L’année dernière, des fuites provenant du Conseil de l’Union européenne (lien en anglais) ont révélé que l’Union européenne envisageait (à nouveau) d’interdire le chiffrement. Plus récemment, le gouvernement belge a envisagé de promulguer une loi de surveillance très répressive. Il voulait obliger les fourniseurs de systèmes utilisant le chiffrement de bout en bout à « désactiver » le chiffrement d’un utilisateur particulier à la demande des autorités. Cinquante organisations et experts en cybersécurité, dont Mailfence, ont réussi à faire capoter ce projet de loi. L’interdiction du chiffrement est-elle la bonne solution ? Voici l’avis de nos experts.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Qu’est-ce que le chiffrement ?
Le chiffrement est une technique utilisée pour protéger les données. Elle vise à empêcher que les informations échangées soient interceptées par des tiers. Les auteurs des échanges préservent ainsi la confidentialité de leurs conversations grâce au chiffrement de bout en bout.
Le chiffrement permet de brouiller les messages à l’aide de fonctions (un algorithme) et de composants (une clé) mathématiques. Ce(tte)composant(e) mathématique ou clé peut prendre plusieurs formes. Par exemple, un mot ou une phrase, ou encore un codage dans un format binaire (la méthode la plus utilisée aujourd’hui). On distingue le chiffrement symétrique, où le même mot clé permet de chiffrer et de déchiffrer un message, et le chiffrement asymétrique, où deux clés servent, l’une (appelée clé publique) à chiffrer le message, et la seconde (la clé privée) à le déchiffrer.
Quelle est la popularité du chiffrement ?
Les secrets ont probablement toujours existé, et la nécessité de « coder » des informations sensibles est ancienne. Bien avant l’Antiquité, les gens utilisaient des méthodes de chiffrement plus ou moins élaborées pour cacher des informations liées à des opérations militaires.
L’exemple le plus célèbre est la machine Enigma, utilisée par les nazis pour chiffrer leurs communications radio. Ressemblant vaguement à une machine à écrire, elle était capable de produire un codage complexe. La saisie d’une lettre déclenchait l’allumage d’une ampoule désignant la lettre de remplacement à utiliser. Mais elle déplaçait également des rotors, ce qui signifie que la frappe de la lettre suivante ne suivait pas le même système de codage. Plusieurs années et la coopération de plusieurs agences de renseignement ont été nécessaires pour le craquer.
Le chiffrement est devenu une nécessité en 2013, après les révélations du lanceur d’alerte Edward Snowden. En effet, il a révélé l’étendue de la surveillance mondiale du réseau « Five Eyes ».
Ces révélations ont choqué le public et ont eu de profondes implications. Les gens ont soudainement pris conscience des pratiques d’espionnage massif de certains pays. Dans le même temps, la croissance des cybermenaces a renforcé la nécessité de protéger les données des utilisateurs contre les attaques de piratage.
Les grandes sociétés de l’internet ont progressivement adopté le chiffrement de bout en bout pour protéger les données de leurs utilisateurs et assurer une plus grande sécurité.
Cependant, après la vague d’attaques terroristes de 2015 et 2016, l’incapacité des agences gouvernementales à déchiffrer certains messages a suscité la frustration des enquêteurs.
Selon eux, les terroristes utilisent le chiffrement pour dissimuler leurs communications dans le cadre opérationnel de leurs méfaits. De nombreux hommes politiques ont donc plaidé pour une interdiction du chiffrement. Ils ont fait valoir que la suppression du chiffrement priverait les terroristes, les criminels et autres délinquants dangereux tels que les pédophiles d’un outil de choix pour dissimuler leurs agissements.
Faut-il interdire le chiffrement ?
Le chiffrement est mathématique, il est impossible de l’interdire
Le chiffrement moderne des données repose sur des techniques empruntées aux mathématiques. Même si ce sont des techniques sophistiquées, elles restent des techniques qui suivent des lois logiques, plutôt que le produit d’une véritable invention. Les algorithmes de chiffrement ne sont généralement pas brevetés (sauf dans de très rares cas), ils n’appartiennent à personne et tout le monde peut les appliquer.
Par conséquent, interdire le chiffrement est une idée vouée à l’échec, tout comme le serait l’interdiction d’un autre principe mathématique. Nous ne pouvons pas interdire la loi de la relativité d’Einstein, par exemple.
