Le ministre de l’Intérieur a tenté une explication visant à démontrer que la proposition de loi contre le narcotrafic n’affaiblit pas le chiffrement, car elle n’introduit pas de porte dérobée (backdoor). Il s’avère que le stratagème proposé constitue malgré tout un énorme problème. Même sans backdoor, même sans casser le chiffrement.

L’explication a effaré les spécialistes du chiffrement des communications. En pleine défense de la proposition de loi dite « narcotrafic », en cours d’examen à l’Assemblée nationale par les membres de la commission des lois, le ministre de l’Intérieur Bruno Retailleau a tenté un argumentaire prétendant que son texte n’affaiblit pas le chiffrement.

Selon lui, les dispositions du texte ne provoquent pas un affaiblissement du chiffrement de bout en bout. « Ce n’est pas une solution ‘backdoor’ », a-t-il lancé, car, selon lui, le texte ne propose pas de créer une faille avec laquelle quelqu’un ou un service de renseignement peur s’infiltrer à tout moment. « C’est l’inverse », a-t-il affirmé.

Il a parlé plutôt de dispositif « frontdoor », c’est-à-dire de porte d’entrée assumée, en opposition à la notion de porte dérobée (backdoor), qui a un profil plus discret. Dans l’explication donnée aux parlementaires, il a imaginé une plateforme capable de chiffrer les communications de bout en bout, d’un individu A vers un individu B.

Dans ce système, « on ne va pas s’introduire au milieu de cette communication », a poursuivi le ministre. En revanche, « on va demander à la plateforme de faire aussi, pendant qu’elle utilise ce flux de A à B, de faire de A à C, donc il n’y a pas de faille ». Et de répéter de nouveau « qu’il n’y a pas d’affaiblissement du chiffrement. »

« C’est un peu comme inviter votre voisin dans sa chambre à coucher… »

Une présentation qui a fait bondir des experts sur les réseaux sociaux, à l’image d’Olivier Blazy, chercheur et professeur en cryptographie, qui a dressé un parallèle explicite : « Ajouter un tiers automatiquement dans une conversation n’est pas une backdoor. C’est un peu comme inviter votre voisin dans sa chambre à coucher… »

Même démonstration de Baptiste Robert, hacker éthique et chercheur en sécurité informatique. Certes, explique-t-il dans son décryptage, il ne s’agit pas techniquement d’une backdoor. C’est juste « pire », car cela revient à « ajouter les forces de l’ordre comme destinataire supplémentaire dans une conversation sans en informer les participants. »

Il n’y a certes pas d’interception des messages, qu’ils soient en transit ou sur les téléphones des personnes concernées. Le chiffrement n’est pas non plus cassé ou affaibli par une porte dérobée. Ici, les messages sont « dupliqués » et envoyés directement à une tierce personne — le fameux « C », qui, on le devine, désigne les services de renseignement.

Compte tenu de la nature du chiffrement de bout en bout, qui fait en sorte que les communications ne soient lisibles que des personnes présentes dans la conversation (cela, afin de tenir à l’écart l’opérateur, l’entreprise ayant conçu la messagerie, l’équipe derrière le protocole de chiffrement et, donc, tout individu extérieur), il y a nécessairement un coup de canif quelque part.

Les options existent, mais elles ont pour effet final de faire sauter pour tout le monde la garantie de confidentialité des échanges — y compris les innocents, rappelle Valéry Rieß-Marchive, du journal LeMagIT. Quant aux délinquants et aux criminels, ils risquent surtout d’aller ailleurs, et non pas sur des messageries devenues transparentes.

Cela a par ailleurs pour effet de provoquer point de défaillance unique, vers lequel des forces hostiles — des pirates, des États, etc. — pourraient focaliser leurs efforts afin de compromettre ce système. L’actualité avec l’opération surnommée Salt Typhoon l’a rappelé : ces backdoors (ou frontdoors) légales constituent une menace majeure.

Hostilité chez les groupes parlementaires, y compris dans le camp présidentiel

Au sein du camp présidentiel, la piste défendue par Bruno Retailleau n’a pas fait non plus l’unanimité. Le député Éric Bothorel, bon connaisseur des sujets liés au numérique, relevait que « détourner le flux de communication entre A et B vers un autre utilisateur, c’est, que vous le vouliez ou non, une vulnérabilité. »

Cette approche est d’ailleurs nommée « proposition du fantôme », ou « ghost », et s’avère documentée. Pourquoi fantôme ? Parce que l’idée est d’inclure un tiers dans des échanges chiffrés à l’insu des autres parties, sans aucune notification. Ce tiers serait ainsi ajouté silencieusement, à condition d’avoir la coopération de la messagerie.

Une coopération en réalité obtenue en tordant le bras aux plateformes, qui se retrouveraient menacées par des sanctions si elles ne coopèrent pas. « Backdoor ou utilisateur fantôme, je redoute qu’en matière de risque d’affaiblissement ce soit la même chose », a d’ailleurs relevé Éric Bothorel. Même chose pour son collègue Philippe Latombe.

« La technique du ‘ghost’ EST un affaiblissement du chiffrement. Donc, cet article [de la proposition de loi] affaiblit le chiffrement, est inopérant, car les messageries chiffrées répondant aux exigences françaises ne seront plus utilisées par les criminels. C’est aussi une atteinte grave à nos valeurs », a-t-il lancé sur X (ex-Twitter).

Menaces de départ dans une période très périlleuse

C’est également le genre de mesure qui peut pousser à l’exil des éditeurs. Par le passé, des messageries comme WhatsApp ou Signal ont signalé leur détermination à conserver le chiffrement de bout en bout intact, si besoin en quittant les pays fragilisant cette protection. Apple aussi, en mettant dans la balance iMessage et FaceTime.

« Nous préférerions être bannis plutôt que de revenir sur nos promesses », a d’ailleurs prévenu Meredith Whittaker, la patronne de Signal, à Politico, fin février. D’ailleurs, un exemple assez proche a été donné récemment par Apple, qui a retiré le chiffrement de bout en bout d’iCloud au Royaume-Uni, justement pour éviter un amoindrissement semblable.

De fait, l’affaiblissement du chiffrement reste toujours une mauvaise idée. Cela entame la confiance du public, donne une option pour des opérations malveillantes et risque de n’avoir aucune incidence sur les malfrats, qui iront tout simplement sur des messageries alternatives et illicites, car ils évoluent déjà dans l’illégalité.

Une mauvaise idée qui arrive peut-être au pire des moments. L’époque, en effet, inciterait plutôt à se blinder. C’est ce que pointe l’entrepreneur Tariq Krim : « Affaiblir le chiffrement des communications des Français à la veille d’une guerre hybride mondiale est une folie ». Ce serait ajouter de l’huile sur le feu sur un cyberespace qui a déjà tout l’air d’un champ de bataille.

