À quelle sauce vont-être mangées les messageries de chiffrement comme WhatsApp, Telegram, Signal ou Olvid ? La réponse devrait tomber dans les prochaines semaines, car à compter de ce lundi 17 mars débute à l’Assemblée nationale l’examen de la proposition de loi « visant à sortir la France du piège du narcotrafic ». Un de ses articles (8 ter), supprimé en commission après moult controverses, pourrait être réintroduit dans le texte.
Cette disposition visait à contraindre les messageries chiffrées à partager les messages échangés sur ces plateformes avec les forces de l’ordre, à des fins de lutte contre la grande criminalité – des messages auxquelles ni la plateforme elle-même, ni les services d’enquête n’ont accès, en raison du chiffrement. Sur ce type de messagerie, seuls l’expéditeur et le destinataire ont une clé qui permet de déchiffrer les messages échangés.
Comme nous vous l’expliquions dans cet article, la mesure était très contestée en raison de son caractère liberticide, que cela soit par les messageries, les entreprises du numérique, mais aussi par les autorités en charge de défendre nos données personnelles et les associations de défense de la vie privée.
Dans une tribune du Monde du mercredi 5 mars, signée par un collectif de spécialistes du numérique dont Guillaume Poupard, expert en cybersécurité et ancien patron de l’Anssi, Gilles Babinet, coprésident du Conseil national du numérique, Sébastien Soriano, ancien président de l’Arcep, le mathématicien Cédric Villani, ou encore les députés français Anne Le Hénanff (Horizons), Eric Bothorel (EPR) et Philippe Latombe (Les Démocrates), la proposition de loi était décrite comme « donnant à l’État des pouvoirs considérables pour espionner numériquement les Français et porter atteinte au secret des correspondances ». Le collectif demandait expressément aux Parlementaires de « corriger cette proposition hâtive, inefficace et catastrophique pour notre sécurité numérique en retirant l’article 8 ter ».
Le message semblait avoir été entendu, puisque le texte a finalement été supprimé en commission des lois de l’Assemblée nationale. Pourtant, la bataille est loin d’être terminée.
À lire aussi : Pourra-t-on encore avoir des conversations privées, si la loi impose des « portes dérobées » à WhatsApp, Telegram ou Signal ?
Car depuis, trois amendements ont été déposés par les députés Mathieu Lefèvre, Paul Midy (EPR) et Olivier Marleix (DR). Ils visent à réintégrer la mesure contraignant les messageries à capter des messages, à la demande des autorités, avec garde-fous à l’appui, comme l’absence d’altération du chiffrement, le respect du secret des correspondances et la protection des données personnelles.
Des plateformes qui « ne collaborent jamais sur l’accès aux contenus »
Bruno Retailleau, ministre de l’Intérieur et partisan de la mesure, a répété le week-end dernier, dans les pages du Parisien, qu’il souhaitait « que cet article soit réintroduit ». Selon l’homme politique, « il ne s’agit pas de mettre en place une surveillance généralisée mais de définir avec tous les opérateurs les moyens qui permettront aux services de renseignement d’empêcher des règlements de comptes, des trafics d’êtres humains et des attentats. Comme toute technique de renseignement, ces méthodes seront sous le contrôle du Premier ministre et d’une commission indépendante ».
La directrice de la DGSI, Céline Berthon, est, elle aussi, montée au créneau, cette fois dans les colonnes du Journal du Dimanche. La femme à la tête de la Sécurité intérieure estime qu’un tel accès est aujourd’hui « indispensable à notre travail ». « Cette mesure ne pourra s’appliquer qu’à des personnes nommément désignées, sur décision du Premier ministre, après avis de la Commission nationale du contrôle des techniques de renseignement (CNCTR) ». Elle déplore « qu’en matière de renseignement, les applications comme Signal, WhatsApp ou Telegram, pour ne citer qu’elles, ne coopèrent jamais sur l’accès aux contenus. C’est pour cette raison que la mise en place d’un cadre légal contraignant est porteuse d’espoir ».
Pourtant, de par la technologie du chiffrement, les messageries n’ont pas accès aux contenus des messages échangés par leurs utilisateurs sur leurs plateformes : difficile donc de répondre positivement à une demande des autorités si elles ne sont pas en mesure d’accéder elles-mêmes aux conversations échangées.
Ces dernières années, de nombreux experts en cybersécurité ont expliqué qu’il n’était pas possible de rendre des messages chiffrés accessibles aux forces de l’ordre, sans les rendre aussi accessibles aux pirates informatiques et aux gouvernements hostiles – que cela soit via « une porte dérobée » ou d’autres méthodes. Auditionné par la Commission des Lois le 4 mars dernier, Bruno Retailleau, le ministre de l’Intérieur, avait notamment évoqué non pas « une solution backdoor, c’est-à-dire où on crée une faille, où à tout moment, quelqu’un, un service de renseignement peut s’infiltrer » mais une autre technique, celle « de l’utilisateur fantôme ».
« En clair, vous avez une plateforme qui est capable de chiffrer une communication d’un individu A à un individu B. On chiffre de bout en bout. Là, on ne va pas s’introduire au milieu, si j’ose dire, de cette communication. On va demander à la plateforme de faire aussi, pendant qu’elle utilise ce flux de A à B, de faire de A à C. Donc il n’y a pas de faille, il n’y a pas de faille », répétait-il.
La technique du fantôme est « une porte dérobée »
Un point sur lequel est revenu Guillaume Poupard ce lundi 17 mars. L’ancien directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le gendarme de la cybersécurité français, a longuement commenté, ce lundi 17 mars, la « technique du fantôme » proposée – une méthode « dont les dangers et l’inefficacités (ont) (…) été largement démontrés », écrit-il dans un post LinkedIn. « L’idée est d’introduire sur réquisition dans les conversations un participant fantôme, invisible mais destinataire des échanges. C’est séduisant mais ça ne résiste malheureusement pas à l’analyse. La question de savoir s’il s’agit ou pas de backdoors (portes dérobées, NDLR) est stérile. Modifier des fonctions de sécurité de manière cachée afin de contrevenir à leur raison d’être, c’est introduire une porte dérobée. Point. », écrit-il.
Pour ce dernier, « modifier les mécanismes de sécurité, les protocoles comme leur implémentation, qui plus est de manière cachée, c’est la garantie de multiplier les erreurs et vulnérabilités involontaires qui pourront ensuite être exploitées par les cybercriminels ». Selon l’ancien patron de l’Anssi, « l’introduction de backdoors, aussi perfectionnées soit-elles, est à la fois irréaliste, dangereux et inefficace ».
Quelques heures avant le début de l’examen du texte prévu cet après-midi, le gouvernement recevait ce matin à Matignon les représentants des messageries chiffrées, avant d’arrêter sa position, nous apprend Politico, ce lundi 17 mars. L’exécutif peut encore déposer un amendement visant à rétablir la mesure – ce jusqu’à l’examen du texte, rappelle Contexte, ce jour. Les débats, qui risquent d’être salés, dureront jusqu’au 25 mars prochain.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
