Une affaire d'Etats !

Systèmes de chiffrement des communications

Depuis les fracassantes révélations de l'agent du renseignement américain, Edward Snowden, sur le « siphonage » des contenus des réseaux de télécommunications et de l'internet par l'agence américaine NSA, les ténors de la Silicon Valley sont montés au créneau pour se départir de l'image de « collaborateurs » qui leur a été accolée pour leur implication avérée dans la collecte des données. L'ambiance a tourné depuis et le recours à de nouveaux systèmes de cryptage des échanges de données est devenu une règle générale chez les grandes sociétés de l'économie numérique. Une occasion de rouvrir le débat sur les procédés de cryptage à origine d'une « vie privée » possible sur le net.
A commencer par le fameux HTTPS, HyperText Transfer Protocol Secure, mis en place en 1994 et qui, selon l'encyclopédie en ligne Wikipedia, « permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur. Il peut permettre de valider l'identité du visiteur, si celui-ci utilise également un certificat d'authentification client ». A partir de là, la protection s'étend aux échanges de messagerie sur internet, avec comme pionnier le Gmail de Google qui le premier active en 2010 la connexion sécurisée des contenus de sa messagerie. La messagerie instantanée bénéficiera plus tard d'un nouveau procédé de cryptage mis en place en 2011 par son fondateur Nadim Kobeissi, Cryptocat permet ainsi aux utilisateurs d'échanger en toute confidentialité. Les services de messagerie vocale Skype et Hangouts Microsoft et Google ayant été sérieusement compromis dans le scandale des écoutes de la NSA, ce sera à Firefox de lancer Firefox Hello, offfrant une sécurité avancée, sans même avoir besoin de disposer d'un compte ouvert. Bien d'autres procédés seront ou mis sur le marché ou testés pour parvenir à un degré de sécurisation des donnée susceptibles de redonner confiance aux internautes et de manière générale aux usagers des réseaux de communication. Cette évolution des systèmes de chiffrement ne semble pas être du goût des responsables politiques et judiciaires de nombreux pays développés confrontés aux risques du terrorisme et qui souhaitent disposer d'un accès aux données pour assurer la sécurité des biens et des personnes. Dans une tribune publiée le 12 août dernier, sur le quotidien New York Times, quatre magistrats, un Anglais, un Espagnol, un Français et un Américain, ont rallumé la mèche des flammes envoyées contre les systèmes de chiffrement des données, et notamment le fameux « mot de passe » qui les empêcheraient d'accéder à des données et par conséquent de « faire éclater la vérité ». Pour bien appuyer leur raisonnement, nous dit le journaliste du site http://rue89.nouvelobs.com, « ils mentionnent le cas d'un homme, tué par balle, et auprès duquel deux téléphones, l'un sous iOS, l'autre sous Android, ont été retrouvés. Sans toutefois avoir pu être analysés. Raison ?
Les deux appareils étaient protégés d'un mot de passe ». Les magistrats s'en prennent notamment à Google et Apple qui disent ne pas disposer des mots de passe utilisés par leurs clients. Ainsi, écrit le journaliste, « dans la mesure où les systèmes de chiffrement mis en place par les deux sociétés sont précisément liés à ces mots de passe, impossible pour eux d'avoir accès aux messages échangés, aux photos et autres données susceptibles d'aider l'enquête ». De guerre lasse, les auteurs de la tribune en appellent à un arbitrage des autorités politiques qu'ils interpellent ainsi : « Protéger les personnes de crime est devenu plus difficile à cause des nouvelles politiques de chiffrement d'Apple et Google. En l'absence de coopération de la part d'Apple et Google, les régulateurs et législateurs de nos nations doivent désormais trouver un équilibre approprié entre les bénéfices marginaux du chiffrement complet et le besoin, pour les autorités locales, de résoudre les crimes. La sécurité de nos communautés en dépend », peut-on lire sur rue89.nouvelobs.com.
Cette « estocade » contre les systèmes de protection des données geint quelques jours après un autre discours « musclé » contre les systèmes de cryptage de Google et d'Apple, sévèrement attaqué par le patron du FBI, lors d'une audition par les deux chambres sénatoriales de la justice et du renseignement en juillet dernier. Pour faire valoir son plaidoyer, James Comey, le directeur du FBI, commence par faire « monter la mayonnaise » en brandissant la menace terroriste qui plane sur le pays. « Les outils du FBI pour combattre le terrorisme deviennent inefficaces au regard du chiffrement de plus en plus sophistiqué utilisé par les militants de l'Etat islamique », lance-t-il, repris par le site www.journaldugeek.com
Il évoque explicitement l'utilisation du réseau Twitter par les terroristes « à des fins de propagande pour attirer de nouvelles recrues, notamment américaines, et basculent ensuite rapidement vers des applications chiffrées pour finaliser leurs recrutements ou monter leurs opérations, disparaissant ainsi de leurs radars », souligne ce site qui reprend ce passage du patron du FBI qui n'y est pas allé pas par quatre chemin pour avertir : « Notre job est de trouver une aiguille dans une botte de foin. Sauf que ces aiguilles deviennent invisibles à nos yeux à cause d'un chiffrement qui se complexifie. Je ne me vois pas stopper ces attaques indéfiniment. » Présente à cette audition, Sally Quillian Yates, la secrétaire adjointe à la Justice américaine, a apporté un soutien ferme à la démarche du patron de la police, en confirmant que le chiffrement des données des communications posait « réellement un problème de sécurité nationale », selon journaldugeek.com qui lui prête l'intention, le cas échéant, de passer à la contrainte pour amener les grandes sociétés de l'internet « à conserver ces données par voie législative », tout en privilégiant une approche par la concertation, jugée « plus productive ». De son côté, le patron du FBI n'a pas fermé la porte à une démarche collaborative qui pourrait, espère-t-il, pousser les entreprises à laisser s'implanter des « portes dérobées » pour faciliter le captage des données, « mais sans l'imposer, plutôt en responsabilisant les acteurs du web », précise le site web.
