Jeroen Baert
Une interdiction du cryptage n’arrêtera pas les terroristes
Le débat sur l’utilisation du cryptage fait rage dans certains pays. Mais interdire la communication sécurisée dans la lutte contre le terrorisme serait une terrible erreur, selon le chercheur IT Jeroen Baert. “Une porte dérobée deviendrait aussitôt la cible privilégiée des terroristes et des autorités rivales.”
A chaque nouvelle semaine son incitation à contraindre les grandes entreprises technologiques à brider le cryptage pour des raisons liées au terrorisme. Car le terme “terrorisme” est devenu un mot passe-partout pour faire passer inconsidérément de nouvelles propositions de loi par la législature tant dans notre pays qu’ailleurs. Nulle part cependant le manque de connaissance du dossier et l’absence de vision des conséquences possibles ne s’avèrent aussi criants que dans le débat sur le cryptage, qui est mené ces derniers mois avec de plus en plus d’intensité.
Une interdiction du cryptage n’arrêtera pas les terroristes
Arthur C. Clarke déclara un jour que chaque technologie suffisamment sophistiquée était apparentée à de la magie, et tel est aussi le cas du cryptage pour beaucoup. Pourtant, sa base est archi-simple: un outil de cryptage est un ensemble d’étapes qui nous permettent de communiquer en sécurité via une connexion peu sûre. Même si quelqu’un est capable d’examiner tout le trafic transitant par la connexion, le contenu des messages, lui, demeure illisible. Une façon très triviale de crypter un message vous fera peut-être penser à votre enfance, puisqu’elle consiste à remplacer chaque lettre par sa suivante dans l’alphabet, comme tjnqmf pour ‘simple’!
Il est essentiel de prendre conscience que la course à l’armement pour ‘craquer’ simplement le cryptage (brute-force) sera toujours désespérée.
Ces dernières décennies, l’on a développé et exploité nombre de protocoles de cryptage. Les méthodes les plus courantes sont mises au point dans un environnement académique et sont donc open source: tout un chacun ayant accès à une bibliothèque ou à internet peut appendre comment elles fonctionnent, et créer sa propre implémentation. A propos de l’algorithme AES (du reste développé en Belgique), l’on a par exemple démontré scientifiquement qu’il exigerait plusieurs milliards d’années et une quantité invraisemblable de puissance de calcul pour déchiffrer un seul message codé. Je vous épargnerai les détails scientifiques précis – même s’ils sont incroyablement intéressants -, mais il est essentiel de prendre conscience que la course à l’armement pour ‘craquer’ simplement le cryptage (brute-force) sera toujours désespérée: it’s the maths, stupid.
Un exerce de doigté théorique, pensez-vous? Nous utilisons tous le cryptage quotidiennement déjà. Lorsque nous nous connectons à des médias sociaux, que nous faisons du shopping en ligne ou que nous effectuons des transactions bancaires, bref chaque fois que nous jugeons important que tout le monde ne puisse visionner nos mots de passe, transactions et autres données sur le web mondial. Les smartphones les plus récents cryptent leur mémoire afin de protéger nos données en cas de vol. Personne ne doute de l’utilité avérée du cryptage dans ce contexte.
Le débat se situe plutôt au niveau de la communication privée, où le concept de la clé de cryptage est important. C’est là la seule méthode scientifique qui permette de déchiffrer les messages. Des services tels Signal, Telegram et Whatsapp recourent à ce qu’on appelle le cryptage bout à bout (end-to-end): les clés de cryptage sont uniques pour chaque communication et utilisateur et ne sont jamais expédiées via internet: tout se passe localement sur l’appareil. Il en résulte qu’un service comme WhatsApp ne peut tout simplement pas transférer le contenu d’un message à la police car il ne connaît en effet pas la clé utilisée. Il s’agit là d’une manière hermétique, sûre et évidemment intelligente du point de vue légal pour les réseaux sociaux de rester en dehors des plates-bandes juridiques.
Une porte dérobée serait aussitôt la cible privilégiée des terroristes et des autorités rivales.
L’on entend à présent des voix s’élever en vue de contraindre les services de messagerie à prévoir une clé spéciale permettant quand même de déchiffrer des messages en cas d’exception juridique: à savoir une master key ou une backdoor (porte dérobée). Un passe-partout quoi, si vous voulez un exemple analogique.
Le problème, c’est que non seulement ce genre de clé est techniquement infaisable, mais qu’elle constitue aussi un énorme danger. Ce genre de clé serait aussitôt une cible privilégiée des terroristes et des autorités rivales. Elle impliquerait aussi que les services devraient tenir à jour tous les messages cryptés pour un contrôle ultérieur, ce qui entraînerait d’autres risques pour la sécurité. En outre, cela n’empêchera pas les terroristes et criminels d’utiliser tout simplement un autre protocole de cryptage non pourvu de backdoors. Rappelez-vous: it’s the maths, stupid. En d’autres mots, il est simplement impossible d’avoir à la fois une communication sûre et des backdoors.
Alors laissons les gens à secrets (Gangsters! Journalistes! Espions! James Bond!) utiliser le cryptage, pensez-vous. Vous, vous n’avez quand même rien à cacher! Que voilà un point de vue apparemment logique, mais pourtant… dangereux. De votre communication électronique, il est possible de connaître chaque détail de votre vie: votre emplacement, vos préférences sexuelles et politiques, vos détails financiers, le proverbial “linge sale”,… Des données ineffaçables que vous préférerez peut-être cacher à l’avenir. Des données qui, suite à une privatisation croissante de l’appareil gouvernemental ou d’une sécurisation laxiste, pourraient tomber dans des mains indélicates. Un parallèle avec la Seconde Guerre Mondiale semble très pontifiant dans ce débat, mais je vous conseille néanmoins de lire le livre IBM and the Holocaust.
Prétendre que les terroristes migrent en masse vers les réseaux cryptés est difficile à étayer. Les terroristes tant à Paris qu’à Bruxelles utilisaient des téléphones ordinaires dans lesquels ils avaient coordonné leurs attaques par de simples SMS non cryptés.
Les autorités préfèrent voir disparaître le cryptage, du fait qu’il compliquerait l’exposition des réseaux terroristes. Mais ce problème atteint-il bien l’ampleur que leur attribuent les services d’ordre? Prétendre que les terroristes migrent en masse vers les réseaux cryptés est difficile à étayer. Les terroristes tant à Paris qu’à Bruxelles utilisaient des téléphones ordinaires dans lesquels ils avaient coordonné leurs attaques par de simples SMS non cryptés. N’y a-t-il peut-être pas d’autres chats à fouetter d’abord? De récentes enquêtes ont démontré que la coordination par delà les frontières et entre les différents services d’ordre se passait souvent assez mal et qu’il y a un manque criant de moyens qui a déjà empêché la police bruxelloise de poursuivre des suspects.
La communication privée illimitée est une pierre angulaire inébranlable d’une société où s’applique la liberté d’expression et pas seulement pour les journalistes ou les lanceurs d’alertes. Jeter ce droit à la poubelle au nom de la menace terroriste serait une terrible erreur.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici