Et il n'est pas content
La proposition de loi Narcotrafic commencera aujourd’hui son examen à l’Assemblée nationale en séance publique. À cette occasion, le gouvernement réintroduira l’article 8ter ainsi que plusieurs mesures effacées en commission des lois, dont le « dossier-coffre ». Fustigé, il a pourtant peu de chances de passer.
L’article 8ter aura provoqué bien des hoquets dans le monde de la cybersécurité. Il ambitionnait l’obligation, pour les prestataires de services chiffrés, de fournir un moyen qui permettrait aux forces de l’ordre d’obtenir une copie des données visées. Bien que la rédaction de l’article original soit large, l’attention s’est rapidement focalisée sur les messageries dites sécurisées car utilisant le chiffrement de bout en bout.
Une porte dérobée ? « Non », a juré Bruno Retailleau, ministre de l’Intérieur, présent en commission des lois le 4 mars pour défendre cet article. Il expliquait que la solution consistait à envoyer les messages à deux destinataires en même temps : celui prévu et un tiers, masqué, représentant les forces de l’ordre ou tout agent dument accrédité. La technique dite « du fantôme », qui n’est pas une porte dérobée au sens strict, mais qui aboutit au même résultat : l’affaiblissement de la promesse du chiffrement. Une technique torpillée il y a plusieurs années par Internet Society.
L’article 8ter revient
La proposition de loi Narcotrafic commence aujourd’hui son examen à l’Assemblée nationale, en séance publique. À cette occasion, plusieurs députés proposent de réintroduire l’article 8ter avec une nouvelle rédaction, censée prendre en compte les critiques et être plus clair sur les intentions.
L’exposé de l’amendement pointe les regrets de la suppression d’un article qui aurait « rééquilibré » les obligations des opérateurs de messageries, « d’une logique d’exigence de déchiffrement généralisé des communications au bénéfice des autorités publiques à une exigence de fourniture des seuls contenus des correspondances que la loi autorise les services de renseignement à réquisitionner ». Et d’ajouter que « les travaux réalisés pour parvenir à cet amendement se sont assurés que la rédaction proposée interdit sans ambigüité toute solution technique qui reposerait sur la création d’une « porte dérobée » (ou « backdoor »), susceptible d’affaiblir le chiffrement ».
Sans ambiguïté ? Deux points sont mis en avant. D’une part, les dispositifs « doivent exclure toute possibilité d’accès par une personne autre que les agents autorisés ». D’autre part, « ces dispositifs techniques ne peuvent porter atteinte à la prestation de cryptologie visant à assurer une fonction de confidentialité ». L’exposé ajoute que les « services experts de l’État » ont garanti que des solutions techniques adaptées existaient.
L’amendement envisage des amendes de 1 500 000 euros pour les personnes physiques et jusqu’à 2 % du chiffre d’affaires mondial pour les personnes morales qui ne s’acquitteraient pas de leurs obligations. Dans le résumé, on peut lire également que « l’interpellation récente du fondateur de plateforme Telegram montre que le levier répressif est susceptible de fournir des résultats opérationnels tangibles puisque la coopération de cette plateforme avec l’autorité judiciaire s’est depuis nettement améliorée ».
Pourtant, l’exemple cadre mal : les conversations ne sont pas chiffrées de bout en bout par défaut sur Telegram. En revanche, Signal, Meta, Google, Olvid et d’autres ont été conviés ce matin à Matignon pour discuter du sujet avec François Bayrou, Premier ministre, Clara Chappaz, ministère déléguée chargée du numérique et de l’IA, et Bruno Retailleau, ministre de l’Intérieur, a indiqué Politico.
Un article ardemment souhaité par la DGSI…
Dans une interview au Journal du Dimanche, la directrice de la DGSI (Direction générale de la Sécurité intérieure), Céline Berthon, a évoqué samedi le « besoin vital » d’un mécanisme contraignant pour les messageries sécurisées, pour obtenir les données tant désirées. « Très concrètement, nous sommes aveugles sur le contenu des conversations de nos cibles », ajoute-t-elle.
Céline Berthon explique que les mêmes garanties s’appliqueront que pour les interceptions téléphoniques : sur décision du Premier ministre et après avis de la CNCTR (Commission nationale du contrôle des techniques de renseignement). Elle se veut « très claire » : « il ne s’agit absolument pas de surveillance généralisée ». Seuls les individus considérés comme des menaces car « susceptibles de préparer une action violente ».
