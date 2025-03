Lecture Zen Résumer l'article

Un sénateur voulait forcer Signal ou WhatsApp à introduire une backdoor dans leurs services, dans le cadre d’une proposition de loi concernant la lutte contre le narcotrafic. La disposition a finalement été rejetée.

Comme un air de déjà-vu. La question de la création au profit de l’État de portes dérobées (backdoor) dans des messageries chiffrées comme Signal ou WhatsApp vient de nouveau d’être reposée par le législateur français. Cette fois-ci, après le terrorisme, c’est au nom de la lutte contre le trafic de stupéfiants et ses organisations mafieuses. Retour sur cette polémique en sept questions.

Que se passe-t-il en France autour de la question du chiffrement ?

Tout vient d’un texte de loi étudié en ce moment au Sénat et à l’Assemblée nationale : la proposition de loi contre le narcotrafic. Ce texte comportait une disposition explosive, qui prévoyait d’obliger les plateformes gérant des messageries chiffrées, comme Signal ou WhatsApp, à mettre en place, au profit des services de renseignement, « les mesures techniques nécessaires afin de permettre d’accéder au contenu intelligible des correspondances et données qui y transitent ». Les patrons de ces services ne se conformant pas à ces obligations risquaient alors une amende de 1,5 million d’euros. Pour les personnes morales, les entreprises donc, la sanction pouvait aller jusqu’à 2 % du chiffre d’affaires mondial annuel hors taxes.

Le principe du chiffrement de bout en bout est de créer un canal de communication sécurisé, dont le contenu n’est en principe accessible qu’aux personnes dans la discussion. // Source : Numerama

Le législateur précisait que cet accès serait limité aux seules correspondances et données ayant fait l’objet d’une autorisation spécifique, après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Il s’agit de l’autorité administrative indépendante chargée de garantir la légalité de l’action des services de renseignement. Mais cette obligation, introduite au Sénat par un amendement du sénateur (Les Républicains) Cédric Perrin, vient d’être finalement retoquée par les députés de la commission des lois de l’Assemblée nationale. Dans la nuit de mercredi à jeudi, ces derniers ont en effet largement voté un amendement de suppression. Dans le détail, 33 ont voté pour et 9 se sont abstenus ; personne n’a voté contre.

C’est quoi cette proposition de loi contre le narcotrafic ?

Cette proposition de loi était à l’initiative de deux parlementaires. Il s’agit des sénateurs Etienne Blanc (Les Républicains) et Jérôme Durain (Socialiste, écologiste et républicain). Leur texte fait suite à une commission d’enquête. Rendu à la mi-mai 2014, ce rapport a dressé un sombre état des lieux sur le trafic de drogue. En témoigne l’une de ses punchlines, qui signale une « France submergée par le narcotrafic ». Dans les grandes lignes, les sénateurs s’alarmaient d’une explosion de l’offre et la demande. Avec pour conséquences une flambée des violences, une corruption émergente tirée par la puissance financière des groupes criminels à l’œuvre et des « failles béantes dans le dispositif répressif. »

« Une France submergée par le narcotrafic » Rapport sur le trafic de drogue

Déposée quelques semaines plus tard au Sénat, à la mi-juillet, la proposition de loi, longue de 24 articles, esquissait les réformes nécessaires. Elle a été étudiée au début du mois de janvier au Sénat. La Chambre haute a ensuite passé la main à l’Assemblée nationale. Si le sujet est jugé plutôt consensuel, le texte a connu de nombreuses évolutions. Ainsi, en matière judiciaire, le parquet national anti-stupéfiants a finalement été remplacé par un parquet national anti-criminalité organisée, plus large.

Outre des dispositions juridiques contestées, comme la création d’un « dossier coffre » pour protéger les techniques d’enquête les plus sensibles, le texte prévoyait donc plusieurs dispositions autour du numérique. La question des messageries chiffrées était ainsi abordée dans l’article 8ter. Mais le texte prévoit également d’élargir la technique de la surveillance algorithmique. Elle était limitée à la défense nationale et à la prévention d’ingérences étrangères ou du terrorisme. On parle maintenant de l’employer désormais contre le trafic de « stupéfiants, les trafics d’armes et le blanchiment des produits qui en sont issus. »

Qu’est-ce qui était prévu contre le chiffrement ?