Et bien sûr, les terroristes, dont le but premier n’est pas de respecter la loi, n’hésiteraient probablement pas à braver cette interdiction. Tout comme ils se procurent illégalement des armes, ils utiliseraient illégalement le chiffrement. Ils n’ont même pas besoin des services de messagerie existants : ils peuvent décider de coder eux-mêmes leurs messages, en utilisant des algorithmes.
Au final, une telle interdiction n’aurait que des inconvénients. Elle ne rendrait pas la tâche des terroristes plus difficile, tout en exposant massivement les données des citoyens respectueux de la loi à la cupidité des pirates.
Le chiffrement n’est pas plus utile au terrorisme que les cocottes-minute
En outre, les terroristes n’utilisent pas toujours le chiffrement. C’est ce qu’ont révélé les analyses des téléphones portables des terroristes tués ou arrêtés lors des raids menés en France et en Belgique.
Ces analyses ont montré qu’ils communiquaient par des phrases codées, ou dans des dialectes peu connus, et même avec des appareils improbables (PlayStation…). mais qu’ils n’utilisaient pas de chiffrement.
Interdire le chiffrement n’aurait pas empêché les terroristes de commettre ces attentats. Tout comme l’interdiction de la vente de fusils d’assaut dans les magasins n’a pas empêché les terroristes de se procurer ces armes.
Et si tel est le cas, devrions-nous également interdire la diffusion de vidéos sur YouTube, un canal qui a également servi aux terroristes pour recruter de nouveaux membres ? Devrions-nous interdire la vente de cocottes-minute, utilisées pour fabriquer des engins explosifs ? Et qu’en est-il de la vente de tout autre service ou objet de la vie courante qui a joué un rôle dans ces attentats ?
Interdire le chiffrement serait une très mauvaise idée
Interdire le chiffrement nuirait au commerce en ligne
L’histoire de notre vie entière est de plus en plus souvent enregistrée en ligne. Nous dépendons de plus en plus d’Internet et créons de grandes quantités de données en ligne. Ces dernières années, les fuites de données sont devenues l’une des plus grandes menaces de cybersécurité.
C’est pourquoi les techniques de chiffrement sont devenues courantes sur l’internet. Aujourd’hui, la plupart des sites web ont adopté le protocole HTTPS (HyperText Transfer Protocol Secure). Lorsque vous remplissez un formulaire de commande à partir d’un site web sécurisé par ce protocole, vous pouvez être sûr que vos données restent privées.
C’est particulièrement important pour protéger les informations de connexion et de paiement contre l’usurpation d’identité et le vol de données. Sans chiffrement, un apprenti pirate peut facilement se faire passer pour vous afin d’effectuer des achats en votre nom ou, pire, vider votre compte bancaire, par exemple.
En outre, le besoin de chiffrement a augmenté avec l’utilisation généralisée des appareils mobiles. De nos jours, les gens veulent pouvoir se connecter à Internet où qu’ils soient, même dans des lieux publics non sécurisés. La connexion à des sites avec chiffrement réduit le risque de piratage sur ces réseaux.
Interdire le chiffrement reviendrait donc à supprimer cette protection et mettrait en péril la formidable croissance économique mondiale qui a accompagné l’essor d’Internet. En d’autres termes, ce n’est tout simplement pas réaliste. Au contraire, nous devons améliorer la sécurité de nos données en ligne pour favoriser la croissance de nos économies.
L’interdiction du chiffrement porterait atteinte à la démocratie
Plus généralement, le maintien de la confidentialité de nos communications est un droit fondamental. Tout comme nous avons le droit d’avoir une conversation privée avec quelqu’un en face à face, nous devrions avoir le droit de bénéficier de la même confidentialité pour nos communications en ligne.
Le chiffrement est également nécessaire pour préserver la confidentialité indispensable aux avocats, aux médecins, aux journalistes, aux militaires et à toutes les entreprises exposées à une concurrence sérieuse. Il nous permet également de nous exprimer librement avec nos proches sans avoir à craindre que quelqu’un remette en cause nos propos.
