Chiffrement : les géants du Net sous la pression des Etats

 |   |  1575  mots
Au Royaume-Uni, le chiffrement est directement attaqué par l’Investigatory Powers Bill. Ce projet de loi vise à doter les forces de police et les services de renseignement de moyens très intrusifs, comme la récupération automatique de données dans les smartphones.
Au Royaume-Uni, le chiffrement est directement attaqué par l’Investigatory Powers Bill. Ce projet de loi vise à doter les forces de police et les services de renseignement de moyens très intrusifs, comme la récupération automatique de données dans les smartphones. (Crédits : © Kacper Pempel / Reuters)
Les attentats du 13 novembre à Paris et du 2 décembre à San Bernardino ont relancé le débat sur le chiffrement des données, qui est directement mis en cause au Royaume-Uni et en Chine. Les géants du Net Google, Apple, Facebook, Microsoft et Twitter se retrouvent tiraillés entre deux impératifs contradictoires : leur volonté de garantir le chiffrement à leurs utilisateurs et la nécessité de collaborer avec les Etats dans la lutte anti-terroriste.

Les géants du Net vont-ils finir par céder ? Depuis plusieurs mois, et encore plus depuis les attentats du 13 novembre à Paris et la fusillade du 2 décembre à San Bernardino, aux Etats-Unis, des entreprises comme Google, Facebook, Apple, Microsoft et Twitter, dont les services sont utilisés par plusieurs milliards de personnes dans le monde, font l'objet de pressions intenses de la part des Etats et des services de police et de renseignement.

En cause: le chiffrement des données sur Internet. Cette technique consiste à crypter le contenu de textes et de messages grâce à une clé (un code). Sans ce sésame, le contenu est indéchiffrable. Depuis les révélations fracassantes du lanceur d'alertes Edward Snowden sur la surveillance de masse pratiquée par les Etats-Unis avec l'aide des géants du Net, de plus en plus d'entreprises fournissant des services sur Internet s'y convertissent.

Le chiffrement par défaut des smartphones d'Apple et de Google passe mal

Eclaboussés par le scandale Snowden, Facebook, Google et Apple se positionnent désormais en faveur du chiffrement. L'enjeu apparaît autant moral -protéger la vie privée dans le XXIè siècle connecté- qu'économique. Et pour cause : la confiance des utilisateurs et la sécurité sont les piliers de l'utilisation d'un service numérique.

Même si cela ne l'empêche pas d'analyser le contenu des messages pour proposer de la publicité ciblée, Google est passé dès 2011 du protocole "http" au "https" pour sa messagerie Gmail. Le "s", pour "sécurisé", signifie que Google a ajouté une couche de chiffrement qui garantit, théoriquement, la confidentialité et l'intégrité des données. Depuis 2014, le moteur de recherche de Google a même décidé de mieux référencer les sites qui sont passés au "https". Enfin, Apple et Google se sont convertis en 2015 au chiffrement par défaut des messages de leurs nouveaux modèles de smartphones.

Ces initiatives ont été très bien accueillies par les utilisateurs. Mais beaucoup moins par de nombreux Etats. Avec un argument choc: le chiffrement compliquerait le travail des services de renseignement, notamment pour repérer des terroristes potentiels. Les attentats du 7 janvier 2015 au siège du journal Charlie Hebdo, ceux du 13 novembre à Paris et du 2 décembre à San Bernardino, aux Etats-Unis, leur ont donné de nouveaux arguments pour réclamer des "portes dérobées", ou "backdoors".

Autrement dit, les Etats et services de police réclament la possibilité de décoder le contenu crypté si nécessaire. Une solution que refusent, pour l'instant, les géants du Net au motif que créer des portes dérobées endommagerait la sécurité du système et romprait la confiance avec leurs utilisateurs. De nombreux experts informatiques confirment. "Si l'Etat peut accéder aux contenus chiffrés par des moyens détournés, alors toute l'infrastructure est vulnérable pour des hackeurs, escrocs et Etats étrangers", explique Tristan Nitot, l'ex-fondateur de la fondation Mozilla Europe et ingénieur chez Cozy Cloud.

En France, des attaques anti-chiffrement de plus en plus régulières

Dans l'Hexagone, le procureur de Paris, François Molins, s'est imposé comme le principal détracteur du chiffrement. Dès août dernier, dans une tribune au New York Times cosignée avec des procureurs américain, espagnol et britannique, il accusait Apple et Google de "rendre la justice aveugle" en chiffrant par défaut leurs nouveaux smartphones.

Cette figure rassurante aux yeux de nombreux Français en a encore remis une couche vendredi dernier, sur l'antenne de France Inter. "Tous les smartphones qu'on essaie aujourd'hui d'exploiter sont verrouillés et cryptés. Toutes les communications qui sont passées par les terroristes sont passées avec l'aide de logiciels de cryptage", a-t-il affirmé.

Pour l'heure, la question du chiffrement ne fait pas partie de l'arsenal législatif mis en œuvre pour faciliter la lutte antiterroriste dans le cadre de l'état d'urgence et des réformes sécuritaires à venir. Mais la position de l'Etat sur ce sujet apparaît floue. Le chiffrement a été pointé du doigt par plusieurs responsables politiques de la majorité comme de l'opposition depuis les attentats du 7 janvier et du 13 novembre. Manuel Valls lui-même a mentionné, en octobre, la notion étrange de "chiffrement légal", sous-entendant qu'il existerait deux types de chiffrement, alors que la pratique est légale en France depuis 2004.

En attendant que le gouvernement se décide -ou pas- à légiférer pour imposer des "portes dérobées" et leur accès même sans autorisation de justice, les géants du net s'adonnent à un exercice d'équilibriste. Leur position est délicate, car ils sont tiraillés entre deux impératifs contradictoires: leur volonté de garantir le chiffrement d'un côté, et la nécessité de collaborer avec les Etats dans la lutte anti-terroriste de l'autre. Depuis les attentats, Facebook, Twitter, Google et Microsoft montrent patte blanche et mettent l'accent sur leurs initiatives contre la radicalisation en ligne. "De par leur importance, les plateformes Internet comme Facebook ont des responsabilités. Nous nous efforçons de collaborer au maximum avec l'Etat pour lutter contre la propagande terroriste sur Internet et garantir la sécurité de nos utilisateurs", indique Facebook France à la Tribune.

Pour l'heure, les géants du Net multiplient donc les signaux de bonne volonté. Ils participeront tous au "hackathon sécurité" organisé par la Ville de Paris du 15 au 17 janvier. Mais la question du chiffrement reste taboue. Elle pourrait toutefois resurgir fin janvier, lors d'une nouvelle réunion entre le gouvernement et les grands acteurs de l'Internet et des réseaux sociaux au sujet de la lutte antiterrorisme sur la Toile.

Au Royaume-Uni, les géants du Net haussent le ton

Outre-Manche, les positions de l'Etat sont plus claires. Dès le lendemain des attentats contre Charlie Hebdo, David Cameron promettait de donner aux services de renseignement l'accès à toutes les communications, sans exception. Chose promise, chose due : le chiffrement est directement attaqué par l'Investigatory Powers Bill. Ce projet de loi vise à doter les forces de police et les services de renseignement de moyens très intrusifs, comme la récupération automatique de données dans les smartphones.

Une ligne rouge pour Google, Facebook, Microsoft, Twitter et Yahoo. Dans un courrier adressé au gouvernement, les quatre entreprises fustigent le projet de loi, qu'elles jugent apte à "diminuer la confiance des utilisateurs". Elles réclament la création d'un cadre juridique particulier pour protéger le chiffrement:

"Le chiffrement est un outil fondamental de sécurité, aussi important pour la sécurité de l'économie numérique que crucial pour celle des internautes dans le monde. Nous rejetons toute proposition qui requerrait des sociétés qu'elles affaiblissent délibérément la sécurité de leurs produits par des portes dérobées, un déchiffrement forcé ou d'autres moyens".

En Chine, les entreprises Internet ont perdu la bataille

La levée de boucliers des géants du Net au Royaume-Uni va-t-elle porter ses fruits et faire reculer le gouvernement? En Chine en tout cas, la bataille est déjà perdue pour les défenseurs du chiffrement.

Fin décembre, le parlement chinois a adopté à l'unanimité sa première loi antiterroriste. Les entreprises technologiques devront "faciliter l'accès à leurs données", y compris celles qui sont chiffrées, en fournissant aux autorités policières leurs clés de chiffrement, sans décision de justice.

Même aux Etats-Unis, pourtant bienveillants envers le chiffrement depuis l'affaire Snowden, les positions se durcissent. Vendredi dernier, le président Obama a rencontré les dirigeants des grands groupes de la Silicon Valley pour les enrôler dans la lutte contre l'embrigadement en ligne. Comme en France.

Mais il a aussi été question de chiffrement lors de la réunion. Depuis les attentats de Paris, le curseur entre la sécurité et la protection de la vie privée se déplace fortement en faveur de la sécurité. Au point que certains officiels américains n'ont pas hésité à blâmer... Edward Snowden pour les attentats. Pour l'ancien directeur de la CIA James Woolsey, Snowden a "du sang sur les mains". Quant à l'actuel directeur de l'agence, John Brennan, il pense que le chiffrement a rendu la chasse des terroristes "beaucoup plus difficile". Le débat sur les moyens accordés à la surveillance est bel et bien reparti et devrait se clarifier après l'élection présidentielle.

Les Pays-Bas bien seuls dans la défense du chiffrement

Bref, dans un contexte de tension extrême liée à la menace terroriste, rares sont les pays qui échappent à la tendance du tour de vis sécuritaire au détriment des outils de protection de la vie privée et de sécurité comme le chiffrement.

Les Pays-Bas font pourtant exception. Lundi dernier, le 4 janvier, le ministre de la Sécurité et de la Justice, Ard van der Steur, et le ministre des Affaires économiques, Henk Camp, ont réaffirmé leur soutien à cette technique qu'ils jugent "important pour la protection des données des citoyens, des entreprises, du gouvernement et de l'économie néerlandaise toute entière".

Ils affirment même que son affaiblissement avec des "portes dérobées" ou des clés de déchiffrement ouvre la porte à "l'espionnage des criminels, des terroristes et d'agences de renseignement étrangères". Un argument qui, visiblement, ne prend pas ailleurs.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 13/01/2016 à 13:16 :
La Stasi en avait rêvé, nous sommes en train de le réaliser ... :-( !
a écrit le 13/01/2016 à 0:00 :
Il aurait été important de rappeler que les auteurs des attentats en France étaient connus des services de police, ont même été sous surveillance et l'imminence des attentats connue...

Le sujet n'est pas le chiffrement mais bien un problème de volonté politique et judiciaire d'agir!
a écrit le 12/01/2016 à 17:14 :
Des produits existe comme Squareway de Vivaction pour protéger les smartphones voix et data pour les entreprises cabinet d avocats cabinet de conseil pharmacie aéronautique ! Ç est surtout les cadres qui voyagent qui se font pillés dans les hôtels et les aéroports ! Tous les gens qui veulent une protection au niveau professionnel ne sont pas des terroristes !
a écrit le 12/01/2016 à 15:51 :
Comment maintenir la démocratie face au terrorisme ? Pour l'instant la démocratie est en train de perdre la partie,et face au terrorisme, et face aux Etats dont la France qui voudraient bien se passer du contrôle des Assemblées et de la Justice.
C'est simple dans tous les cas, les élus doivent contrôler l'exécutif et la justice doit contrôler la police, mais ce contrôle ne doit pas entraver l'efficacité des intervenants dans la lutte contre le terrorisme et uniquement contre celui-ci.
En démocratie, il ne doit pas y avoir de loi d'exception inscrite dans la constitution, sinon imaginez qu'un parti extrémiste de droite ou de gauche arrive au pouvoir...
Réponse de le 12/01/2016 à 16:35 :
Le parti extrémiste est déjà au pouvoir, @Iciailleurs, tout dépend du point de vue où l'on se place.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :