Chiffrement : l’Enisa fait une piqure de rappel

Dans un rapport, l’agence européenne pour la sécurité des réseaux et de l’information (Enisa) souligne l’importance du chiffrement, « fort et de confiance », comme brique « pour une société et une économie qui dépendent plus que jamais des services électroniques ».

Sans surprise, c’est un contexte d’attaques répétées à l’encontre des systèmes chiffrés de communication électronique que s’inscrit le rapport de l’Enisa : « le besoin légitime de protéger les communications entre individus et organisations publiques et privées a souvent été présenté comme une menace pour les modèles économiques ou même la sécurité publique », souligne ainsi l’agence. Mais elle relève que « le manque de confiance dans les services numériques a été identifié comme un facteur inhibant du marché numérique », un point qu’elle replace dans un autre contexte : celui de la directive NIS sur la protection des données et des réseaux.

Ainsi, pour l’Enisa, si le chiffrement peut rendre plus difficile et moins efficace l’interception des communications, les mécanismes de mise à disposition de clés ou de séquestre vantés par certains « introduisent de nouveaux risques technologies […] et risque même de porter atteinte aux preuves collectées ». En outre, ces mécanismes « peuvent être aisément contournés » et la preuve de telles actions « ne peut être trouvée qu’avec enquête ». Enfin, les « vulnérabilités laissées du fait de réglementations historiques ont été détournées pour attaquer des systèmes ». Une référence à la vulnérabilité Poodle, mais aussi un avertissement feutré contre la tentation des portes dérobées.

L’agence a publié son rapport à la suite d’un autre, réalisé par trois chercheurs - Bruce Schneier, Kathleen Seidel et Saranaya Vijayakumar, recensant tous les produits de chiffrement, matériels et logiciels, pour montrer, comme il y a dix-sept ans, en pleine cryptowar, que chercher à encadrer l’utilisation du chiffrement par la loi n’aurait pas d’impact sur sa diffusion et son utilisation.

La conclusion est là aussi sans appel : « les lois régulant les fonctions des produits sont nationale et n’affectent que les personnes vivant dans les pays où elles sont votées. Il est facile d’acheter des produits, en particulier logiciels, vendus ailleurs dans le monde, de n’importe où dans le monde. […] Toute loi national imposant des portes dérobées affectera considérablement les utilisateurs innocents des produits affectés. Les criminels futés et les terroristes pourront aisé opter pour des alternatives plus sûres ».

Il y a un peu plus d’un an, l’Enisa avait de son côté souligné l’importance pour chiffrement pour la protection de la vie prive et la démocratie. L’agence encourageait alors les législateurs à « soutenir le développement de nouveaux mécanismes incitatifs pour des services respectueux de la vie privée et à les promouvoir ».