Renoncer à ce droit, c’est renoncer à la vie privée en ligne. C’est accepter de rendre publique une maladie dont vous souffrez, et que vous et votre médecin étiez jusqu’à présent les seuls à connaître. C’est permettre à un tiers, souvent inconnu de vous, de connaître votre orientation ou vos fantasmes sexuels, ou les détails d’un contrat important que vous venez de signer avec un client.
Dans plusieurs pays autoritaires, les mêmes technologies Internet qui ont aidé les dissidents à diffuser leur message en faveur de plus de démocratie, pourraient aussi bien réduire au silence ou arrêter ces mêmes dissidents s’il n’y avait pas de chiffrement.
L’interdiction du chiffrement serait une bénédiction pour les hackers et les terroristes
L’interdiction du chiffrement serait en fait une bénédiction pour les hackers et les terroristes.
De nos jours, les conflits géopolitiques se règlent aussi en ligne. Certaines grandes puissances n’hésitent pas à exploiter les vulnérabilités numériques de leurs ennemis.
Dans certains pays, les gouvernements entretiennent des groupes de hackers chargés de pirater les comptes des citoyens des nations rivales. Récemment, le FBI a affirmé que près de 50 % des citoyens américains avaient déjà été victimes d’un vol de données supposé être le fait d’une APT (menace persistante avancée) soutenue par un État.
Les serveurs des entreprises qui ne sécurisent pas leurs emails sont également devenus la cible privilégiée des cyberpirates qui espèrent extorquer une rançon. Certaines de ces entreprises ne se remettent jamais de ces attaques qui les mettent en faillite.
Ces piratages sont une nouvelle forme de terrorisme. Ainsi, ironiquement, plutôt que de prévenir le terrorisme, une interdiction du chiffrement aurait tendance à le favoriser. En effet, il y aurait une explosion de ces menaces.
Créer une porte dérobée n’est pas la solution
Conscients que la confidentialité des communications est essentielle, certains gouvernements proposent de ne pas interdire le chiffrement. Au lieu de cela, ils proposent de forcer les sociétés Internet à créer une « porte dérobée » (« backdoor »). Celle-ci permettrait aux autorités chargées de l’application des lois d’accéder aux données échangées par certaines personnes soupçonnées de se livrer à des activités terroristes ou criminelles (les pédophiles, notamment).
Malheureusement, cette solution est techniquement irréalisable. Il est impossible de supprimer la protection offerte par le chiffrement au seul profit des autorités gouvernementales. Une telle « porte dérobée » faciliterait le travail de la police, mais aussi celui des pirates informatiques. Il serait tout simplement impossible aux forces de l’ordre de garder le secret sur un tel sésame. Le pouvoir et les possibilités d’enrichissement facile qu’il conférerait à son porteur seraient tels que, tôt ou tard, le passe-partout utilisé par les forces de l’ordre tomberait entre de mauvaises mains.
Ce sont donc toutes les activités sur Internet qui seraient rendues vulnérables par cet affaiblissement du chiffrement global.
Conclusion
Comme l’a dit le chercheur et capital-risqueur Benedict Evans à propos de la proposition de créer une porte dérobée dans les systèmes de chiffrement des services en ligne,
“Demander aux entreprises technologiques de créer un ‘chiffrement sécurisé que la police peut lire’, c’est comme demander à General Motors d’inventer une essence qui ne brûle pas. Vous pouvez demander, bien sûr. Mais vous ne pouvez pas l’avoir.”
Chez Mailfence, nous pensons que la protection de votre vie privée est un droit fondamental. La protection de la vie privée en ligne est l’une de nos valeurs fondamentales, et elle a été déterminante dans la conception de notre suite d’emails privée et sécurisée.
Nous n’avons jamais créé de portes dérobées ou d’accès cachés pour les gouvernements, et nous ne le ferons jamais. Nos utilisateurs sont les seuls à pouvoir lire leurs emails. C’est pourquoi de nombreux journalistes et dissidents choisissent nos services pour leurs communications sensibles.
Votre vie privée est-elle l’une de vos préoccupations ? Créez dès à présent un compte Mailfence gratuit. Notre suite email intègre des outils tels que la gestion des contacts, des agendas, la gestion des documents, la gestion des groupes, un planificateur de réunions et même un chat. Mais surtout, vous reprendrez immédiatement le contrôle sur votre vie privée en ligne.
Suivez-nous sur Twitter/Reddit et tenez-vous constamment informé.