Volkswacht Bodensee - Lutte contre le narcotrafic: la confidentialité des messageries cryptées en débat

L'obligation pour les messageries d'ouvrir sur requête des services de police l'accès aux conversations de personnes mises sur écoute figure dans le texte adopté à l'unanimité au Sénat début février.

L'article a été supprimé à l'Assemblée nationale en commission des lois début mars. Mais la majorité présidentielle insiste, avec un amendement au but similaire déposé par trois députés, qui devrait être examiné dans la semaine.

L'un d'eux, Paul Midy, défend une "réécriture complète de l'article, pour prendre en compte la totalité des inquiétudes" au sujet de sa version initiale.

En question: les modalités d'accès aux échanges qui mettraient en péril la sécurité de l'ensemble des utilisateurs.

Le "chiffrement de bout en bout" mis en place par Whatsapp, Signal mais aussi Messenger (Facebook) revient à brouiller les conversations, les rendant indéchiffrables y compris pour les plateformes elles-mêmes. Celles-ci n'ont donc pas les moyens, actuellement, de livrer leur contenu.

- "Porte dérobée" -

Les députés de la gauche et du centre opposés à l'article initial s'inquiétaient de l'introduction d'un mécanisme de "porte dérobée", ou "backdoor", permettant à un tiers d'accéder à des messages chiffrés, ouvrant en même temps une faille de sécurité.

Dans son amendement, "il n'y a pas de backdoor, il n'y a pas d'atteinte au chiffrement", insiste Paul Midy.

Le texte, en effet, exige de ne pas "porter atteinte à la prestation de cryptologie" et renvoie les modalités techniques à l'approbation d'une commission.

Sur X mercredi, la ministre chargée du Numérique, Clara Chappaz, s'est réjouie "de l'ouverture d'une discussion technique exigeante avec les messageries", après s'être inquiétée mardi, dans un message supprimé depuis, de ne pas avoir "à ce jour de solution technique pour accéder à des communications ciblées sans affaiblir la sécurité du système tout entier".

L'évolution de l'article ne convainc toutefois ni les plateformes de messagerie, ni les acteurs de la cybersécurité. Pour eux, introduire un processus permettant de lire des messages cryptés revient nécessairement à ouvrir une brèche exploitable par des individus mal intentionnés.

- Solution "impossible" -

"Modifier les mécanismes de sécurité, (...) c'est la garantie de multiplier les erreurs et vulnérabilités involontaires qui pourront ensuite être exploitées par les cybercriminels", a ainsi indiqué le directeur adjoint de Docaposte -- filiale numérique de La Poste française -- et ancien directeur de l'agence de sécurité informatique (Anssi), Guillaume Poupard, sur le réseau LinkedIn.

"Si c'est possible sur réquisition judiciaire, ça sera aussi possible pour un pirate", pointe Patrick Blum, délégué général de l'Association française des correspondants à la protection des données personnelles.

La "technique du fantôme", évoquée par le ministre de l'Intérieur Bruno Retailleau, qui consiste à intégrer un utilisateur tiers dans une conversation privée de manière invisible, est aussi critiquée.

Pour Benoit Grunemwald, expert cybersécurité chez ESET, société de logiciels, "c'est juste impossible d'avoir un chiffrement de bout en bout, (...) une complète sécurité et confidentialité des messages, et qu'en même temps un tiers puisse y accéder".

Le président de la messagerie chiffrée française Olvid, désignée par le gouvernement en 2023 pour être utilisée dans les ministères, tient la même position auprès de l'AFP.

"L'idée de l'utilisateur fantôme, je comprends qu'elle soit séduisante. (...) Mais, en réalité, dès lors qu'on doit vraiment mettre les mains dans le cambouis, elle pose un nombre de problèmes considérable", martèle Thomas Baignères.

À l'image d'autres services, tels que Proton et Signal, il refuse d'appliquer de telles solutions. "On ne peut pas implémenter ce genre de choses de manière sûre", tranche-t-il.

S.Leonhard--VB