Projet de loi contre le narcotrafic : nouvelle salve contre le chiffrement des communications

Les débats autour du projet de loi « visant à sortir la France du piège du narcotrafic » ont été l’occasion pour le Sénat d’introduire, avec l’approbation du gouvernement, une disposition susceptible d’atteindre significativement au secret des correspondances.

« Cet amendement instaure pour les plateformes une obligation de mettre en œuvre les mesures techniques nécessaires afin de permettre aux services de renseignement d’accéder au contenu intelligible des correspondances et données qui y transitent ». 

C’est l’objet de l’amendement 73 à la proposition de loi intitulée « sortir la France du piège du narcotrafic », adopté le 28 janvier au Sénat, avec l’approbation du gouvernement. Il avait reçu un avis défavorable en commission.

Sans surprise, cet amendement n’a pas été bien reçu par le député Éric Bothorel : « le chiffrement de bout en bout des communications ne saurait être fragilisé pour permettre des accès par des tiers, fussent-ils les services de renseignement », relève-t-il sur X (ex-Twitter). Il n’est pas seul.

Guillaume Poupard, ancien patron de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et désormais directeur général adjoint de Docaposte, n’apparaît pas plus friand de la démarche.

Sur LinkedIn, il déplore ainsi le retour de la « polémique sur l’introduction de portes dérobées dans les messageries numériques ». Pour lui, « la question n’est évidemment pas de s’interroger si on est pour ou contre le terrorisme, la pédocriminalité ou le narcotrafic… ni de savoir s’il faut se donner les moyens de lutter efficacement contre ». Le sujet, ce sont les « conséquences délétères d’idées en apparence séduisantes ».

Et de revenir sur une analyse de 2016, qui n’a, selon Guillaume Poupard, « que peu vieilli », soulignant l’importance de la généralisation du chiffrement face à la banalisation des attaques informatiques. La quantité de données non chiffrées concernant des citoyens français, en 2024, ne saurait lui donner tort.

Comme il le rappelle, chercher à « garantir la possibilité d’accéder à des informations protégées aurait pour effet désastreux d’imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques employés ». 

« L’affaiblissement des mécanismes cryptographiques ou bien l’introduction volontaire de mécanismes de contournement sont systématiquement susceptibles d’être exploités par des attaquants [...]. »
Guillaume PoupardAncien patron de l’Anssi et désormais directeur général adjoint de Docaposte

Las, souligne-t-il, « il est techniquement impossible d’assurer que ce dispositif ne bénéficiera qu’aux personnes autorisées ». L’exemple de la campagne d’espionnage Salt Typhoon, découverte l’an dernier outre-Atlantique, appuie très opportunément le propos. « L’affaiblissement des mécanismes cryptographiques ou bien l’introduction volontaire de mécanismes de contournement sont systématiquement susceptibles d’être exploités par des attaquants aux profils variés », reprend Guillaume Poupard, poursuivant la citation de l’analyse évoquée.

Les commentaires soulignent une position loin d’être isolée. Sans surprise, Sandrine Murcia, co-fondatrice de Cosmian, pépite française du chiffrement, apparaît sur la même ligne. 

Christian Daviot, ancien de l’Anssi, vante quant à lui le « courage » tant de Guillaume Poupard que de son prédécesseur, Patrick Pailloux, d’avoir « tenu tête à deux ministres de l’Intérieur sur ce point clé de la sécurité du numérique ». 

Ce n’est d’ailleurs pas comme si les forces de l’ordre n’avaient pas eu l’occasion de faire la démonstration de leurs capacités d’enquête, y compris face à des messageries chiffrées aux éditeurs desquelles il apparaît bien difficile d’imposer la mise en place de portes dérobées. Et l’on pense notamment à l’infiltration de Sky ECC ou encore au cas Encrochat.

Ces deux exemples illustrent par ailleurs un autre point : les criminels n’hésitent pas à développer leurs propres outils. Dans ce contexte, demander des portes dérobées dans des messageries légitimes, c’est affaiblir la sécurité de tout le monde, sans affecter la confidentialité des échanges des personnes véritablement dangereuses.

Pour approfondir sur Protection du terminal et EDR