Le gouvernement en dit davantage sur la manière dont il espère pouvoir lutter contre le recours au chiffrement de bout en bout, qui rend l'interception des messages quasi impossible pour les services de renseignement ou de police judiciaire. Deux options à l'étude : interdiction, ou backdoor.

À la fin du mois d’août, le ministre de l’Intérieur Bernard Cazeneuve a reçu son homologue allemand Thomas de Maizière pour discuter de la lutte contre le terrorisme, et évoquer le sujet sensible de l’accès aux communications chiffrées. Mais le discours de M. Cazeneuve est resté très flou sur les moyens juridiques et techniques à employer pour rendre lisibles des communications chiffrées de bout en bout.

Seule une phrase laissait percevoir la méthode, en demandant que la Commission européenne étudie « la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ».

C’est finalement dans une réponse écrite au sénateur Christian Cambon, inquiet des effets du chiffrement, que le ministère a mieux précisé sa pensée en expliquant que «  les défis que pose aux forces de sécurité le chiffrement est réel ».

telegram-app

Dans un premier temps, le ministère reconnaît que seul les logiciels avec chiffrement de bout en bout (Signal, Telegram dans certains cas, Facetime, Viber, WhatsApp, …) lui pose de réelles difficultés, puisque personne ne dispose des clés à part les destinataires et expéditeurs, ce qui ne permet pas de mettre en œuvre les dispositions du code pénal qui obligent les intermédiaires à fournir les clés et conventions de chiffrement qu’ils détiennent.

Ne reste donc que deux options. Interdire le chiffrement de bout en bout, ou exiger que soit implémenté un backdoor sous contrôle de l’éditeur. Il semble que le ministère penche plutôt pour cette seconde option.

Option 1 : interdire de fait le chiffrement de bout en bout

En effet, il conçoit comme solution le fait « d’obtenir des fournisseurs de logiciels de communications électroniques (Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik, Wechat, etc.) des clés ou des algorithmes de déchiffrement afin de pouvoir mettre au clair, presque en temps réel, les flux internet interceptés, et de les sanctionner sur le plan pénal ou administratif en cas d’absence de réponse ».

Cela revient à dire que les techniques de chiffrement de bout en bout seraient interdites, puisque tout fournisseur de logiciel de messagerie aurait l’obligation d’être en mesure de fournir les clés et algorithmes, sous peine de sanction. Or tout le principe du chiffrement de bout en bout est justement de ne pas posséder les clés pour qu’aucun intermédiaire ne puisse déchiffrer les messages échangés.

Quoi qu’il en soit, et probablement parce qu’il sait que cela aurait pour effet de développer des messageries libres et open-source qui échappent à toute emprise juridique, le ministère de l’Intérieur estime qu’une telle solution «  ne peut être que temporaire ».

WhatsApp

Option 2 : imposer un backdoor sous contrôle de l’éditeur

Le cabinet de Bernard Cazeneuve estime donc qu’il serait plus « pérenne » de réfléchir à une seconde solution, qui consisterait à créer une nouvelle catégorie de prestataires dans la loi, les « fournisseurs de logiciels de communication électronique ». Ceux-ci seraient alors aux mêmes obligations juridiques que les opérateurs de communications électroniques (FAI, opérateurs mobiles…), avec «  oblig[ation] à procéder à des interceptions, avec fourniture des contenus qui transitent par leurs serveurs, en temps réel et en clair ».

Lorsqu’il veut offrir des services télécoms, un opérateur a en effet l’obligation actuellement de respecter un certain nombre de règles, dont des « prescriptions exigées par l’ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en oeuvre des interceptions justifiées par les nécessités de la sécurité publique ». L’article D98-7 du code des postes et communications électroniques précise que l’opérateur « met en place et assure la mise en oeuvre des moyens nécessaires » aux mises sur écoute, qui doivent être possibles depuis la France.

skype-mobile-1200.jpg

C’est à ce motif que l’Arcep avait saisi la justice contre Skype, en estimant qu’avec son chiffrement et son fonctionnement en P2P, il ne remplissait pas son obligation d’autoriser les écoutes téléphoniques. Mais l’autorité avait bien précisé à l’époque que si cette obligation s’applique au «  service permettant aux internautes situés en France d’appeler (…) des numéros fixes et mobiles », en revanche « tous les services fournis par la société Skype ne constituent pas des services de communications électroniques ». Les appels en VOIP de Skype à Skype ou les échanges textuels par la messagerie échappaient à la réglementation.

Une partie au moins des éditeurs échapperait facilement à la législation française

C’est cette faille juridique que le ministère de l’Intérieur espère combler, en estimant qu’à notre époque, il n’y a plus de raison de distinguer entre le bon vieux téléphone et les logiciels qui permettent de communiquer, ce qui est sans doute vrai. Là aussi, l’effet juridique induit est que les opérateurs ou « fournisseurs de logiciels de communication électronique » auraient désormais l’obligation d’être en mesure de déchiffrer des communications, ce qui implique soit de posséder les clés, soit de prévoir une porte dérobée (backdoor) pour réaliser une mise sur écoute à la demande.

Il reste toutefois un problème pratique. S’il était facile d’imposer des mesures aux opérateurs télécoms qui doivent nécessairement avoir des infrastructures en France, et donc obéir au droit français, il en va tout autrement des éditeurs de logiciels de messageries qui ne font que profiter des infrastructures des opérateurs, lorsque leurs clients français leurs utilisent. En conséquence, une partie au moins des éditeurs échapperait facilement à la législation française.

Des alternatives plus près du suspect

En conséquence, le gouvernement n’est pas complètement naïf sur ses chances de succès, et reconnaît qu’il faut penser la question du chiffrement et des méthodes judiciaires autrement. Il va falloir avoir plus souvent recours aux « enquêtes sous pseudonymes », qui sont l’équivalent numérique de la bonne vieille infiltration, et obligent à cibler davantage ses suspects pour entrer en contact avec ceux susceptibles de livrer (cette fois en clair) des informations utiles.

L’autre méthode consiste, une fois un suspect identifié, à le mettre sur écoute par l’installation de mouchards qui renvoient ce qui s’affiche à l’écran, est saisi sur le clavier ou s’entend dans les haut-parleurs. Ces outils existent depuis longtemps, mais sont dans les faits peu accessibles à la police judiciaire.

À lire sur Numerama : Le chiffrement sans backdoor doit être «  encouragé et, si nécessaire, rendu obligatoire  »

Partager sur les réseaux sociaux

Articles liés