Décrypter les terroristes, les fausses bonnes solutions d’Emmanuel Macron sur le chiffrement - Internet Sans Frontières

Article rédigé par Gibran Freitas, en charge des projets blockchain et libertés à Internet Sans Frontières.
Twitter: @gibran_freitas

“Toute mesure touchant au chiffrement des données doit être basée sur les faits, non sur une peur.”
Frank La Rue, Directeur de la Communication et de l’Information de l’UNESCO.

Les faits en matière de protection des données privées sont clairs depuis les révélations successives d’Edward Snowden, la menace ne vient pas exclusivement de groupes terroristes.

Alan Davidson, ancien directeur de l’Économie Digitale au sein du Département du Commerce américain, insiste quant à lui sur l’intérêt du chiffrement pour la sécurité intérieure, faisant notamment référence à des attaques provenant d’États étrangers : “La nécessité de démocratiser le chiffrement est avant tout un impératif de sécurité intérieure qui englobe largement la question de la vie privée des individus”.

Pourtant, le candidat Macron, que l’on présente comme le candidat “nouvelles technologies et économie numérique”, a fait une déclaration surprenante lors de la présentation de son programme de lutte contre le terrorisme le 10 avril 2017.

“Les acteurs de l’Internet, s’ils persistent dans leur position, devront assumer un jour d’avoir été complices d’attentats.” et poursuit en promettant que “[S‘il est] élu président, la France lancera dès l’été une initiative majeure en direction des grands groupes de l’Internet, pour qu’ils acceptent une procédure de réquisition légale de leurs services cryptés en matière de lutte contre le terrorisme”.

Comment se fait-il qu’Emmanuel Macron, pourtant entouré d’une équipe de fins connaisseurs de ces sujets, semble marcher en sens inverse ?

De qui parle-t-il ? De quoi parle-t-il ? Pourquoi est-ce qu’il en parle ? Sait-il de quoi il parle ?

De qui parle-t-il ?

Le candidat d’En Marche vise les services de messagerie qui utilisent le réseau Internet pour faire transiter les communications chiffrées de leurs utilisateurs (WhatsApp, Telegram, Signal, etc.).

De quoi parle-t-il ?

Emmanuel Macron fait ici référence au chiffrement des données, mis en place par ces services de messagerie à la suite des révélations d’Edward Snowden sur la surveillance de masse réalisée par la NSA.

Il s’attaque plus précisément au chiffrement dit “de bout en bout”.

Cette technique de chiffrement permet à plusieurs personnes souhaitant échanger du contenu, de le faire de manière complètement chiffrée : une entité qui intercepterait les communications serait incapable de les déchiffrer car le contenu est chiffré tout le long de son transit entre les différents interlocuteurs.

La seule façon prévue pour déchiffrer les communications est le déchiffrement grâce à des clés privées. Chaque utilisateur dispose d’une clé installée sur son terminal et cette clé permet de déchiffrer les messages qui lui sont destinés.

Pourquoi est-ce qu’il en parle ?

Des terroristes ont récemment employé  l’un de ces services de messagerie en ligne afin de  communiquer entre eux.

Qu’est-ce qu’il propose ?

Ainsi, la réponse qu’Emmanuel Macron pense utile pour lutter contre le terrorisme, est d’exiger de ces services une collaboration qui va jusqu’à avoir accès au contenu de certaines conversations via la délivrance des clés privées des utilisateurs ou encore l’insertion de “portes dérobées” dans le code informatique des applications, et qui permettrait aux services d’enquête français d’accéder au contenu chiffré plus facilement.

Sait-il de quoi il parle ?

Malgré la présence dans son équipe de campagne de Mounir Mahjoubi, ancien président du Conseil National du Numérique, qui a d’ailleurs signé en 2016 une tribune dans Le Monde intitulée “En s’attaquant au chiffrement contre le terrorisme, on se trompe de cible”, force est de constater que la pertinence des propos tenus par le candidat d’En Marche est susceptible d’être remise en question.

Comme rappelé en introduction, le débat sur la place du chiffrement dans la société se tient trop souvent sous l’angle d’actes extrêmes qui ne représentent qu’un pourcentage infime des cas d’usage du chiffrement, ici les actes terroristes.

Dans le cadre de ce débat, les partisans de la restriction du chiffrement opposent systématiquement la sécurité des individus au respect de leur vie privée (en prenant comme justification la protection contre les actes extrêmes rappelés ci-dessus).

Les faits parlent pourtant d’eux-mêmes : il est inutile et même dangereux de compromettre le chiffrement au nom du terrorisme.

Les services de messagerie ne peuvent pas déchiffrer les messages échangés par leurs utilisateurs

Les clés privées permettant de déchiffrer les messages sont stockées sur les terminaux des utilisateurs, les services de messagerie ne disposent pas de ces clés. Ils ne peuvent donc pas décoder les messages. De la même manière, la plupart de ces services de messagerie ne stockent pas sur leurs serveurs les messages échangés par leurs utilisateurs.

Insérer des portes dérobées dans le code informatique des applications de messagerie dans le cadre de la lutte contre le terrorisme est inutile et dangereux

Les codes source de la majorité des applications visées par le candidat sont disponibles en Open Source, c’est à dire que tout le monde peut y avoir accès librement. Cela signifie que l’introduction d’une porte dérobée serait identifiée rapidement par la communauté des développeurs.

On peut raisonnablement envisager que les terroristes s’intéressent de près à tout changement qui pourrait intervenir et compromettre leurs opérations. Il est également imaginable qu’une fois la porte dérobée détectée, les terroristes n’attendent pas les débats au Parlement pour changer simplement de moyen de communication.

De plus, d’autres entités peuvent également pénétrer par ces portes dérobées avec des intentions plus pernicieuses (Etats étrangers souhaitant interférer dans une élection, ransomwares, trafic de données personnelles).

Une prise de position d’une utilité relative qui porte plus préjudice qu’autre chose

Dans le cadre de la lutte contre le terrorisme, la surveillance précise des métadonnées est largement suffisante. La surveillance massive de ces métadonnées, voire des contenus est complètement inutile (voir sur ce sujet l’audition par le Sénat américain du directeur de la NSA Keith Alexander, en poste de 2005 à  2014).

Les seuls perdants, si de telles mesures parviennent à être mises en place, sont les utilisateurs lambda qui se retrouveraient sans sécurité additionnelle, ni garantie de la protection de leur vie privée.

Enfin, la réponse des “geeks” de son équipe de campagne, intervenue sur internet après les déclarations publiques du candidat, ne s’adresse de fait qu’aux convaincus de l’importance du chiffrement (alors alertés par les déclarations du candidat).

Par ailleurs, la précision des membres de son équipe de campagne nous apprend qu’en fin de compte, l’intention d’Emmanuel Macron est de mettre en oeuvre des mécanismes qui existent déjà…

Cette prise de position sur la question du chiffrement n’encourage pas les citoyens à se préoccuper l’importance de cette pratique, au contraire, ce qui est dommageable étant donné que la problématique principale du chiffrement est la nécessité de faire de la pédagogie sur son utilisation et des bonnes pratiques qui l’entourent.