Elle pointe que des applications comme Signal, WhatsApp ou Telegram « ne coopèrent jamais sur l’accès aux contenus ». Dans ce contexte, l’arrivée de l’article 8ter est « porteuse d’espoir ». Elle dit soutenir « à 100 % » le chiffrement, mais ce dernier ne « doit pas permettre aux gens d’enfreindre la loi ou de mettre en danger les citoyens ».
Elle regrette cependant « une mauvaise compréhension de ces enjeux ». Elle fustige aussi « certains acteurs » qui « font preuve d’une mauvaise foi » ou d’une « logique idéologique ». « On ne peut accepter de s’arrêter à l’idéologie alors que des vies de citoyens français sont en jeu », a ajouté Céline Berthon.
… et fustigé par d’autres
Le député Éric Bothorel, vent debout contre l’article 8ter et ayant fait partie de ceux ayant contribué à sa suppression en commission des lois, s’est agacé des propos de Céline Berthon. « Fort dommage qu’au travers de cette interview, la patronne de la DGSI réduise les opposants à l’article 8 Ter aux seuls arguments idéologiques ou de mauvaise foi. J’eu préféré qu’elle nous explique en quoi une backdoor est un progrès pour tous, qu’une vulnérabilité c’est génial », a-t-il réagi sur X.
Le journaliste Raphaël Grably s’étonne de son côté de « l’argument de non coopération des WhatsApp ou Signal », qu’il trouve « pour le moins étonnant ». Il rappelle que si ces plateformes « ne coopèrent pas concernant les contenus », c’est parce qu’elles « n’y accèdent pas ». Le chiffrement de bout en bout garantit en effet que les prestataires n’accèdent pas aux contenus des échanges, car une partie du chiffrement repose sur une clé présente uniquement sur l’appareil de l’internaute et auquel le prestataire n’accède pas.
Pour Gilles Babinet, coprésident du Conseil national du numérique, n’est pas tendre non plus : « Défendre ce principe de backdoor ne démontre rien d’autre qu’une inculture des principes de base du code. Le consensus des experts à ce sujet est d’une unanimité rare et il est donc doublement inquiétant que la DGSI défense une telle proposition ».
« Moins idiot que totalement crétin »
Dans un post ce matin sur LinkedIn, l’ancien directeur de l’ANSSI, Guillaume Poupard, critique encore une fois le principe même de l’amendement. Selon lui, « la question de savoir s’il s’agit ou pas de backdoors est stérile » : « Modifier des fonctions de sécurité de manière cachée afin de contrevenir à leur raison d’être, c’est introduire une porte dérobée. Point ».
Il ne « fait aucune doute » selon lui que « cette méthode est moins dangereuse que l’affaiblissement des mécanismes de chiffrement ou le séquestre des clés » de chiffrement. « Mais moins idiot que totalement crétin n’est pas nécessairement synonyme d’intelligent… », assène-t-il.
Pour Guillaume Poupard, il est clair que « modifier les mécanismes de sécurité, les protocoles comme leur implémentation, qui plus est de manière cachée, c’est la garantie de multiplier les erreurs et vulnérabilités involontaires qui pourront ensuite être exploitées par les cybercriminels ».
L’argument est central depuis de nombreuses années : on ne peut pas créer une faiblesse dans un mécanisme de chiffrement sans que des pirates s’en emparent tôt ou tard. Il n’y aurait non plus aucun moyen de vérifier « que les opérateurs de messagerie, internationaux par nature, maîtrisent bien qui a accès aux mécanismes d’interception », pas plus que de garantie pour « la sécurité des systèmes d’information associés ». Il rappelle que la tempête Salt Typhoon aux États-Unis a illustré justement tout l’intérêt du chiffrement de bout en bout.
Questions sans réponse
L’ancien directeur de l’ANSSI pose d’autres questions : commencer répondre à des demandes similaires d’autres pays ? Les industriels peuvent-ils devenir « des juges de la bonne application de l’État de droit » ? Comment refuser l’interception d’une personnalité française importante si une requête est réalisée « dans les formes » par un autre pays ?
Surtout, « que fera-t-on quand les opérateurs suspendront leurs services en France, comme Signal Messenger l’a déjà annoncé ? ». Si Guillaume Poupard n’aborde pas ce point, il faut rappeler en outre que la Maison-Blanche est désormais très jalouse de ses entreprises. Dans un communiqué, elle a pointé du doigt l’Europe et ses législations, affirmant que les sociétés américaines devaient être régies par des lois américaines.
Vincent Strubel, l’actuel directeur de l’ANSSI, s’est montré tout aussi clair : « Le chiffrement, c’est indispensable […] On ne peut pas faire de la bonne sécurité sans chiffrement. On ne peut pas tolérer un abaissement généralisé de la qualité de chiffrement qui exposerait à des menaces intolérables ».