Résumé : La polémique actuelle au sein de l'Union Européenne révèle un paradoxe marquant : tandis que les gouvernements reconnaissent la nécessité vitale du chiffrement pour sécuriser leurs propres communications face aux menaces (comme les cyberattaques), ces mêmes instances soutiennent des initiatives, telles que le projet de règlement CSAR, ou « Chat Control », visant à contraindre les services de messagerie à intégrer des portes dérobées pour le balayage des échanges privés des citoyens. Cette démarche est perçue par de nombreux experts non pas comme une quête de sécurité, mais comme une volonté de contrôle, d'autant plus que les comptes gouvernementaux et militaires sont spécifiquement exclus des obligations de balayage. Les professionnels de la technologie affirment qu'une porte dérobée qui préserverait la sécurité et la confidentialité des utilisateurs est une impossibilité technique, ce qui ramène l'enjeu au droit fondamental à la liberté de communication, le rejet de la surveillance de masse étant considéré comme impératif pour l'avenir numérique.
Souveraineté des données. Sécurité des communications. Chiffrement puissant. Ce sont les mots que j'ai le plus entendus lors de ma journée à la Matrix Conference à Strasbourg la semaine dernière.
Cet événement, organisé par les créateurs de Matrix, un protocole open source que les développeurs peuvent utiliser pour créer des applications de messagerie décentralisées et sécurisées, a présenté plusieurs exemples d'utilisation de ce système fédéré dans des organismes.
Il était particulièrement intéressant de constater que, bien qu'il existe quelques exemples d'applications basées sur Matrix destinées aux utilisateurs ordinaires, ce sont principalement les gouvernements qui utilisent la puissance de ce protocole.
Parmi ces pays, on trouve l'Allemagne, où Matrix a été utilisé pour chiffrer les communications du gouvernement, de l'armée et du système de santé, et la France, où, depuis septembre dernier, tous les fonctionnaires sont obligés d'utiliser l'application Tchap basée sur Matrix à la place de Signal ou WhatsApp.
Ce qui était peut-être encore plus surprenant, c'était de voir des représentants du département informatique de la Commission européenne expliquer sur scène qu'ils testaient Matrix pour remplacer Signal et sécuriser leurs propres communications.
Oui, la Commission européenne, cette même institution qui a proposé d'affaiblir les conversations personnelles des citoyens en introduisant une backdoor dans le chiffrement, avec le tristement célèbre projet de loi sur la lutte contre les abus sexuels sur mineurs (CSAR), également connu sous le nom de « Chat Control ». Et selon les dernières données, la France fait partie des 12 pays qui soutiennent cette proposition.
Tout cela m'a frappé : les gouvernements européens comprennent clairement à quel point le chiffrement est essentiel pour préserver la vie privée et la sécurité. Pourtant, ces aspects cruciaux pour leurs propres communications semblent être quelque chose que les citoyens devront accepter et perdre au nom du bien commun.
Je ne pouvais m'empêcher de réfléchir à cette double vision du chiffrement et à son caractère déséquilibré. Mais que pensent de tout cela les personnes qui travaillent à sécuriser les communications des gouvernements et des organisations ? Je me suis donné pour mission de le découvrir.
Le chiffrement est menacé, mais uniquement pour les citoyens
Le chiffrement de bout en bout (E2EE) est la technologie utilisée par les meilleures applications VPN et les services de messagerie pour chiffrer les données afin de les rendre illisibles et empêcher tout accès non autorisé. Il garantit la confidentialité de nos communications en ligne entre nous et nos interlocuteurs.
À la suite de cyberattaques toujours plus importantes et nombreuses (pensez à Salt Typhoon aux États-Unis), le chiffrement est devenu essentiel pour protéger la sécurité de tous, qu'il s'agisse d'usurpation d'identité, d'escroqueries ou de risques pour la sécurité nationale. Même le FBI a exhorté tous les Américains à se tourner vers les solutions de messagerie chiffrée.
Les forces de l'ordre, cependant, considèrent souvent cette protection comme un obstacle à leurs enquêtes et réclament un « accès légal » aux données chiffrées afin de lutter contre des crimes graves tels que le terrorisme ou la maltraitance des enfants.
C'est précisément de là que proviennent les propositions législatives telles que Chat Control et ProtectEU dans l'Union européenne, ou l'Online Safety Act au Royaume-Uni.
Pourtant, les personnes qui travaillent dans le domaine du chiffrement savent que ces propositions législatives sont inefficaces.
« Il est tout à fait logique que certaines personnes cherchent à affaiblir le chiffrement, mais cela n'a aucun sens de penser que cela serait bénéfique pour la société », m'a confié Matthew Hodgson, cofondateur de Matrix.
Comme l'ont expliqué M. Hodgson (et de nombreux autres experts avec lesquels je me suis entretenu), il est naïf et techniquement impossible de penser pouvoir créer une backdoor dans le chiffrement à laquelle seules les autorités auraient accès.
Une fois ce point d'entrée créé, tout le monde pourra l'exploiter. Point final.
Mais la naïveté n'est peut-être qu'un aspect de la question. Selon Runi Hammer, PDG et cofondateur de la société danoise Meedio, les gouvernements savent très bien ce qu'ils font.
