#RGPD #privacy #datasecurity Messageries chiffrées : bras de fer entre le politique et l'ingénieur

 

Messageries chiffrées : bras de fer entre le politique et l'ingénieur

 

Phot-JPB-DPO NEWS

@jpbichard

 

 

« Backdoors d’État » contre vie privée voire intime de milliards d'internautes : le débat fait rage entre défenseur de l’intégrité des solutions cryptographiques et certains candidats à l'élection présidentielle française. État des lieux sur un enjeu majeur tant pour la sécurité nationale que pour la protection de nos vies numériques.

Récemment, à moins de deux semaines du premier tour des élections présidentielles en France, un candidat à l’Élysée (cf ; Photo ci-dessous) déclarait lors d'une conférence de presse le 10 avril à Paris: « Les organisations qui nous menacent abusent des facilités offertes par la cryptologie moderne pour dissimuler leurs projets. Ils utilisent des messageries instantanées, fortement « cryptées » (chiffrées en bon français note de la rédaction). Les grands groupes de l'internet ont refusé de communiquer leurs clés de chiffrement ou de donner accès au contenu au motif qu'ils ont garanti contractuellement aux clients que leurs communications étaient protégées, cette situation est inacceptable ».

Situation jugée donc « inacceptable » selon le candidat Emmanuel Macron (mais il n'est pas isolé dans les classes politiques européennes). Reste que l'aménagement de portes dérobées pour certains services ne l'est pas plus acceptable pour bon nombre d'experts techniques qui obtiennent par ailleurs le soutien de la CNIL ou de l'ANSSI (Agence nationale de la sécurité des systèmes d’information).

Bref le débat existe. Tentons d'y voir clair en décodant... sans rien trahir. La cryptologie rappelons-le incarne par l'étude du chiffrement la « science du secret ». Le chiffrement est une discipline qui comporte différentes facettes comme la cryptographie - protection par le chiffrement - et la cryptanalyse ou comment casser un code chiffré pour faire simple.

Revenons à ces fameuses « backdoors d'Etat » et les problèmes techniques voire sociétaux qu'elles posent. Techniquement d'abord : peut-on aménager ce type de portes dérobées (ou backdoors) pour laisser des « services » accéder aux données stratégiques pour la défense et la sécurité des États ?

Les experts soutiennent que c'est techniquement peu réalisable. En clair un flux de données est chiffré ou il ne l'est pas. Au niveau de la finalité d'une telle option, placer des solutions de type « backdoors d'Etat » « c'est en conséquence affaiblir des systèmes cryptographiques qui par nature doivent êtres forts » expliquent les ingénieurs. D'autres experts en cryptologie soulignent que l'on peut comparer la situation à une clé glissée sous le paillasson devant... une porte blindée. Dans ce cas, un autre paramètre s'invite: le hasard. Qui va trouver la clé ? Est-on certain que celui qui utilisera la clé appartient à un service « autorisé » ? Comment contrôler que l'utilisateur de la clé est un « gentil » ou un « méchant » ?

 

 

Pourquoi affaiblir les systèmes cryptographiques ?

Au niveau des Ministères de l'Intérieur, Euractiv (2) site officiel européen, note que le ministre de l’Intérieur allemand, Thomas de Maizière, a déclaré, en compagnie de Matthias Fekl, son homologue français, vouloir que les administrations des deux pays puissent demain « intercepter » les données (data chiffrées) comme aujourd'hui les appels vocaux en s’adressant aux opérateurs télécoms.

A la Commission européenne sur ce dossier sensible « trois ou quatre options » sont attendues pour juin 2017. Comme le relève Numérama, la commissaire européenne en charge de la justice, Věra Jourová, précise « que les solutions poussées par les décideurs politiques ne correspondent pas à une vision « européenne » du dossier. Ce n’est pas de cette manière que nous pouvons aider et assurer la sécurité des Européens ». On le voit, garantir la sécurité de la vie privée des citoyens tout en bénéficiant pour les services officiels de davantage d’accès à des informations « claires » s'avèrent complexe également au plan diplomatique. En gros, sur ce dossier la position européenne se situe entre celle du politique et celle de l'ingénieur.

Coté pays membres, Pays-Bas et Allemagne souhaitent conserver un haut niveau de protection, là où des pays comme la France et le Royaume-Uni, suggèrent un « affaiblissement légal » des mesures de sécurité (comprenez revoir les solutions de cryptographie).

Pour la législation actuelle, si la clé est détenue par l’éditeur de l’application comme pour les opérateurs télécoms, la loi prévoit une obligation de fournir les « conventions permettant le déchiffrement des données ». Dans ce cas - messageries non chiffrées « de bout en bout » - les opérateurs qui détiennent les clés de déchiffrement ont l’obligation de la livrer, voire même de déchiffrer eux-mêmes. Pour l'autre option, celle du chiffrement de « bout en bout » propre aux utilisateurs de services de messageries sécurisées comme Whatsapp ce sont les utilisateurs qui génèrent leur propre clé pour chiffrer et déchiffrer leurs messages. Dès lors, toute la problématique est concentrée au niveau du possesseur de la clé qui elle rappelons-le peut parfois se trouver sous le paillasson... 

