Andrea Danti - Fotolia
Chiffrement : l’hypocrisie française
Dormez tranquillement, bonnes gens, nous veillons à la sécurité de vos données personnelles. Tout en nous ménageant les moyens de les surveiller.
Le message paraît, de prime abord, clair et rassurant. Guillaume Poupard, le patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), nous l’indiquait la semaine dernière, à l’occasion des Assises de la Sécurité : l’Anssi a travaillé avec les fournisseurs de services français pour qu’ils assurent un échange chiffré entre serveurs de messagerie, à l’instar de leurs homologues allemands.
Un message rassurant sur la confidentialité
Axelle Lemaire, secrétaire d’Etat chargée du numérique, vient de le confirmer : elle a « annoncé la signature d’une charte avec les principaux opérateurs français pour sécuriser les échanges d’e-mail entre leurs services de messagerie électronique ». La signature de cette charte « aura lieu dans les prochains jours ». Et d’annoncer au passage le lancement d’un appel à projet doté de 10 M€ pour « soutenir les entreprises innovantes dans trois domaines : les techniques d’anonymisation des données personnelles ; la protection de la vie privée dans les objets connectés ; les architectures innovantes en matière de protection de la vie privée, comme les architectures distribuées ».
Alors que de nombreuses voix continuent de faire entendre leurs inquiétudes sur les perspectives de surveillance de masse ouvertes par la loi sur le renseignement avec ses fameuses boîtes noires, ou encore le nouveau projet relatif aux communications « envoyées ou reçues de l’étranger », ces annonces peuvent donner l’illusion d’être rassurantes.
Préserver des « points de clair »
Mais rien de plus qu’une illusion. Car comme l’expliquait le directeur général de l’Anssi, il faut, pour garantir la capacité de l’Etat à mener des interceptions légales, « raisonner avec des points de clair ». Et justement, pour lui, les courriels, chiffrés en transit par les fournisseurs de services français devront être accessibles en clair, sur leurs serveurs.
Dès lors, on imagine mal un Threema, un Signal ou un Wickr être éligibles aux financements promis par Axelle Lemaire : ces applications sont très efficaces pour protéger la vie privée et les communications électroniques. Mais l’on imagine aisément qu’elles comptent parmi celles qui posent problème aux autorités françaises, ces « applications [chiffrées] de bout en bout » et contre lesquelles il est plus difficile de se retourner contre un Apple, par exemple.
L’illusion du coffre fort
Mais l’illusion est plus étendue encore et touche les autorités de l’Hexagone. Tout d’abord, qui oserait imaginer que les opérateurs français soient capables de construire des coffres forts inviolables pour protéger des données de leurs clients tout en y garantissant un accès en clair pour les autorités ?
Ce n’est ni plus ni moins qu’une porte, que l’on évitera pour le coup de qualifier de dérobée. Et l’expérience montre que cela ne fonctionne pas.
Certes, la loi de programmation militaire leur impose de nouvelles contraintes de sécurité, mais cela suffit-il ? La NSA elle-même n’a pas été capable de protéger des données parmi les plus sensibles. D’où les révélations d’Edward Snowden. A moins que le gouvernement ne pense qu’en définitive, il n’y a rien de bien critique à ces données qui ne relèvent en majorité que de la vie privée…
Reste que les autorités françaises semblent bien en train de se laisser gagner par une autre illusion : celle de pouvoir ainsi accéder à des informations de quelque valeur que ce soit pour assurer la sécurité des citoyens.
Encourager le recours à plus de chiffrement
Comme Guillaume Poupard l’expliquait au sujet de mécanismes de séquestre des clés de chiffrement, le risque consiste à « embêter 99,99 % de la population qui n’a rien à se reprocher » sans obtenir les clés de ceux qui représentent une réelle menace : « vous voulez demander à un djihadiste de donner ses clés ? Ça ne rime à rien de mon point de vue. Ces mécanismes-là ne fonctionnent pas ».
Dès lors, ne faut-il pas être naïf pour imaginer qu’une personne réellement dangereuse se laissera aller à confier ses échanges d’e-mails à un opérateur signataire de la fameuse charte annoncée par Axelle Lemaire ? Celle-ci aura plus probablement tôt fait de pousser les acteurs réellement malveillants vers d’autres plateformes réellement sûres, un peu comme la surveillance des réseaux BitTorrent a poussé certains à déplacer sur leurs activités vers Tor ou à recourir à des VPN.
Une menace de plus pour les entreprises
Mais cela vaut aussi pour certaines entreprises, à commencer par les TPE et les indépendants, qui utilisent généralement des offres de service grand public dans le cadre de leurs activités professionnelles. Une pratique déjà discutable aujourd’hui, mais qui risque de l’être encore plus demain.
Mais les PME et les grands comptes peuvent également être concernés. Le risque, pour eux, touche à la consumérisation de l’IT et au BYOD, avec des collaborateurs qui peuvent être tentés d’utiliser leur messagerie personnelle dans leur environnement de travail.
Là encore, la préoccupation n’est pas nouvelle. Mais elle va se trouver renforcée. Car qui voudra prendre le risque que des données de l’entreprise se retrouvent interceptées parce qu’un collaborateur peu précautionneux fait l’objet d’une quelconque surveillance ?