« C'est le problème du deux poids, deux mesures : lorsque les gouvernements disent que tout le monde doit faire quelque chose, ils veulent généralement dire tout le monde sauf eux. »
Runi Hammer a mis le doigt sur le problème. La proposition danoise de Chat Control, dernière version du projet de loi, exclut tous les comptes gouvernementaux et militaires du contrôle obligatoire des conversations confidentielles et chiffrées à la recherche de contenus pédopornographiques (CSAM).
« Ils savent que nous avons besoin du chiffrement pour communiquer en toute sécurité. Mais pourquoi ne puis-je pas avoir une conversation sécurisée avec mes amis sans être soumis à Chat Control ? Je ne pense pas que la fin justifie les moyens ; c'est trop intrusif », a déclaré M. Hammer.
Julie Ripa, chef de produit Tchap au sein de la Direction de l'information et des réseaux (DINUM) du gouvernement français, adopte un point de vue plus nuancé. Elle souligne qu'il existe une différence flagrante entre les besoins des gouvernements et ceux des citoyens en matière de communications sécurisées et chiffrées.
Pourtant, « nous ne devrions pas porter atteinte à la vie privée, quelle qu'en soit la raison. Il y aura toujours des trafiquants de drogue, même si nous contrôlons les données. Je ne suis pas sûre que la création de backdoors résoudra le problème. Nous nous attaquons simplement à quelque chose qui n'est pas la racine du problème. »
Au-delà du dilemme du chiffrement
Sur le plan technique, les experts s'accordent tous à dire qu'une backdoor de chiffrement ne peut garantir le même niveau de sécurité et de confidentialité en ligne que celui dont nous bénéficions actuellement.
Est-il donc temps de redéfinir ce que nous entendons par « confidentialité » ?
C'est probablement ce qu'il faut faire, selon Christian Calcagni, conseiller stratégique chez Rocket.Chat. « Nous devons redéfinir la communication confidentielle, et cela fait l'objet d'un grand débat. Chiffrement ou pas, quelle pourrait être la solution ? »
M. Calcagni est néanmoins très critique à l'égard de la volonté actuelle de contourner le chiffrement.
Il m'a déclaré : « Pourquoi le gouvernement devrait-il savoir ce que je pense ou ce que je partage à titre personnel ? Nous ne devrions pas nous concentrer uniquement sur le chiffrement ou l'absence de chiffrement, mais sur ce que cela signifie pour notre vie privée, notre intimité. »
Le fondateur et PDG de Rocket.Chat, Gabriel Engel, n'a cependant aucun doute. Une porte dérobée dans le chiffrement n'est pas une question de sécurité, mais de contrôle.
Il m'a dit : « Les gouvernements veulent savoir ce qui se passe et pouvoir surveiller leurs citoyens, tout en voulant le contraire pour eux-mêmes. Ce sera une bataille sans fin pour les citoyens afin de conserver leurs droits à la vie privée et de conserver leurs propres données. »
Si l'on écarte l'hypothèse d'une porte dérobée dans le chiffrement, quelle est l'alternative ?
Presque toutes les personnes avec lesquelles j'ai discuté pendant la conférence ont clairement exprimé leur opposition aux propositions de type « Chat Control ».
Cependant, les enjeux qui motivent la démarche des législateurs – terrorisme, trafic de drogue, maltraitance des enfants – sont sans aucun doute des crimes graves qui doivent être réprimés. Alors, si on ne veut pas affaiblir le chiffrement, quelle est la bonne solution ?
Selon Hodgson, qui est également cofondateur et PDG de la société Element basée sur Matrix, une solution pourrait consister à développer une meilleure infrastructure qui, tout en préservant la confidentialité, permettrait à la société de s'autocontrôler.
Il m'a déclaré : « Ce que nous devons mettre en place, ce n'est pas une surveillance de masse. Mais nous, les participants à la conférence Matrix, devons faire beaucoup mieux pour fournir les outils de confiance et de sécurité nécessaires pour signaler et dénoncer ces crimes lorsqu'ils se produisent sur la plateforme. J'aimerais que Matrix dispose de meilleurs financements pour mettre en place cette alternative. »
En quittant la conférence, je suis reparti avec quelques questions sans réponse, mais aussi avec une certitude : la technologie et la politique évoluent sur deux voies parallèles, peinant à trouver un point de convergence.
D'un côté, les experts en technologie affirment aux législateurs qu'il est impossible de créer une backdoor capable de préserver à la fois la sécurité et la confidentialité. Pourtant, le monde politique continue de promouvoir cette idée mal conçue contre toute attente.
Le défi consiste désormais à trouver un moyen de combler ce fossé entre la protection de la vie privée et la sécurité auxquelles nous avons droit, d'une part, et l'utilisation des données requise par les forces de l'ordre, d'autre part.
Nous en sommes encore loin, mais c'est une mission que nous devons poursuivre. Après tout, comme me l'a dit Hammer de Meedio : « Il s'agit de notre droit, de notre liberté, de notre droit de communiquer librement les uns avec les autres. La surveillance de masse n'est pas la voie à suivre pour un monde qui devient de plus en plus numérisé. »
traduction de :
https://www.techradar.com/vpn/vpn-privacy-security/its-not-about-security-its-about-control-how-eu-governments-want-to-encrypt-their-own-comms-but-break-our-private-chats
Enregistrer un commentaire
Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.