Rappelons pour la culture technique de certains hommes politiques en particulier que les messageries sécurisées reposent sur un système asymétrique: les clefs ne sont donc pas les mêmes pour chiffrer et déchiffrer les messages. Impossible d'intervenir « en amont » ou « en aval » pour lire les données. En fait ce sont deux philosophies qui apparaissent avec l'usage de messageries « semi-publiques» (clé en possession des opérateurs) et l'usage de messagerie « semi-privées » (clé en possession des utilisateurs).

Parmi les acteurs de services de messageries « semi-privées », on trouve Whatsapp soit plus d'un milliard d'utilisateurs dans le monde et...60 milliards de messages chiffrés échangés chaque jour.  D'autres fournisseurs occupent également ce marché comme Telegram et quelques autres. Tous gèrent une technologie ou la clé de chiffrement et de déchiffrement n’est détenue que par l’utilisateur et son interlocuteur.

Le cœur du débat sur le respect de la vie privée se trouve là. Les politiques veulent aller plus loin que les ingénieurs qui dans leur grande majorité défendent les systèmes cryptographiques sans vouloir les affaiblir. Le pouvoir politique veut aussi soumettre le pouvoir des GAFA et de nombreux autres acteurs de l'économie numérique. Outre les industriels de la Silicon Valley, les politique devront faire face (on peut l'espérer) à... la loi. En effet, le législateur ne peut contraindre l'utilisateur a livré sa clé. Cette approche est condamnée par le droit international sur les des droits de l’homme. Un « détail » que certains politiques semblent oublier... Numérama rappelle qu'au plan individuel, des dissidents politiques utilisent ces messageries « sécurisées » pour échapper à la surveillance d’États autoritaires. Bref, il n y a pas que des terroristes qui utilisent ces services de messageries privées sécurisées.

  

Deux pistes de réflexion sont à l'étude

La première idée défendue par une partie de la classe politique européenne, c'est l’interdiction pure et simple des messageries qui pratiquent un chiffrement de « bout en bout », ce qui est irréaliste puisqu’il y aura toujours des développeurs pour en créer de nouvelles solutions d'échanges. Si une telle une interdiction intervenait, elle serait de surcroît difficile à  mettre en oeuvre car elle impliquerait vraisemblablement et arbitrairement la fermeture des services de WhatsApp, Telegram, Signal, iMessage...

La seconde option présente dans certains programmes politiques, on l'a expliqué, c'est d’obliger les hébergeurs de services de messagerie à intégrer des portes dérobées (backdoors), ce qui ne sera pas simple à mettre en œuvre voire impossible comme l'affirment les experts pour les applications « chiffrées de bout en bout ». De plus, cette approche ne règle pas un autre problème sécuritaire : le risque que ces accès secrets soient trouvés et exploités par d'autres Etats voire des... terroristes. Du coup, le « politique » l'UE et d'autres organisations porteraient une lourde responsabilité dans cette approche de légalisation des « backdoors d'Etat » sans pour autant régler le problème de l'usage des messageries sécurisées par les terroristes. Les populations d'internautes pouraient aussi ne pas comprendre ces stratgies "liberticides" d'atteinte à leurs données privées. 

Reste que le problème n'est pas simple à résoudre. Ainsi, bon nombre d'informations publiées par des médias d'origine US affirment que la CIA parviendrait déjà à contourner les applications sécurisées de WhatsApp et Telegram avant qu'elles ne soient chiffrées (1). Étrange mais... pas impossible si ce n'est totalement illégal. Dans ce cas, l'agence américaine comme d'autres exploiterait des vulnérabilités, nombreuses sur les solutions de sécurité installées et pas toujours signalées par ceux qui peuvent discrètement les exploitées.

@jpbichard

 

Dernière mise à jour:

http://cyberisques.com/83-categorie-3/661-dpo-news-cyberisques-chiffrement-la-lettre-du-conseil-national-du-numerique-au-ministre-de-l-interieur

 

Chiffrement-CNN-Avril-2017

 

1 - http://www.francetvinfo.fr/faits-divers/affaire/assange/wikileaks-revele-que-la-cia-peut-espionner-via-des-smartphones-ou-des-teles-connectees_2086479.html#xtor=AL-79-[article]-[contenu]

2 -http://www.euractiv.fr/section/innovation-entreprises/news/messageries-chiffrees-la-france-et-lallemagne-demandent-a-leurope-dagir/

 

* Jean Philippe Bichard 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

 

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_News consacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les IT Managers et DPO. 

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

@cyberisques @jpbichard @DPO_NEWS

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires