il doit demander l’autorisation au Premier ministre. Quand un industriel veut vendre un tel produit, il doit obtenir l’autorisation de l’ANSSI. On regarde alors de près et on vérifie qu’ils font bien ce qu’ils sont censés faire, notamment sur la base des codes sources. Ce sont des outils qui commencent à être utilisés avec efficacité », précise Guillaume Poupard, lors du FIC 2017.
On ne voit donc vraiment pas à quoi pourra bien servir cette surprenante initiative franco-allemande…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.