Mais pour le site The Intercept, réputé opposé aux préconisations restrictives et contraignantes, « un rapport des cours fédérales sur les écoutes téléphoniques publié la semaine dernière, sur toutes les écoutes téléphoniques opérées l'année dernière (soit 3554), seules 4 ont été rendues impossibles par le chiffrement », peut-on lire sur journaldugeek.com qui se fait par la même l'écho de la position de l'association de défense des libertés sur internet ACLU, qui estime que « l'affaiblissement du chiffrement n'est qu'une « proposition perdant-perdant » qui affaiblirait aussi bien la sécurité que la vie privée des citoyens. De l'autre côté de l'Atlantique, sur le Vieux Continent, le même son de cloche se retrouve chez le Premier ministre britannique, lui aussi parti en guerre contre le chiffrement, notamment en déclarant sa disponibilité à « imposer des backdoors légales sur les terminaux iOS et Android et/ou interdire les applications de messageries chiffrées », rapporte journaldugeek.com qui prête au Premier ministre britannique son intérêt pour la question de savoir si l'on peut « autoriser un moyen de communication entre des personnes, même des extrémistes ... que nous ne pouvons pas lire ? Non, il ne faut pas [...] Le premier devoir de tout gouvernement est de garder notre pays et notre peuple en sécurité. »
Intervenant, il y a quelques mois, sur cette épineuse problématique des systèmes de chiffrement, le patron du FBI avait exprimé son opinion sur le chiffrement dans lequel il voit « pas seulement une fonction technique, mais un argument marketing. Il aura des conséquences très graves pour l'application de la loi et les agences de sécurité nationale à tous les niveaux. Les criminels sophistiqués compteront sur ces moyens pour échapper à toute détection. C'est l'équivalent d'un placard qui ne peut pas être ouvert. Un coffre-fort qui ne peut pas être ouvert. Un coffre-fort qui ne peut jamais être fissuré. Et ma question est, à quel prix ? », relève le site journaldugeek.com, ajoutant que pour James Comey, la question est certes difficile, mais pas impossible, et que « si les ingénieurs de la Silicon Valley n'ont pas encore trouvé de solutions... c'est qu'ils n'ont pas vraiment essayé ». Aux arguments du patron du FBI qui compare la mission de ses services à celle de quelqu'un qui recherche une aiguille dans une meule de foin, l'auteur d'une chronique publiée http://ecrans.liberation.fr, estime que le durcissement des procédés de cryptage par les sociétés de l'internet est tout juste « une réaction, donc, à la boulimie de la NSA, qui préfère amasser la botte de foin que chercher l'aiguille ».
La position de Cameron ne semble pas faire l'unanimité. « L'absence de précision donnée par le Premier ministre suscite néanmoins de vives réactions de la part des opposants politiques et défenseurs des libertés, qui viennent de bénéficier d'un soutien de taille », écrit le site www.zdnet.fr en référence à une sortie médiatique d'un groupe d'experts à la réputation bien assise en matière de cryptage informatique, venu, explique-t-il, « rappeler dans une tribune la nécessité de ces outils pour la croissance du monde numérique ».
D'après zdnet.fr, la liste des signataires de cette tribune comprend des sommités avérées, notamment « Bruce Shneier, auteur du livre ‘'Cryptographie appliquée et cryptologue reconnu'', Whitfield Diffie, pionnier de la cryptographie asymétrique ou encore Ronald Rivest, connu pour avoir élaboré en collaboration avec deux autres chercheurs l'algorithme de chiffrement RSA ». D'après eux, toute politique tendant à limiter les systèmes de cryptage « pourrait avoir plusieurs effets indésirables sur l'écosystème d'internet et du numérique » ; d'après cela mènerait droit à un virage à 180° qu'une telle décision imposerait sur les pratiques de sécurité telles que la mise en place de la confidentialité persistante. Les spécialistes associés dans cette tribune évoque un second point pas facile à mettre en œuvre, à leurs yeux, « les chercheurs et experts en sécurité, gouvernementaux ou indépendants s'accordent sur le fait que la complexité est le principal ennemi de la sécurité, car chaque nouvelle fonctionnalité, en interagissant avec d'autres, peut ouvrir la voie à de nouvelles vulnérabilités », écrivent-ils, dans l'espoir d'attirer l'attention sur le fait, souligné, par ailleurs, par de nombreux autres experts, que la solution prônée par les politiques n'est pas techniquement, simple à mettre en œuvre. Par ailleurs, ils mettent en garde contre les velléités de concentrer les pouvoirs en matière de données privées, en donnant les clés à une seule entité, même publique, car, avertissent-ils, elle « deviendrait aussitôt une cible désignée, alors que celles-ci ne sont pas exemptes de failles de sécurité ».
A l'occasion du passage du patron du FBI devant les chambres sénatoriales, la sénatrice démocrate de Californie, Dianne Feinstein, n'a pas raté l'opportunité de l'interroger sur la tribune publiée la veille par 15 experts en informatique, considérant, notamment, rapporte journaldugeek.com, « que la volonté des autorités était irréalisable dans la pratique et soulevait d'énormes problèmes juridiques, éthiques et de sécurité à un moment où les vulnérabilités d'internet causaient un préjudice économique extrême ». La réponse de James Corney : « Peut-être. Si tel est le cas, je suppose que nous sommes coincés. »