Il a été massivement retoqué à l’Assemblée nationale. Exit, l’article 8 Ter de la proposition de loi contre le narcotrafic. L’amendement rattaché au texte soutenu par le ministre de l’intérieur Bruno Retailleau était passé allègrement en première lecture au Sénat le 4 février. Il ne s’agissait certes pas de la colonne vertébralecolonne vertébrale de cette proposition de loi, mais parmi ses articles, ce fameux 8 Ter visait à obliger les fournisseurs de messageriesmessageries chiffrées de bout en bout, comme WhatsAppWhatsApp, FacebookFacebook MessengerMessenger, TelegramTelegram, ou Signal, à ouvrir en clair le contenu des correspondances aux services de renseignement. Autrement dit, cette capacité concerne l’ensemble des utilisateurs de ces messageries.
Rappelons que même ces services ne peuvent pas accéder en clair aux contenus des messages qu’ils font transiter. Tout se passe au niveau des correspondants, ce qui vient garantir justement la confidentialité des données. Alors, comment faire pour passer outre ce chiffrement ? Plutôt que d’intégrer un backdoor, comme ont pu le faire à leurs dépens les services de renseignements américains, l’idée de cet amendement consistait à conserver le chiffrement de bout en bout des messageries, mais d’autoriser un tiers, c’est-à-dire le service de renseignement à être ajouté en « secret » aux discussions. Autrement dit, le principe reposait sur l’équivalent d’une conversation de groupe. Mais avec une contrainte : la présence d’un membre secret. C’est ce que l’on appelle la technique du « ghost » ou du fantôme. En hacking, c’est même ce que l’on nomme une attaque de bifurcationbifurcation de trafic.
Par analogieanalogie, c’est un peu la stratégie qu’ont employée dernièrement les hackers du Kremlin pour pouvoir accéder en clair aux contenus de l’applicationapplication Signal des soldats ukrainiens lors d’une campagne de quishing (hameçonnagehameçonnage par QR-Code).
Pour défendre cet article, Bruno Retailleau a insisté en expliquant « qu’il n’y a pas d’affaiblissement du chiffrement » et que ce n’est pas une « mesure massive ». Autre argument, « ce n’est pas une solution backdoor, où on crée une faille où à tout moment un service peut s’infiltrer ».
Un backdoor qui ne serait donc pas un backdoor…. Vraiment ? © LCP
La technique du fantôme
Or, techniquement l’argument de la conservation de l’intégrité du chiffrement ou de l’absence de faille ne tient pas. Pour ajouter ce membre fantôme, il ne faut pas que les correspondants aient ventvent de sa présence. C’est bien là tout le problème. Cela signifie que les clés de chiffrement des deux correspondants ne peuvent pas être regénérées, car cela leur donnerait un indice. De fait, cela signifie que le service de renseignement dispose d’une clé dite « maître », à partir de laquelle les autres clés sont délivrées.
De cette façon, le service de renseignement dispose d’un mode « Dieu » et peut consulter en clair l’ensemble des discussions. Dire qu’il n’y a pas d’affaiblissement du chiffrement est donc totalement faux. À partir du moment où un tiers peut lire les conversations chiffrées, autant dire que la faille est énorme et que le chiffrement ne garantit plus du tout la protection des données privées.
Le pire dans l’histoire, c’est qu’il faut partir du principe que les criminels ne se sentent pas vraiment concernés par les lois et notamment ce type de loi. De fait, ils ne seront jamais impactés par ces « écoutes ». Leur premier réflexe va consister à exploiter d’autres systèmes garantissant le chiffrement de leurs données.
En conséquence, avec un tel procédé, contrairement à ce qu’indiquait le ministre de l’Intérieur, seuls les innocents sont impactés par l’affaiblissement du chiffrement des données. Mais il y a pire encore. Cette vulnérabilité pourrait bien profiter à des tiers malveillants, tels des hackers affiliésaffiliés à des services de renseignement étrangers. C’est encore mieux que d’implanterimplanter un logiciel de type Pegasus, sachant que le président Macron utilise lui-même Signal et Olvid. Et se dire que la solution d’interception est suffisamment sécurisée pour que cela n’arrive pas est faux. Ce n’est qu’une question de temps avant qu’un acteur malveillant – voire des réseaux de criminels – ne parvienne à s’introduire et exploiter cette faille.
Les criminels pas concernés
Cette rengaine sur l’accès en clair au chiffrement des communications dure depuis des années et la France n’est pas la seule à œuvrer dans ce sens. Quand il était ministre de l’Intérieur, Gérald Darmanin prônait l’accès à ces données. Encore faudrait-il l’imposer aux fournisseurs de solutions de messageries chiffrées. Signal avait d’ailleurs indiqué qu’il refuserait de se plier à cette obligation. Malgré la pressionpression que pourrait exercer l’autorité en imposant à l’entreprise une amende de 2 % de son chiffre d’affaires mondial, celle-ci pourrait tout simplement choisir de couper son service en France. Dans cette situation, un simple VPN viendrait régler le souci, pour tous, narcotrafiquants y compris. L’engouement récurrent des parlementaires pour cette technique pourtant contreproductive reste donc très surprenant. S’agit-il de montrer aux électeurs que les criminels ne seront jamais à l’abri ? Ces derniers le savent déjà de toute façon et prennent les mesures adéquates pour ne jamais être inquiétés.
Ce qui est surprenant, c’est que tous les signaux allaient à l’encontre de cette idée. Ainsi, l’Anssi, c’est-à-dire l’agence gardienne de l’intégrité des systèmes d’information d’État a eu beau qualifier l’approche de « dangereuse », malgré son apparente séduction, rien n’y a fait. L’amendement a été défendu mordicus par l’actuel ministre de l’Intérieur Bruno Retailleau. Outre l’agence française, cette mesure est également totalement contraire aux recommandations des autorités européennes et venait notamment contredire le règlement de la fameuse RGPDRGPD.
Alors oui, les impératifs de sécurité publique avec le respect des droits fondamentaux à la vie privée et à la protection des données sont souvent difficiles à concilier. Mais aussi innocent que l’on soit, sans rien avoir à se reprocher, la protection de la vie privée est une question d’intimité qui doit être garantie, comme le stipule l’article 12 de la Déclaration universelle des droits de l’Homme.
