Sergey Nivens - Fotolia

Le renseignement aime le chiffrement, mais il veut bien des points de clair

Venu au Sstic pour tenter de faire émerger des vocations, le directeur technique des services du renseignement français a dénoncé, sans trop l’afficher, l’opacité des communications chiffrées.

C’était une opération séduction assumée : la direction générale de la sécurité extérieure (DGSE) a besoin de bras, et Patrick Pailloux, son directeur technique depuis 4 ans, ne s’en cache pas. Il est donc intervenu en clôture de l’édition 2018 du Symposium sur la sécurité des technologies de l’information et des communications (Sstic), pour démystifier quelque peu les activités du renseignement français et affiner la perception des profils dont elle peut être en quête. Mais il ne s’est pas arrêté à cela. Et sa prise de position sur le chiffrement des communications ne fera probablement pas l’unanimité.

A lire entre les lignes, on comprend ainsi que Patrick Pailloux souhaite que les autorités puissent disposer de ce que son successeur à la tête de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), Guillaume Poupard, désigne comme des « points de clair ». Comprendre : des espaces où les communications chiffrées des personnes sont accessibles en clair aux forces de l’ordre et aux services de renseignement.

Car pour Patrick Pailloux, l’opposition entre des mécanismes permettant un tel accès et le respect de la vie privée et de la confidentialité des échanges est « mauvaise », et surtout « pas représentative de la réalité ». Il affirme ainsi : « [la] sécurité ne veut pas dire impossibilité d’accéder aux communications pour les services : il suffit de prévoir et de mettre en place les mécanismes de sécurité et de chiffrement, d’autorité indépendante de contrôle […] Vous savez qu’on sait faire de la sécurité forte avec plusieurs tiers, donc on peut mettre en place des mécanismes de réquisition qui ne sont pas une ouverture en open-bar à n’importe quel service qui pourrait aller piquer des données ». Des mécanismes qui permettent, toutefois, « quand il y a une réquisition judiciaire », respectueuse du droit, d’accéder aux communications.

Alors que Patrick Pailloux voulait « tordre le coup à l’idée que l’on entend trop souvent et selon laquelle les services de sécurité […] seraient contre le développement de la sécurité ou de la cryptologie » - car, pardonnez-le, « est-ce bien sérieux de penser ça ? » -  le message se veut clair : le chiffrement, c’est bien et nécessaire. « Je ne vais pas dévoiler un secret : aujourd’hui, l’avantage est quand même à l’attaquant », rappelle-t-il. Et d’ajouter : « quand on est en situation de faiblesse, la première chose qu’on ne fait pas, c’est d’abaisser ses protections ». Le chiffrement en étant une, pas question pour le directeur technique de la DGSE d’appeler à son affaiblissement.

Mais le discours n’est pas nouveau et continuer de peiner à convaincre. Sir Julian King, Commissaire européen en charge de la sécurité, s’affiche sur une ligne comparable quand il appelle à dépasser « le débat stérile entre portes dérobées et pas de portes dérobées » pour mieux pousser l’idée de points d’accès aux échanges en clair par les autorités. Car la Commission veut « supporter les forces de l’ordre et les autorités judiciaires lorsqu’elles sont confrontées au chiffrement dans le cadre d’enquêtes criminelles ».

En janvier 2017, au Forum International de la Cybersécurité (FIC), à Lille, Bruno Le Roux, alors ministre de l’Intérieur, se voulait lui aussi rassurant, expliquant que le chiffrement « reste indispensable et ne saurait être remis en question ». Mais dans le même temps, il appelait à « réfléchir à des solutions dans le plein respect des droits fondamentaux » pour répondre aux besoins des enquêteurs judiciaires.

A l’automne dernier, le ministère américain de la Justice a opéré un léger virage sémantique, n’évoquant plus des portes dérobées ni autres points de clair ou mise de clés sous séquestre, mais un « chiffrement responsable ». Une façon de relancer le débat, à défaut de le renouveler, qui ne manquera probablement pas de faire des émules.

Pour approfondir sur Réglementations et Souveraineté

Close