À la fin du mois d’août, le ministre de l’Intérieur Bernard Cazeneuve a reçu son homologue allemand Thomas de Maizière pour discuter de la lutte contre le terrorisme, et évoquer le sujet sensible de l’accès aux communications chiffrées. Mais le discours de M. Cazeneuve est resté très flou sur les moyens juridiques et techniques à employer pour rendre lisibles des communications chiffrées de bout en bout.
Seule une phrase laissait percevoir la méthode, en demandant que la Commission européenne étudie « la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ».
C’est finalement dans une réponse écrite au sénateur Christian Cambon, inquiet des effets du chiffrement, que le ministère a mieux précisé sa pensée en expliquant que « les défis que pose aux forces de sécurité le chiffrement est réel ».
Dans un premier temps, le ministère reconnaît que seul les logiciels avec chiffrement de bout en bout (Signal, Telegram dans certains cas, Facetime, Viber, WhatsApp, …) lui pose de réelles difficultés, puisque personne ne dispose des clés à part les destinataires et expéditeurs, ce qui ne permet pas de mettre en œuvre les dispositions du code pénal qui obligent les intermédiaires à fournir les clés et conventions de chiffrement qu’ils détiennent.
Ne reste donc que deux options. Interdire le chiffrement de bout en bout, ou exiger que soit implémenté un backdoor sous contrôle de l’éditeur. Il semble que le ministère penche plutôt pour cette seconde option.
Option 1 : interdire de fait le chiffrement de bout en bout
En effet, il conçoit comme solution le fait « d’obtenir des fournisseurs de logiciels de communications électroniques (Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik, Wechat, etc.) des clés ou des algorithmes de déchiffrement afin de pouvoir mettre au clair, presque en temps réel, les flux internet interceptés, et de les sanctionner sur le plan pénal ou administratif en cas d’absence de réponse ».
Cela revient à dire que les techniques de chiffrement de bout en bout seraient interdites, puisque tout fournisseur de logiciel de messagerie aurait l’obligation d’être en mesure de fournir les clés et algorithmes, sous peine de sanction. Or tout le principe du chiffrement de bout en bout est justement de ne pas posséder les clés pour qu’aucun intermédiaire ne puisse déchiffrer les messages échangés.
Quoi qu’il en soit, et probablement parce qu’il sait que cela aurait pour effet de développer des messageries libres et open-source qui échappent à toute emprise juridique, le ministère de l’Intérieur estime qu’une telle solution « ne peut être que temporaire ».
Option 2 : imposer un backdoor sous contrôle de l’éditeur
Le cabinet de Bernard Cazeneuve estime donc qu’il serait plus « pérenne » de réfléchir à une seconde solution, qui consisterait à créer une nouvelle catégorie de prestataires dans la loi, les « fournisseurs de logiciels de communication électronique ». Ceux-ci seraient alors aux mêmes obligations juridiques que les opérateurs de communications électroniques (FAI, opérateurs mobiles…), avec « oblig[ation] à procéder à des interceptions, avec fourniture des contenus qui transitent par leurs serveurs, en temps réel et en clair ».
Lorsqu’il veut offrir des services télécoms, un opérateur a en effet l’obligation actuellement de respecter un certain nombre de règles, dont des « prescriptions exigées par l’ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en oeuvre des interceptions justifiées par les nécessités de la sécurité publique ». L’article D98-7 du code des postes et communications électroniques précise que l’opérateur « met en place et assure la mise en oeuvre des moyens nécessaires » aux mises sur écoute, qui doivent être possibles depuis la France.
C’est à ce motif que l’Arcep avait saisi la justice contre Skype, en estimant qu’avec son chiffrement et son fonctionnement en P2P, il ne remplissait pas son obligation d’autoriser les écoutes téléphoniques. Mais l’autorité avait bien précisé à l’époque que si cette obligation s’applique au « service permettant aux internautes situés en France d’appeler (…) des numéros fixes et mobiles », en revanche « tous les services fournis par la société Skype ne constituent pas des services de communications électroniques ». Les appels en VOIP de Skype à Skype ou les échanges textuels par la messagerie échappaient à la réglementation.
Une partie au moins des éditeurs échapperait facilement à la législation française
C’est cette faille juridique que le ministère de l’Intérieur espère combler, en estimant qu’à notre époque, il n’y a plus de raison de distinguer entre le bon vieux téléphone et les logiciels qui permettent de communiquer, ce qui est sans doute vrai. Là aussi, l’effet juridique induit est que les opérateurs ou « fournisseurs de logiciels de communication électronique » auraient désormais l’obligation d’être en mesure de déchiffrer des communications, ce qui implique soit de posséder les clés, soit de prévoir une porte dérobée (backdoor) pour réaliser une mise sur écoute à la demande.
Il reste toutefois un problème pratique. S’il était facile d’imposer des mesures aux opérateurs télécoms qui doivent nécessairement avoir des infrastructures en France, et donc obéir au droit français, il en va tout autrement des éditeurs de logiciels de messageries qui ne font que profiter des infrastructures des opérateurs, lorsque leurs clients français leurs utilisent. En conséquence, une partie au moins des éditeurs échapperait facilement à la législation française.
Des alternatives plus près du suspect
En conséquence, le gouvernement n’est pas complètement naïf sur ses chances de succès, et reconnaît qu’il faut penser la question du chiffrement et des méthodes judiciaires autrement. Il va falloir avoir plus souvent recours aux « enquêtes sous pseudonymes », qui sont l’équivalent numérique de la bonne vieille infiltration, et obligent à cibler davantage ses suspects pour entrer en contact avec ceux susceptibles de livrer (cette fois en clair) des informations utiles.
L’autre méthode consiste, une fois un suspect identifié, à le mettre sur écoute par l’installation de mouchards qui renvoient ce qui s’affiche à l’écran, est saisi sur le clavier ou s’entend dans les haut-parleurs. Ces outils existent depuis longtemps, mais sont dans les faits peu accessibles à la police judiciaire.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.