L’amendement sénatorial ne précisait pas explicitement les modalités techniques envisagées pour obliger les plateformes à ouvrir les messageries chiffrées aux services de renseignement. Les débats avaient d’abord porté sur la finalité, la lutte contre le trafic de stupéfiants. « Les réseaux de narcotrafic tirent profit de la généralisation des messageries chiffrées. Voulons-nous lutter efficacement contre le narcotrafic, oui ou non ? C’est la question », dénonçait ainsi à la fin janvier le sénateur Cédric Perrin.

Les messageries chiffrées servent en effet à organiser les flux logistiques ou protéger les ventes. Autant d’échanges qui restent la plupart du temps une boîte noire pour la police. « Comme les SMS, pour faire des écoutes téléphoniques classiques, il faut des portes dérobées pour entrer dans les messageries cryptées », soutenait le garde des sceaux, Gérald Darmanin.

C’est finalement le ministre de l’Intérieur, Bruno Retailleau, qui a détaillé il y a quelques jours les contours du projet. Le locataire de la Place Beauvau a tout d’abord contesté toute création de porte dérobée. Devant les députés, il a esquissé un schéma s’appuyant sur la « proposition du fantôme ». L’idée est d’ici d’inclure un tiers dans des échanges chiffrés, mais bien sûr à l’insu des autres parties.

Bruno Retailleau, lors des échanges avec les parlementaires. // Source : LCP

Bruno Retailleau voulait ainsi se défendre de l’introduction de toute faille dans le mécanisme de chiffrement proprement dit. « Il n’y a pas d’affaiblissement du chiffrement », plaidait-il. En introduisant un tiers dans la conversation, il s’agit en effet de l’intégrer dans l’échange de clés de chiffrement et de déchiffrement. C’est cette passation entre les utilisateurs finaux qui permet de garantir la confidentialité d’une conversation chiffrée de bout en bout. Un mécanisme qui interdit à l’opérateur de la messagerie d’arriver lui-même à lire vos messages.

Pourquoi c’est une mauvaise idée ?

Parce que cela met en danger notre sécurité informatique. « C’est juste du suicide », ironisait un internaute. Même si le ministre de l’Intérieur préfère ne pas parler de porte dérobée, cette façon de voir les choses est assez contestable. « Détourner le flux de communication entre A et B vers un autre utilisateur, c’est, que vous le vouliez ou non, une vulnérabilité », relevait ainsi le député (Ensemble pour la république) Éric Bothorel. Il y a donc le risque d’un affaiblissement des mécanismes de chiffrement. Au-delà de la « proposition du fantôme », les solutions de mettre en place une clé secrète, capable de déchiffrer tous les messages, ou de créer une faille dans le mécanisme de chiffrement, ne valent pas mieux.

Le principe du chiffrement vise à rendre illisible un contenu sans la clé de déchiffrement. Mais la proposition du fantôme met nécessairement à mal cette sécurité, d’une façon ou d’une autre. // Source : ProtonMail

Comme le relevait l’Anssi, le cyber-pompier de l’État, dans une note aux pouvoirs publics datant de 2016, il est techniquement impossible d’assurer que ce genre de « dispositif ne bénéficiera qu’aux personnes autorisées ». Concrètement, dans l’exemple cité par Bruno Retailleau, le mécanisme de création d’un fantôme dans une conversation pourrait être trouvé par un tiers. Que ce soit un simple bidouilleur, un service de renseignement étranger ou un cybercriminel. Cette vulnérabilité des échanges sur une plateforme se traduirait aussitôt donc par une dégradation de la sécurité informatique. Si on peut lire votre courrier, vos secrets ne sont en effet plus protégés.

Que disent les acteurs du numérique ?

Ils ont signalé à plusieurs reprises leur opposition à la disposition. On peut citer notamment cette prise de parole de la messagerie chiffrée Olvid. L’entreprise prévenait qu’une « backdoor ‘sûre’, exploitable exclusivement par une autorité légitime, dans un cadre légal bien défini, est techniquement impossible à réaliser ». Dans leurs amendements de suppression, les députés ont rappelé les prises de position d’organisations aussi diverses que la Cnil, le gardien français des données personnelles, l’Anssi, ou encore l’association La Quadrature du Net. Cette dernière a dénoncé la proposition de loi, qui constitue à ses yeux « l’un des textes les plus répressifs et dangereux de ces dernières années. »

« L’un des textes les plus répressifs et dangereux de ces dernières années » La Quadrature du Net

Dans un courrier signalé par L’Informé, l’Alliance française des industries du numérique signalait que si les fournisseurs de prestation de cryptologie sont obligés de fournir aux autorités judiciaires toutes les données et informations nécessaires, il existe une exception pour impossibilité technique ou contractuelle. « Cette exception est rendue nécessaire pour protéger l’intégrité et la confidentialité des communications utilisant un chiffrement dit de bout-en-bout », expliquait cette organisation rassemblant de grandes entreprises. Une prise de position également partagée par le syndicat patronal du numérique Numeum. Celle-ci rappelait que le droit au chiffrement est « un prolongement du droit à la vie privée ». Il existe d’autres façons de lutter plus efficacement contre le trafic de stupéfiants. Par exemple en renforçant l’autorité publique chargée des interceptions, le Service technique national de captation judiciaire.

Qu’est-ce qu’il se passe ailleurs sur ce sujet ?

L’initiative législative française n’est pas tout à fait isolée sur ce débat qui fait régulièrement couler de l’encre. Sur LinkedIn, Bernard Barbier, l’ancien directeur technique de la DGSE, pointait ainsi une « fausse bonne idée qui réapparait tous les cinq ans ». Et de situer l’origine de cette controverse à la puce Clipper imaginée par la NSA américaine au début des années 1990. Ce projet visait à obliger les fabricants de téléphones et de modems à embarquer cette puce, qui introduisait une porte dérobée dans le chiffrement.

Pour ne citer que les exemples récents, l’agence de police Europol avait dénoncé l’an dernier le chiffrement de bout en bout des plateformes de réseaux sociaux. Cela empêche les opérateurs « de détecter les infractions commises sur leurs plateformes », relevaient les policiers européens. Il empêche également « les forces de l’ordre d’obtenir des preuves dans le cadre d’enquêtes visant à prévenir et à poursuivre les crimes les plus graves tels que les abus sexuels sur mineurs, la traite d’êtres humains, le trafic de drogue, les homicides, les crimes économiques et les infractions terroristes », poursuivaient-ils.

La Suède réfléchit également à un mécanisme pour obliger les messageries chiffrées à garder une copie des messages envoyés pour les forces de l’ordre. Mais la patronne de la fondation Signal a aussitôt prévenu la presse. Si une telle mesure venait le jour, l’application quitterait la Suède. Au Royaume-Uni, plutôt que d’ouvrir un droit de consultation aux pouvoirs publics, comme ces derniers viennent de le demander, l’entreprise Apple a elle a dégradé le service offert, en désactivant le chiffrement de bout en bout pour iCloud.

Pourquoi ce n’est pas fini ?

Certes, personne n’a vraiment défendu ces dispositions contestées à la commission des lois de l’Assemblée nationale. Mais un parlementaire ou le gouvernement pourrait pousser une nouvelle écriture de la disposition lors de la séance publique de la proposition de loi, à partir du 17 mars. La ministre Clara Chappaz a d’ailleurs appelé sur le réseau social X à « trouver un équilibre » à l’Assemblée sur ce sujet. Sans que cet appel ne soit pour le moment suivi d’une proposition concrète.

