Tribune - "Chiffrement et lutte contre le terrorisme : attention à ne pas se tromper de cible"
Publiée sur Le Monde.fr, le 22 août 2016 et traduite en allemand pour le journal Heise, le 23 août 2016 Le chiffrement est une méthode qui consiste à protéger des données ou des communications en les rendant illisibles de l’extérieur et déverrouillables par une clé. Accusé de faciliter la propagande et la préparation d’actes terroristes, certaines voix au sein du gouvernement français plaident en faveur d’une initiative européenne visant à sa limitation. Attention, toutefois, à ne pas céder à des solutions de facilité qui pourraient avoir des conséquences graves et non anticipées. Limiter les moyens de chiffrement ou instaurer des « portes dérobées » pour permettre aux forces de l’ordre d’accéder aux données chiffrées de nos applications affaiblirait la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée. L’urgence de la situation ne doit pas nous conduire à sous-estimer ces risques, ni à faire l’impasse d’un débat sur les implications politiques, sociales et économiques d’une limitation du chiffrement. C’est un fait, la situation sécuritaire est critique. En vingt mois, le terrorisme a fait plusieurs centaines de victimes sur notre territoire. Dans ce climat d’insécurité généralisée, la tentation est forte d’accumuler encore et toujours de nouveaux moyens d’action, alors même que 16 lois antiterroristes ont été adoptées au cours des trente dernières années – nombre d’entre elles comportant des implications numériques majeures. Cette succession rapide de lois est étonnante quand l’on songe que toutes ne sont pas encore pleinement mises en œuvre ! Il faut également se garder d’entrer en contradiction avec d’autres lois, notamment le projet de loi pour une République numérique, qui confie à la CNIL la mission de promouvoir les technologies protectrices de la vie privée, notamment le chiffrement ! Dans ce contexte et face au succès des applications grand public sécurisées, comme WhatsApp ou Telegram, le chiffrement est dans le collimateur des forces de sécurité. Le ministre de l’Intérieur, Bernard Cazeneuve, a récemment annoncé vouloir lancer une initiative européenne visant à le limiter. L’idée peut paraître séduisante. Il n’est pas question de nier qu’un chiffrement robuste peut compliquer le travail des enquêteurs, surtout lorsqu’il s’opère de bout-en-bout, c’est-à-dire lorsque le fournisseur du service ne détient pas les clés de déchiffrement. Néanmoins c’est sans compter sur la réalité concrète de l’organisation des réseaux et l’importance de la sécurité en ligne. Ce débat sur le chiffrement n’est pas nouveau. Il est mondial et oppose certains services de sécurité aux défenseurs des libertés publiques depuis près de quarante ans (les fameuses « crypto-wars »). La France est longtemps restée isolée sur le plan international : à la fin des années 1990, la France a arrêté de considérer le chiffrement comme une arme de guerre. Elle semble aujourd’hui vouloir renouer avec cette approche, qui a pourtant lourdement handicapé le numérique français par le passé, en la portant sur la scène européenne. Or l’Europe ne peut plus se permettre de prendre du retard en la matière, en particulier à l’heure où la Chine expérimente un satellite de cryptographie quantique, réputé inviolable.
Le chiffrement est un élément vital de notre sécurité en ligne
Comme tout objet technique, le chiffrement est tout à la fois remède ou poison selon qu’il tombe entre de bonnes ou de mauvaises mains. Les applications de messagerie sécurisée utilisées par les terroristes – notamment Telegram – sont également très prisées par les politiques et au sein des ministères, par les entreprises et les citoyens ! Et pour cause : le chiffrement est essentiel à notre sécurité dans l’univers numérique. Chaque jour, le chiffrement protège des milliards d’individus contre des cybermenaces qui se font toujours plus redoutables. Il est donc le levier majeur de la confiance dans l’univers numérique. C’est grâce au chiffrement que nous pouvons effectuer un virement bancaire en toute sécurité. C’est grâce au chiffrement que nous pouvons stocker nos données de santé dans un dossier médical partagé (DMP) en ligne. C’est également grâce à cet outil que les investigations sur les Panama Papers ont été possibles, le chiffrement permettant de garantir le secret des sources. Pour les entreprises, le chiffrement est aujourd’hui le meilleur rempart contre l’espionnage économique qui a fait perdre plus de 40 milliards d’euros aux entreprises françaises en 2013. Les petites et moyennes entreprises sont les premières victimes de ces cyberattaques car elles n’ont généralement pas les moyens d’un chiffrement robuste.
