Sergey Nivens - Fotolia
L’Enisa et Europol affichent une position commune sur le chiffrement
Dans un communiqué commun, les deux institutions européennes semblent se ranger contre les portes dérobées et autres mises de clés sous séquestre. Mais non sans une certaine ambiguïté.
L’agence européenne pour la sécurité des réseaux et de l’information, Enisa, ne cache pas, depuis longtemps, ses positions opposées aux portes dérobées et autres systèmes de mise de clés de chiffrement sous séquestre. Des mécanismes proposés régulièrement pour satisfaire les attentes d’autorités à la peine avec les systèmes de chiffrement modernes.
Récemment encore, l’Enisa soulignait, dans un rapport, l’importance du chiffrement « fort et de confiance » comme brique « pour une société et une économie qui dépendent plus que jamais des services électroniques ». Une piqure de rappel après une première prise de position marquée en janvier 2015.
Et Europol semble s’être rangé ces arguments. Dans un communiqué conjoint, les deux institutions européennes soulignent « l’importance de la proportionnalité pour l’utilisation d’outils d’enquête intrusifs ». Et il s’agit là de prendre aussi en compte le risque de dommages collatéraux. Pour l’Enisa et Europol, « l’effort doit porter sur l’accès à la communication ou l’information ; pas sur le cassage du mécanisme de protection ». Et de souligner que « la bonne nouvelle est que l’information a besoin d’être déchiffrées en un point donné pour être utile aux criminels », ce qui ouvre tout naturellement des perspectives : « opérations sous couverture, infiltration de groupes criminels, accès aux appareils de communication au-delà du point de chiffrement », etc. Du bon sens, mais une liste « d’opportunités » qui, pour beaucoup, ne semblent pas en être alors qu’il serait tellement plus simple de pouvoir profiter de portes dérobées pour intercepter à distance, de manière centralisée, dans le réseau…
L’Enisa et Europol reconnaissent clairement que portes dérobées et mises sous séquestre de clés de chiffrement « affaiblirait le chiffrement » et « augmenterait la surface d’attaque pour les abus malicieux, ce qui aurait des implications bien plus larges pour la société ».
Mais alors que l’Enisa semblait avoir, jusqu’ici, une position tranchée, le communiqué des deux institutions s’achève dans l’ambiguïté : « lorsque que le contournement [des moyens de protection, NDLR] n’est pas possible, alors même que l’accès aux informations chiffrées est impératif pour la sécurité et la justice, des solutions réalistes de déchiffrement sans affaiblissement des mécanismes de protection doivent être offerts, tant par la législation, que par l’évolution technologique continue ».
Si le message, ménageant tant la chèvre que le chou, apparaît avant tout politique, visant à afficher une unité au moins de façade entre l’Enisa et Europol, il avance toutefois la perspective de travaux de coopération entre l’Europe et les « partenaires industriels », ainsi que la « communauté de la recherche dotée d’une expertise en crypto-analyse » pour aider à casser le chiffrement « lorsque c’est légalement recommandé ».