Tech&Co
Cybersécurité

Est-il réellement possible de limiter le chiffrement des messageries?

-

- - -

La France et l'Allemagne veulent contraindre les fournisseurs de services de messageries à déchiffrer leurs échanges. Mais cette initiative risque de se heurter rapidement aux réalités techniques.

A l'occasion d'une rencontre avec son homologue allemand, le ministre de l'intérieur Bernard Cazeneuve a réitéré sa volonté de vouloir limiter le chiffrement des messageries, devenues un outil majeur d'organisation, de recrutement et de propagande pour les djihadistes. La principale idée qui ressort de cette annonce est de contraindre au niveau européen les fournisseurs de messageries à fournir des contenus déchiffrés sur demande des enquêteurs. Mais sur le plan technique, les choses ne sont pas si simples que cela.

En effet, suite aux révélations d'Edward Snowden, de plus en plus de messageries grand public ont adopté le chiffrement de bout en bout, que ce soit pour redorer leur blason ou pour séduire des utilisateurs devenus plus exigeants quant à la protection des données personnelles. C'est le cas, entre autres, d'iMessage d'Apple, de WhatsApp, de Telegram ou de Google Allo. Même Facebook Messenger s'y est mis. Ce qui représente au total plus d'un milliard d'utilisateurs. Or, si on active le chiffrement de bout en bout, les fournisseurs sont alors techniquement incapables de déchiffrer les échanges.

D'autres tentatives légales ont existées

Evidemment, cette nouvelle loi pourrait prévoir, pour ce cas, des peines extrêmement coercitives incitant les fournisseurs soit à ne plus proposer de chiffrement de bout en bout, soit à "pirater" leurs propres produits en y intégrant une porte dérobée. Au niveau législatif, plusieurs pays ont tenté d'adopter ce type de stratégie. Au Royaume-Uni, une loi baptisée "Investigatory Powers Bill" vise à donner un maximum de pouvoir d'investigation aux forces de l'ordre. Une première version obligeait les fournisseurs de services de fournir coûte que coûte les échanges déchiffrés. Depuis, le gouvernement a reculé : les fournisseurs ne pourront y être contraints que dans la mesure où ils ont la maîtrise des clés de chiffrement. Les services chiffrés de bout en bout sont donc exemptés, comme le souligne ComputerWorld UK.

En Inde, un projet de loi présenté en 2015 demandait aux fournisseurs de service le déchiffrement et le stockage de l'ensemble des échanges. Mais le projet a, depuis, été enterré. Aux Etats-Unis, le comité du renseignement du Sénat a présenté en avril dernier un projet de loi qui, dans les faits, veut contraindre les fournisseurs de services à créer une porte dérobée dans leurs produits.

Un dispositif "mathématiquement impossible"

Ce projet a récolté énormément de critiques et n'a pas été discuté depuis. Il est probable qu'il sera enterré, car tous les cryptographes sont unanimes : il est impossible de créer une porte dérobée de manière sécurisée. Le cryptographe Nadim Kobeissi, chercheur à l'INRIA, estime même que la création de portes dérobées est "mathématiquement impossible". "Je ne peux pas affaiblir mon logiciel pour rendre l'espionnage de djihadistes plus facile sans que cette faiblesse ne concerne tous ceux qui utilisent mon programme", explique-t-il dans une note de blog.

En effet, il y a toujours le risque qu'une porte dérobée soit détectée ou qu'elle soit volée. C'est d'ailleurs pour cette raison qu'Apple a refusé de créer un système permettant de déchiffrer l'iPhone 5s de San Bernardino. L'histoire donne raison à la firme californienne: les fuites orchestrées récemment par le mystérieux groupe de hackers Shadow Brokers montrent que même la puissante NSA n'arrive pas à protéger correctement ses outils de piratage.

Enfin, en supposant que les gouvernements européens arrivent réellement à contraindre les fournisseurs de leur créer des accès privilégiés, il est peu probable que cela résolve la problématique initiale, à savoir la surveillance des échanges djihadistes. Ces derniers n'ont absolument pas besoin de passer par WhatsApp, Telegram et consorts pour échanger des messages chiffrés de bout en bout. Ils les utilisent parce qu'ils sont pratiques.

Mais il existe aussi des logiciels open source tels que GPG (email) ou Pidgin (messagerie instantanée) qui permettent de faire la même chose. Par ailleurs, rien n'empêche ces groupes islamistes de créer leurs propres outils de communication chiffrée. Dans ces deux cas, l'hypothétique contrainte légale imaginée par Bernard Cazeneuve serait un coup d'épée dans l'eau.