Limiter le chiffrement, c’est affaiblir la sécurité sur l’ensemble des réseaux
Une proposition, régulièrement avancée à des fins de sécurité, est de contraindre les constructeurs et fournisseurs de services et d’applications à introduire délibérément dans leurs systèmes des « portes dérobées » (backdoors). Ces portes dérobées seraient autant de passages secrets ou failles de sécurité à la disposition des autorités pour accéder aux données chiffrées à l’insu de l’utilisateur. Cette idée, qui paraît inspirée du bon sens, ne résiste cependant pas à l’épreuve des faits. Quelle confiance avoir dans la porte blindée de son domicile si l'on sait qu’il existe une clé universelle pour l'ouvrir, quand bien même cette clé serait officiellement détenue que par la police ? Imaginerait-on construire toutes nos maisons avec un accès police à celles-ci au cas où un meurtre ou un vol y serait commis ? Les spécialistes, à commencer par ceux de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), sont unanimes : il est techniquement impossible de s’assurer que de tels accès ne soient disponibles qu’au profit des personnes autorisées. À tout moment, ils peuvent devenir de véritables portes ouvertes pour les organisations pirates, mafieuses, et terroristes. Généraliser l’installation de backdoors aurait ainsi pour effet désastreux d’affaiblir la sécurité et les libertés de l’ensemble des utilisateurs. De plus, il y a fort à parier que de telles mesures auraient une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés. Publiques et largement diffusées, les technologies de cryptographie sont aujourd’hui à la portée de n’importe quelle organisation criminelle. Comment, dès lors, empêcher des terroristes de coder leurs propres applications chiffrées et ainsi bénéficier d’un niveau de sécurité plus élevé que la majorité des utilisateurs qui, eux, n’ont rien à se reprocher ? Limiter le chiffrement pour le grand public reviendrait alors à en accorder le monopole aux organisations qui sauront en abuser.
Le chiffrement n’est pas un obstacle insurmontable pour les enquêtes
On ne peut raisonnablement affirmer que le chiffrement soit une barrière infranchissable pour les enquêteurs, même si on ne peut nier qu’il puisse compliquer l’accès à certaines informations. D’une part, il est souvent possible de contourner le chiffrement, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. D’autre part, si le contenu des communications est chiffré, les métadonnées, elles, restent le plus souvent en clair : qui échange avec qui ? Quand et combien de temps ? Où était-il ou elle localisé(e) ? Ces données répondent aux questions les plus importantes sur nos habitudes, nos fréquentations, nos centres d’intérêts, nos opinions. Elles sont donc extrêmement sensibles et c’est d’ailleurs la raison pour laquelle les dernières lois antiterroristes, qui en organisent une collecte massive, ont été largement critiquées. Avant d’envisager de se doter de nouveaux instruments législatifs, peut-être serait-il judicieux de s’assurer que les services de sécurité exploitent pleinement les nombreuses possibilités qui leur ont été offertes par le législateur. De ce point de vue, la coopération avec les fournisseurs de produits et de services sécurisés dans l’accès judiciaire aux données reste l’une des procédures à privilégier. Il serait en effet opportun de travailler à renforcer les règles de coopération judiciaire, en particulier les mutual legal assistance treaty (MLAT) – accords bilatéraux entre États qui permettent l’échange d’informations et de données lors d’enquêtes en cours – afin de réduire ces délais de transmission. C’est ce qui devrait être le sens d’une initiative internationale.
