Nouvelle offensive des autorités britanniques contre le chiffrement

C’est suite à l’attentat qui a frappé Londres la semaine dernière qu’Amber Rudd, secrétaire d’Etat à l’Intérieur britannique, s’est élevée contre le chiffrement des échanges offert par WhatsApp ainsi que de nombreuses autres applications de messagerie instantanée. Pour elle, il apparaît inacceptable que ces applications propose « un lieu caché où les terroristes peuvent communiquer entre eux ». Selon nos confrères de la BBC, Khalid Masood, auteur de l’attaque à Westminster, aurait utilisé WhatsApp deux minutes avant d’entrer en action.  

C’est loin d’être la première charge à l’encontre du chiffrement de bout en bout des communications. Plus tôt cette année, les ministres de l’Intérieur français, Bruno Le Roux à cette date, et allemand, Thomas de Maizière, ont, dans une lettre conjointe, révélée par nos confrères de Politico, appelé à la conduite de « travaux techniques et juridiques » visant à « étudier la possibilité de définir de nouvelles obligations à la charge des prestataires de services de communication par voie électronique tout en garantissant la fiabilité de systèmes hautement sécurisés ». Ils demandaient au passage à la Commission de « proposer sur cette base une initiative législative en octobre 2017 ». Pour les deux ministres, il s’agissait là de renforcer la lutte contre le terrorisme. Nos confrères indiquant alors que le porte-parole de la Commission estime que le chiffrement « ne devrait pas empêcher les forces de l’ordre et les autorités compétentes d’intervenir dans l’exercice légal de leurs fonctions ».

Dans une posture que certains ne manqueront pas de qualifier de condescendante, James Comey, directeur du FBI, a de son côté appelé à nouveau à une « conversation adulte » autour de la question du chiffrement. Et d’assurer ne pas être un opposant au chiffrement, ni à la confidentialité tout en estimant que confidentialité et sécurité publique se heurtent aujourd’hui l’une à l’autre. 

Selon James Comey, à l’automne dernier, ce sont 2800 appareils que le FBI aurait dû examiner à la suite de décisions de justice. Mais « nous n’avons pas pu ouvrir 43 % d’entre eux, avec quelque technique que ce soit, y compris des techniques classifiées ». Alors pour lui, son travail est aussi « de dire comment [le chiffrement] affecte [le FBI] dans ses missions ». Et si le rôle du FBI n’est pas de décider comment régler le problème, pour son patron, « ce n’est pas aux entreprises technologiques de décider de la manière dont le peuple américain devrait vivre », mais à ce dernier. 

Mais James Comey rejette l’idée selon laquelle il serait impossible de conjuguer chiffrement fort et accès pour les autorités, avancée régulièrement par les experts du domaine et les défenseurs de la vie privée : « je rejète la réponse ‘c’est impossible’. Je ne pense pas qu’il est impossible d’optimiser ces deux valeurs d’une bonne façon. Je pense juste qu’ils n’ont pas effectivement essayé ». 

Lors de la dernière édition du Forum international de la Cybersécurité (FIC), Sir Julian King, commissaire européen pour l’union de la sécurité, s’était affiché sur une ligne comparable, estimant comme Bruno Le Roux que les autorités doivent pouvoir avoir accès aux données chiffrées, dans le cadre d’enquêtes. Plus tôt, Alan Woodward, expert en sécurité et consultant d’Europol estimait que la solution est à chercher dans une coopération de l’industrie IT avec les gouvernements, au travers de la création d’architectures permettant les interceptions légales. Amber Rudd semble aujourd’hui défendre une approche comparable.

Mais pour beaucoup, cette approche ignore le fait que l’accès aux algorithmes de chiffrement est facile et gratuit, comme le relevait Octave Klaba, fondateur d’OVH, au FIC. Des acteurs malveillants motivés pourraient tout simplement développer leurs propres applications sécurisées de messagerie, laissant de côté celles qui sont accessibles à tout le monde. Rebecca Herold, Pdg de Privacy Professor, ne disait pas autre chose lors du débat auquel participait James Comey.

Dans un récent entretien accordé en exclusivité à la rédaction, Art Coviello, ancien président exécutif de RSA, ne cachait pas sa « frustration » liée aux débats réguliers sur la question du chiffrement : « il y aura toujours du chiffrement développé à l’étranger hors de contrôle de n’importe quel gouvernement. Nous devons réaliser qu’il y a plus à craindre d’un chiffrement faible que d’un chiffrement fort ».