Chiffrement : le monde de l’IT défend ses positions

Sans surprise, la salve vient de Clare Foges, la plume de David Cameron. Dans les colonnes du Telegraph, elle prend le relais du premier ministre britannique qui, en janvier dernier, attaquait frontalement les systèmes de communication personnelle chiffrés, et cherche actuellement à faire adopter un projet de loi susceptible de conduire à l’interdiction de tels services n’offrant pas de point de clair aux autorités.

Et Clare Foges ne fait pas le détail. Pour elle, les « Dieux de la Silicon Valley » se rendent coupables de « permettre aux djihadistes comploter derrière un mur impénétrable », parce que « le chiffrement en ligne diaboliquement complexe fournit un espace sûr aux terroristes où ils peuvent préparer des carnages à une échelle industrielle ».

Et plutôt que de questionner les pratiques de surveillance de masse des agences du renseignement américaine et britannique, elle dénonce celui qui les a révélées, Edward Snowden, le présentant comme responsable de l’engouement pour les systèmes de communication personnelle chiffrés, suggérant que les terroristes de Daesh devraient « chanter son nom » dans leur fief de Raqqa.

Et de faire en particulier référence à l’application Telegram, qui a été utilisée par les membres de Daesh. Las, la réelle robustesse de ses mécanismes de chiffrement reste à établir. L’expert Matthew Green estime ainsi que ceux-ci, lorsqu’on les examine, « c’est comme être poignardé par une fourchette dans l’œil ». Christopher Soghoian se fait plus précis : les messages, les discussions de groupe, et les chaînes ne sont pas chiffrés de bout en bout ; seuls des dialogues secrets le sont. Et Guillaume Lovet, de Fortinet, de pointer vers un document présentant une vulnérabilité « qui peut être exploitée par des acteurs puissants ». Confiants, toutefois, les auteurs de Telegram proposent 300 000 $ à qui cassera les mécanismes de chiffrement des messages secrets de leur application.

Mais les membres de Daesh utilisaient notamment des chaînes Telegram pour communiquer, sans chiffrement de bout en bout, donc. Celles-ci ont été depuis fermées par les auteurs de Telegram. Dommage, peut-être, car des agences du renseignement auraient pu y glaner de précieuses informations. Accessoirement, l’enquête sur les récents attentats de Paris a déjà montré que les terroristes avaient utilisé aussi des SMS, en clair, pour communiquer.

Tout juste avant Clare Forges, le procureur de Manhattan Cyrus Vance Jr et le directeur du FBI James Comey avait profité de l’actualité pour réitérer leurs appels à plus de coopération de la part des grands de l’IT, le premier estimant notamment que « la ligne pour protéger le public ne devrait pas être tracée par deux entreprises qui fabriquent des smartphones ».

La réponse de l’industrie des technologies de l’information ne s’est pas faite attendre, demandant dans une lettre ouverte signée du conseil de l’industrie des technologies de l’information (ITI) que Barack Obama s’oppose à toute législation ou mesure susceptible de compromettre le chiffrement. L’ITI, qui regroupe notamment Apple, Google, Intel, Microsoft et Facebook, souligne ainsi que le chiffrement est un « élément essentiel de l’infrastructure numérique mondiale, permettant sécurité et confidentialité des transactions, ainsi que l’assurance, pour les individus, que leurs communications sont privées et que leurs informations sont protégées ».

Et si Clare Foges attribue aux géants de l’IT une « arrogance extraordinaire », d’autres ne manquent pas d’avancer des arguments de simple bon sens. Les opérateurs du service de messagerie électronique chiffrée ProtonMail soulignent ainsi que « même si les communications [des terroristes] étaient chiffrées, il est illusoire de croire que l’on peut empêcher les terroristes de communiquer en interdisant le chiffrement. Avec ou sans ProtonMail, les terroristes continueront de disposer de capacités d’e-mail chiffré, de la même manière qu’ils continueront d’avoir accès à des armes à feu, malgré l’interdiction des fusils d’assaut ».

De son côté, Nadim Kobeissi, l’auteur de Cryptocat, souligne une autre réalité, que certains ne semblent pas vouloir entendre : « le chiffrement dépend d’un ensemble de relations mathématiques qui ne peuvent pas être détournées sélectivement. Soit elles tiennent complètement, ou pas du tout. Ce n’est pas que l’on ne soit pas assez intelligent pour le faire ; c’est que c’est mathématiquement impossible à faire ».