Le chiffrement contribue à la résilience de nos sociétés numériques
Les évolutions des usages technologiques, l’augmentation des capacités de calcul, les progrès de l’intelligence artificielle et du deep learning associés à la baisse continue des coûts de stockage des données contribuent à rendre la surveillance de masse de moins en moins onéreuse. La question se pose partout dans le monde et nous avons la chance en France de pouvoir en débattre et de se poser collectivement la question de son utilité et de ses enjeux. La responsabilité est historique : le chiffrement – et les libertés fondamentales dont il permet l’exercice – constitue un rempart contre l’arbitraire des États. Il nous protège aussi contre le contrôle croissant des acteurs économiques sur nos vies. Nous vivons une période de troubles et d’incertitudes. La tentation peut être forte de privilégier notre désir de sécurité au détriment de notre économie et des autres fondements de notre société : l’égalité, le respect des droits fondamentaux et de notre État de droit. Ces fondements qui ont fait et font de la France un pays à l’avant-poste des libertés. Ceux qui nous attaquent cherchent à susciter chez nous une réaction émotionnelle plutôt que rationnelle. Plutôt qu’un empilement de mesures, parfois prises dans l’urgence et sous le coup de l’émotion, l’ampleur de ces transformations devrait nous imposer une réflexion globale et collective. Il en va ainsi de la résilience de nos sociétés. Tribune publiée sur Le Monde.fr et co-signée par ... Mounir MAHJOUBI, entrepreneur, Président du Conseil national du numérique (CNNum) ; Isabelle FALQUE-PIERROTIN, Présidente de la CNIL ; Gilles BABINET, Digital champion de la France auprès de la Commission européenne, ex-Président du Conseil national du numérique (2011- 2012) ; Benoît THIEULIN, Fondateur et Directeur de l’agence d’innovation numérique La Netscouade, ex-Président du Conseil national du numérique (2013- 2016) ; Godefroy BEAUVALLET, Directeur de l'Innovation - Institut Mines-Télécom, Vice-président du CNNum; Guy MAMOU-MANI, Coprésident du Groupe Open, Vice-président du CNNum ; Sophie PÈNE, Professeur à l’Université Paris Descartes, Vice-présidente du CNNum ; Amal TALEB, Juriste, Vice-présidente du CNNum ; Yann BONNET, Secrétaire général du CNNum ; Nathalie COLLIN, DGA du Groupe La Poste en charge du Numérique et de la Communication, membre du CNNum ; Pascal DALOZ, DGA chez Dassault Systèmes, ex-membre du CNNum (2013- 2016) Gaël DUVAL, Fondateur et président de JeChange.fr, Président de La French Touch Conference, membre du CNNum ; Ghislaine HIERSO, Présidente de l’Association Française des Petits Débrouillards, membre du CNNum ; Rand HINDI, Fondateur de Snips, membre du CNNum ; Daniel KAPLAN, Délégué général de la Fondation pour l’Internet Nouvelle Génération (la FING), membre du CNNum ; Ludovic LE MOAN, PDG de SIGFOX, membre du CNNum ; Tristan NITOT, Fondateur et ex-président de Mozilla Europe, ex-membre du CNNum (2013- 2016) ; Antoine PETIT, PDG de l’INRIA, membre du CNNum ; Valérie PEUGEOT, Présidente de l'association Vecam, ex-Vice-présidente du CNNum (2013- 2016) Yves POILANE, Directeur de Télécom ParisTech, membre du CNNum ; Jean-Marc PATOUILLAUD, Managing Partner de Partech, membre du CNNum ; Emmanuelle ROUX, Co-fondatrice du FacLab de l’Université de Cergy-Pontoise, prospectiviste, conférencière et Directrice-associée de Sc21, membre du CNNum ; Emmanuelle SAUDEAU-TURLOTTE, Directrice de la transformation digitale à la SNCF, , membre du CNNum ; Marc TESSIER, Président du Forum des Images et administrateur de VidéoFutur, membre du CNNUm ; Célia ZOLYNSKI, Professeur agrégée de droit privé à l’université de Versailles Saint Quentin (spécialiste Droit IP/IT- Droit de l’UE), membre du CNNum ; Pascale LUCIANI-BOYER, membre du CNNum élue au titre des collectivités territoriales (2013-2016)