Casser le chiffrement des messageries, un serpent de mer politique inapplicable
Analyse Florian Reynaud Damien Leloup Pauline Croquet
Le ministre de l’intérieur, Gérald Darmanin, a déclaré, jeudi, souhaiter obliger les messageries chiffrées à introduire des « portes dérobées » pour les mettre à disposition des autorités. Une proposition qui, même si elle revient régulièrement dans les discours politiques, reste impossible à mettre en place.
Interrogé sur BFM-TV, jeudi 19 octobre, le ministre de l’intérieur, Gérald Darmanin, a désigné une cible bien commode pour expliquer que le terroriste ayant assassiné le professeur de français Dominique Bernard à Arras, vendredi 13 octobre, ait pu agir alors même qu’il était sous surveillance rapprochée des services de renseignement : les applications de messagerie.
« Hier encore, les écoutes téléphoniques classiques nous renseignaient sur la grande criminalité et le terrorisme. Aujourd’hui, les gens passent par Telegram, par WhatsApp, par Signal, par Facebook (…) Ce sont des messageries cryptées (…) On doit pouvoir négocier avec ces entreprises ce que vous appelez une “porte dérobée”. On doit pouvoir dire : “Monsieur Whatsapp, Monsieur Telegram, je soupçonne que M. X va peut-être passer à l’acte, donnez-moi ses conversations.” »
L’argument semble frappé au coin du bon sens et M. Darmanin s’est dit favorable à un changement de la loi pour imposer aux plates-formes de fournir le contenu des messages chiffrés lorsque les autorités le requièrent. Le problème, pourtant, c’est que ces demandes sont contraires à des lois bien plus difficiles à faire évoluer que celles de la République : celles des mathématiques.
Toute « faille » est incontrôlable
Le chiffrement utilisé par les applications comme Signal ou WhatsApp, dit « de bout en bout », fonctionne sur un principe simple : il rend les messages lisibles uniquement par l’émetteur et le destinataire. Quand vous envoyez une photo, un lien ou quelques mots à un ami sur Signal, par exemple, le destinataire est le seul à détenir la « clef » qui permettra d’ouvrir le cadenas virtuel qui rend le message illisible. Même l’administrateur de la messagerie ne la connaît pas.
Si un message est intercepté durant son transit d’un téléphone ou d’un ordinateur à l’autre, il ne sera possible que de voir une suite de chiffres et de lettres incompréhensibles et quasiment impossible à déchiffrer, du fait de la solidité des algorithmes actuels. Ces applications ne conservent par ailleurs pas de copie des messages transmis. Il est donc impossible de demander à « Monsieur Whatsapp » ou « Monsieur Telegram » de fournir des messages a posteriori.
En l’état actuel, la seule méthode efficace dont disposent les enquêteurs pour lire le contenu de conversations WhatsApp ou Signal est tout simplement d’avoir accès aux téléphones ou ordinateurs utilisés par un ou plusieurs interlocuteurs d’une conversation. C’est d’ailleurs ce qu’ont tenté de faire les agents qui surveillaient l’auteur de l’attentat d’Arras, a rappelé M. Darmanin, en le contrôlant la veille de l’attaque dans l’espoir de mettre la main sur son téléphone portable, sans succès.
Le procédé est aléatoire et c’est pourquoi M. Darmanin, comme une longue liste de responsables politiques dans le monde avant lui, réclame la création d’une « porte dérobée ». Concrètement, celle-ci consiste à imposer aux entreprises qui gèrent les applications de messagerie de fournir aux autorités une « clé secrète » capable de déchiffrer n’importe quel message, ou de glisser intentionnellement une faille dans l’algorithme de chiffrement afin d’en donner ensuite l’accès aux services de l’Etat.
Ces deux options sont techniquement réalisables, mais dangereuses. Jugée fantaisiste, l’idée qu’il serait possible de créer un accès aux messageries réservé aux forces de l’ordre de pays démocratiques est régulièrement décrite comme une« licorne » par les spécialistes de la cryptographie, car elle contredit le principe même d’un protocole de chiffrement : toute faille de sécurité sera fatalement découverte et utilisée par des pirates ou services de renseignement étrangers. Même l’Agence nationale de la sécurité des systèmes d’information, chargée de la cyberprotection du gouvernement français, a, pour cette raison, toujours été opposée à l’idée des « portes dérobées ».
Une vieille rengaine
Gérald Darmanin n’est pas le premier homme d’Etat à avoir l’idée de s’attaquer aux messageries chiffrées dans un effet de manche politique. Bernard Cazeneuve, par exemple, ministre de l’intérieur lors des attentats de 2015 en France, avait déjà utilisé le même argument. Quant à Emmanuel Macron, lui aussi a repris l’idée au cours de sa campagne présidentielle de 2017. Et à l’étranger, on la retrouve ces dernières années dans la bouche de responsables politiques de dizaines de pays, dont l’Espagne, l’Inde ou le Brésil.
Outre le terrorisme, la lutte contre la pédocriminalité figure également parmi les arguments avancés par des élus pour remettre en question le chiffrement de bout en bout. Un projet de règlement européen sur ce sujet, qui prévoit notamment d’obliger les applications de messagerie à « scanner » le contenu des messages, fait actuellement l’objet d’âpres débats à Bruxelles. Un vote initialement prévu au cours de la semaine du 16 octobre sur le sujet a été repoussé, faute de majorité.
Jusqu’à présent, le Royaume-Uni est le seul pays démocratique à avoir tenté d’inclure dans sa loi l’obligation d’introduire une « porte dérobée ». Son Online Safety Bill, portée par l’ex-premier ministre Boris Johnson et votée en 2023, force en théorie les opérateurs à détecter automatiquement des contenus illicites, rompant donc leur chiffrement. WhatsApp comme Signal ont expliqué qu’ils préféreraient fermer leur service sur le territoire britannique plutôt que de revenir sur cette technologie et le principe de confidentialité. La loi a tout de même été votée, mais le gouvernement britannique a expliqué, en substance, qu’elle ne serait pas appliquée.
Les débats politiques récurrents autour du chiffrement éludent par ailleurs certains faits qui tendent à relativiser aussi bien son étendue que son image de forteresse impénétrable. Tout d’abord, toutes les applications de messagerie ne pratiquent pas le chiffrement de bout en bout par défaut. Facebook Messenger, par exemple, conduit bien des tests pour proposer des conversations « secrètes » à ses utilisateurs, mais par défaut les messages envoyés sont accessibles à Meta, qui peut parfaitement les lire, voire en communiquer le contenu aux autorités sur réquisition judiciaire.
Il en va de même pour Telegram, plate-forme sur laquelle le chiffrement est aussi optionnel, et n’est pas disponible dans les discussions dans les « canaux ». Dans ce cas précis, le problème, pour les autorités judiciaires françaises, se situe plutôt dans le manque de coopération dont a toujours fait preuve l’entreprise. Et ce même si son patron, Pavel Durov, a obtenu la nationalité française et séjourne régulièrement à Paris.
Enfin, chiffrement ou non, les forces de police et services de renseignement ont la possibilité de saisir les appareils électroniques d’un suspect pour en examiner le contenu, voire, dans certains cas, de l’infecter avec un logiciel espion pour en surveiller l’activité. Deux cas de figure déjà prévus et encadrés par de multiples textes de loi depuis bientôt dix ans.
Florian Reynaud, Damien Leloup et Pauline Croquet