Avis d’expert octobre 2015
Le chiffrement (ou cryptage) entrave l’efficacité des pouvoirs publics dans leur lutte contre les activités illégales dont le terrorisme, s’alarment les uns. Le cryptage est nécessaire pour garantir la liberté d’expression, la protection des données personnelles, le secret des affaires et la souveraineté des états rétorquent les autres. A la faveur de ce débat resurgissent, comme dans les années 90, les concepts de « porte dérobée » (backdoor) ou de séquestre obligatoire des clés. Tentative de « décryptage » de la controverse sur le cryptage.
Le procureur de la République de Paris, le directeur du FBI et le Premier ministre britannique partagent le même avis : le recours croissant à la cryptologie et un phénomène préoccupant. Il constitue une menace en entravant le déroulement des enquêtes de police, notamment en matière de terrorisme.
Inversement, nombreux sont ceux qui œuvrent pour la reconnaissance d’un « droit au chiffrement » pour que les exigences de sécurité publique ne prennent pas systématiquement le pas sur les libertés individuelles. Le chiffrement, selon eux, procure une sécurisation adéquate contre le vol de données et participe ainsi à une triple protection : celle de la vie privée des particuliers, du secret des affaires pour les entreprises et de la souveraineté numérique pour la France. Cette vision se retrouve par exemple dans le rapport « Ambition Numérique » du Conseil National du Numérique (CCNum) de juin 2015. L’une des préconisations du rapport s’intitule « Promouvoir le chiffrement des données, levier de sécurité ». Plus récemment, le rapport d’information déposé par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique du 8 octobre 2015 recommande d’ « inciter au recours à des technologies de chiffrement des données afin de renforcer la confidentialité des communications » tout en précisant, dans un soucis d’équilibre, que cela doit se faire « dans le respect des compétences de l’autorité judiciaire en matière de lutte contre les activités et contenus illégaux ».
Les termes des débats entre pro et anti crypto n’ont guère changé depuis les années 90 et l’on peut même soutenir qu’ils étaient déjà présents dans le manifeste crypto-anarchiste de 1988 : « L’Etat essaiera bien sûr de ralentir ou d’arrêter la diffusion de cette technologie, en invoquant les nécessités de la sécurité nationale, l’utilisation de la technologie pour le trafic de drogue et l’évasion fiscale, et des craintes de désintégration sociétale. Bon nombre de ces motifs de préoccupations seront valides (…) ».
Deux aspects nouveaux méritent cependant d’être soulignés. En premier lieu, la question se pose désormais non seulement pour les ordinateurs mais aussi, et peut-être surtout, pour les téléphones mobiles. En second lieu, dans le box des accusés, les chercheurs militants tels que Phil Zimmerman ont été remplacés par de très grandes sociétés comme Apple ou Google.
Le cryptage par défaut
Les approches déjà explorées pour obtenir un équilibre entre, d’une part, la protection des données et, d’autre part, les exigences de sécurité publique sont à nouveau débattues, qu’ils s’agissent de « portes dérobées » (backdoors) ou de séquestre obligatoire, auprès des autorités, des clés de chiffrement. Guillaume Poupard directeur général de l’agence nationale pour la sécurité des systèmes d’information (Anssi) n’accorde guère de crédit au mécanisme de séquestre : « Séquestrer les clés, on a eu ce débat il y a vingt ans. On est arrivé à la conclusion que l’on allait mettre en place des usines à gaz impossibles, que l’on allait embêter 99,99 % de la population qui n’a rien à se reprocher, mais le 0,01 % restant – ces chiffres ne sont là que pour illustrer mon propos – ne donnerait pas ses clés.»
Il faut vraisemblablement se résoudre à ce que des criminels aient accès à une cryptologie forte. Dès lors, elle devrait aussi être largement diffusée pour que toute la société puisse bénéficier du même niveau de protection. Pour ce faire, les deux rapports déjà évoqués prônent l’enseignement du chiffrement à l’école. De son côté Bruce Schneier, expert américain de la sécurité et de la cryptologie, estime qu’elle doit être universelle, présente par défaut dans les technologies. Elle ne doit pas être envisagée comme une option utilisée de temps en temps par l’utilisateur, faute de quoi le recours au chiffrement deviendrait le moyen d’identifier facilement les informations critiques.
Au-delà des soubresauts liés à la médiatisation de quelques affaires, des tendances de fond semblent nous conduire dans les prochaines années vers un cryptage généralisé, pour tous les utilisateurs et pour tous les contenus numériques.
Arnaud Belleil
Sources :
- Le rapport Ambition Numérique du Conseil National du Numérique (CCNum) de juin 2015 –Page 92
- Le rapport d’information déposé par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique du 8 octobre 2015 – Pages 114 & 115
- Manifeste crypto-anarchiste par Timothy C. May en 1988
- Chiffrement : Guillaume Poupard met en garde contre la tentation de la facilité – LeMagIT du 1er octobre 2015
- Why We Encrypt – Bruce Schneier 23 juin 2015
A lire aussi