La Commission européenne n’est pas favorable aux portes dérobées, qui affaibliraient gravement la sécurité sur Internet. Par contre, elle estime qu’il faut développer des capacités en matière de déchiffrement.

Si Gérard Collomb espérait que la Commission européenne défende l’idée de portes dérobées (ou « backdoors ») dans les technologies de chiffrement au nom de la lutte contre la criminalité, c’est raté. Alors que le ministre de l’Intérieur français disait cet été attendre de voir quelles « solutions techniques aux défis posés par le chiffrement dans le cadre d’enquêtes pénales » Bruxelles allait apporter, le commissaire européen responsable des questions de sécurité, a clairement écarté  cette piste.

Dans des propos rapportés par The Register, Julian King a déclaré que « la position de la Commission est très claire : nous ne sommes pas en faveur de ce qu’on appelle les portes dérobées, l’utilisation de vulnérabilités systémiques, parce que cela affaiblit la sécurité globale de notre cyberespace, sur laquelle nous comptons ». Une posture qui n’est guère surprenante. Le vice-président de la Commission européenne, Andrus Ansip, plaidait déjà en juin pour un chiffrement fort sans aucune porte dérobée (il n’est pas le seul).

julian-king

Julian King.
CC European Union 2016 – European Parliament

L’intéressé a rappelé à l’époque le rôle-clé que joue la cryptographie dans la société, que ce soit pour les transactions financières, la vie privée ou l’identité. Le chiffrement sert aussi à garantir l’intégrité d’un fichier (donc qu’il n’a pas été modifié en cours de route sans autorisation) et son authenticité (s’assurer que c’est la bonne personne qui l’a envoyé). Affaiblir le chiffrement, c’est prendre le risque de diminuer la confiance que l’on peut avoir dans les transactions que l’on passe ou les documents que l’on récupère.

C’est aussi prendre le risque que la fragilité initialement conçue pour les forces de l’ordre et la justice ne soit un jour découverte par une personne mal intentionnée et puisse être employé à des fins illicites. Il faut bien imaginer l’ampleur de ce que cela pourrait produire : placer une porte dérobée dans WhatsApp, Android ou encore iOS, c’est mettre en danger les données de centaines de millions d’utilisateurs de par le monde.

Nous essayons d’aller au-delà d’un débat parfois stérile entre des portes dérobées ou aucune porte dérobée

« Nous essayons d’aller au-delà d’un débat parfois stérile entre des portes dérobées ou aucune porte dérobée, et de régler certains des problèmes concrets d’application de la loi. Par exemple, quand [un État membre] obtient un appareil, de quelle façon obtient-il des informations qui pourraient être chiffrées sur l’appareil ? », a soulevé Julian King, lui qui avait rencontré fin juin Gérard Collomb lors d’une entrevue place Beauvau pour discuter entre autres de ces problématiques.

Il s’avère que « certains États membres sont mieux dotés techniquement pour faire ça que d’autres », a-t-il estimé, en faisant référence aux capacités d’extraction dont certaines nations sont pourvues pour récupérer le contenu d’appareils ayant fait l’objet d’une saisie mais dont l’accès est barré. Dès lors, « nous voulons nous assurer qu’aucun État membre n’est désavantagé, en partageant l’expertise technique entre les États membres et en renforçant le soutien qu’Europol peut offrir », a-t-il ajouté.

Reste toutefois une interrogation : les États ayant justement à disposition ces capacités en matière de déchiffrement seront-ils disposés à les partager avec d’autres ?

Six recommandations

C’est pourquoi la Commission européenne a présenté le mercredi 18 octobre un certain nombre de recommandations pour améliorer la prise en charge de systèmes chiffrés. Ces éléments seront complétés début 2018 avec la présentation d’une liste de propositions visant à mettre en place un cadre juridique pour faciliter l’accès aux preuves électroniques. Pour l’heure, Bruxelles propose six solutions :

  • aider Europol à développer davantage sa capacité de déchiffrement ;
  • établir un réseau de centres d’expertise en chiffrement ;
  • créer une boîte à outils pour les instruments juridiques et techniques ;
  • assurer la formation des forces de l’ordre, avec 500 000 euros du fonds pour la sécurité intérieure en 2018 ;
  • créer un observatoire de suivi juridique et technique ;
  • établir un dialogue structuré avec l’industrie et les organisations de la société civile.

chiffrementlogocadenas.jpg

« Les forces de l’ordre et les autorités judiciaires sont de plus en plus souvent confrontées aux défis posés par l’utilisation du chiffrement par les criminels dans le cadre des enquêtes criminelles. Il ne s’agit pas seulement des crimes graves : dans de nombreux cas, les données électroniques peuvent être les seules informations et preuves disponibles pour poursuivre et condamner les criminels », justifie la Commission européenne, même si cette dernière affirmation est à nuancer fortement.

« Les difficultés ne sont pas seulement dues aux tentatives des utilisateurs criminels de dissimuler leur communication électronique et leurs données stockées en privé, mais aussi à l’option par défaut de nombreux services de communication d’appliquer le chiffrement. L’utilisation du chiffrement par les criminels, et donc son impact sur les enquêtes criminelles, devrait continuer de croître au cours des prochaines années », ajoute Bruxelles.

Cet aspect alarme d’ailleurs le procureur de la République de Paris, François Molins, qui depuis trois ans intervient régulièrement, seul ou avec des homologues étrangers, pour critiquer les effets du chiffrement des communications. Mais c’est oublier qu’il existe déjà dans la législation d’autres approches pour gérer le chiffrement. En matière de terrorisme par exemple, son usage est une circonstance aggravante. À cela s’ajoute une obligation pénale de coopérer sous peine d’une lourde condamnation.

une comparateur meilleur vpn numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !