Publication 18 novembre 2019

Chiffrement et cryptage en ligne : enjeux et critiques

Le 4 octobre, les gouvernements des États-Unis, du Royaume-Uni et de l’Australie ont publié une lettre ouverte à l’attention de Mark Zuckerberg demandant à Facebook de mettre fin à son projet d’appliquer le chiffrement de bout en bout (end-to-end encryption) dans tous ses services. La lettre allègue que l’expansion du chiffrement sur ces services permettra aux prédateurs pédophiles de partager plus facilement des images illégales sur le site ou de solliciter des enfants. Selon la lettre, Facebook a soumis 16,8 millions de signalements au US National Center for Missing & Exploited Children (Centre national américain pour les enfants disparus et exploités) en 2018, soit la très grande majorité des 18,4 millions de signalements cette année-là. Au Royaume-Uni, la National Crime Agency estime que les signalements de Facebook ont mené à plus de 2 500 arrestations par les forces de l’ordre britanniques. Selon ces gouvernements, les communications entre utilisateurs devraient être mises à leur disposition sous une forme intelligible afin de préserver leur capacité à détecter les menaces et à enquêter sur les crimes graves tels que les abus pédophiles. Cette lettre est le dernier épisode d’un débat international de longue date sur la question de savoir si les services de sécurité devraient ou non pouvoir accéder aux communications chiffrées. Ce mois-ci, Serious.Links décrypte le débat sur le cryptage : ce qu’est le chiffrement, pourquoi il est important, et pourquoi semble-t-il toujours sous les feux des critiques.

Qu’est-ce que c’est le chiffrement ?

Le chiffrement est la technique qui transforme nos données en un format illisible pour qu’aucun tiers ne puisse les lire ou les modifier. Voici un exemple d’une phrase de texte qui a été chiffrée.

Texte en clair : C’est un message Facebook.

Texte chiffré : eXP3jH+7giCt1gIg0zHm3j3DPI1xuFRvbhmaKJx/uQQ=

Mais il existe de nombreux types de chiffrements. L’application Facebook Messenger utilise déjà un type de chiffrement qui s’appelle « link encryption » (« chiffrement de lien »), dans lequel les messages sont d’abord chiffrés, puis déchiffrés sur les serveurs de Facebook, et enfin envoyés et téléchargés par le destinataire via une connexion chiffrée. Dans le link encryption, Facebook contrôle le cryptage et décryptage et a accès au message déchiffré. Le type de chiffrement concerné dans le débat entres les gouvernements et Facebook est le chiffrement de bout en bout (end to end encryption, ou E2EE), qui encode le message tout au long de son parcours, même lorsqu’il est transporté par des serveurs intermédiaires et par des fournisseurs de services. Dans le E2EE, seuls l’expéditeur et le destinataire peuvent lire le contenu.

Pourquoi Facebook voudrait-il du chiffrement de bout en bout ? 

L’une des raisons pour lesquelles Facebook prévoit de mettre en œuvre le chiffrement de bout en bout dans tous ses services pourrait être simplement de s’éloigner des pressions et des responsabilités qui accompagnent la capacité d’accéder à tout ce contenu — pression des forces de l’ordre, ordonnances judiciaires, controverses sur la modération du contenu illicite, etc.-. Avec le chiffrement de bout en bout, Facebook renonce à la capacité de détecter les communications et les demandes qui en découlent.

Facebook a déjà déployé le chiffrement de bout en bout dans son application WhatsApp. Et même ce type de chiffrement n’est pas totalement impossible à pirater. Facebook a récemment entamé une action en justice contre le groupe israélien NSO pour avoir prétendument piraté WhatsApp et aidé à l’espionnage d’environ 1 400 personnes, dont au moins 100 journalistes, dissidents politiques et défenseurs des droits humains dans 20 pays. Facebook n’a pas tardé à utiliser cet incident pour défendre sa position, affirmant que « les entreprises technologiques ne devraient jamais être obligées d’affaiblir volontairement leurs systèmes de sécurité ».

La protection pour tous ?

Le chiffrement a une importance évidente pour la confidentialité et la sécurité. Les professionnels de la sécurité et les experts en protection de la vie privée se prononcent en faveur du chiffrement de bout en bout, car il protège mieux les données contre les pirates et autres personnes qui pourraient vouloir espionner. Des experts et des organisations telles que l’Electronic Frontier Foundation (EFF), le Center for Democracy and Technology, et d’autres militent pour l’utilisation du chiffrement de bout en bout dans les services de messagerie. De nombreuses personnes — y compris les journalistes, les militants des droits de la personne, ou encore des victimes de violence conjugale, etc.— utilisent le chiffrement pour rester en sécurité tant dans le monde physique qu’en ligne.

En face, le principal argument contre le chiffrement de bout en bout (et en faveur du link encryption) et que nous observons dans ce récent débat, est que le chiffrement de bout en bout créerait un « espace sûr » où les criminels peuvent communiquer, sans que des tiers puissent lire le contenu et effectuer les contrôles de sécurité. Autrement dit, la technologie qui est censée protéger la vie privée de millions de personnes et d’entreprises protège également la confidentialité des criminels.

Le mythe de la porte secrète 

Dans ce débat, l’idée d’une « porte secrète » (backdoor) est souvent évoquée. Une méthode par laquelle seuls les gouvernements pourraient avoir accès aux communications pour des raisons de sécurité. Une porte secrète est une fonction mathématique de l’échange de clés de chiffrement qui pourrait déchiffrer le chiffrement de bout en bout, et n’être perçue que par ceux qui l’ont faite. Cependant, les cryptologues soulignent qu’une telle solution est en fait impossible : il n’existe aucun moyen infaillible de mettre en œuvre le chiffrement par des portes secrètes. Une porte secrète annule essentiellement le processus en créant une vulnérabilité qui peut être découverte par d’autres et potentiellement abusée. Il s’agit ainsi d’un outil puissant qui pourrait tomber entre de mauvaises mains et qui est potentiellement encore plus dangereux que le chiffrement standard. Un article de 2015, « Keys Under Doormats » (“Clés sous paillassons”), écrit par un groupe de cryptologues souligne les dangers inhérents et inévitables de tels systèmes.

En réponse à la lettre des États-Unis, du Royaume-Uni et de l’Australie, plus de 100 organisations ont envoyé une lettre ouverte à Facebook, appelant l’entreprise à poursuivre sa stratégie. Ils remarquent que les « portes secrètes » ou « l’accès exceptionnel » menacent la vie privée et affaiblissent la sécurité. La lettre précise : « Chaque jour où les plateformes ne prennent pas en charge une sécurité de bout en bout forte est un jour de plus où ces données peuvent être violées, mal gérées ou obtenues par des entités puissantes ou des acteurs malveillants pour en exploiter les résultats. Étant donné la portée remarquable des services de messagerie de Facebook, assurer une sécurité de bout en bout par défaut constituera une avancée considérable pour la liberté des communications mondiales, la sécurité publique et les valeurs démocratiques…”.

Il faut dire aussi que la simple notion d’une porte secrète pour les gouvernements soulève de sérieuses préoccupations quant à leur intention. Comme en témoignent les révélations de Edward Snowden, il a été démontré que le gouvernement américain espionne ses propres citoyens. D’ailleurs, une telle mesure pourrait créer un précédent néfaste pour d’autres gouvernements. Des États autoritaires réclament cet accès depuis des années.

Quelle voie pour les gouvernements ?

Selon Andrew Crocker de l’EFF, « il n’y a pas vraiment de solution proposée qui protège la sécurité et la vie privée des communications et qui permette l’accès aux services de police.” Il faut trouver des solutions qui ne sacrifie pas la valeur fondamentale du chiffrement de bout en bout. Même avec le Cloud Act, dans un accord qui doit être signé entre les gouvernements des États-Unis et le Royaume-Uni pour faciliter le partage des données lors des investigations par les services de police, les entreprises ne sont pas obligées de violer les protections des utilisateurs telles que le chiffrement. L’accord est explicitement neutre en matière de chiffrement (« encryption neutral »).

La récente décision d’un juge en Inde est peut-être révélatrice. Le mardi 22 octobre, lors d’une audience gouvernementale, le gouvernement indien a demandé à Facebook de l’aider à déchiffrer des messages privés en citant des exigences de sécurité nationale. En réponse, le juge a demandé aux avocats du gouvernement d’expliquer pourquoi le fardeau devrait incomber aux entreprises de réseaux sociaux. Le juge a rappelé que la loi en Inde permet au gouvernement de demander de l’aide dans le déchiffrement, mais qu’elle ne suggère pas que les entreprises le fassent pour le gouvernement. « Personne ne vous empêche d’avoir votre propre système de déchiffrement » leur a-t-il indiqué.

Le chiffrement entraîne certaines frustrations et coûts sociaux, en particulier pour les victimes d’actes criminels. Mais il est nécessaire d’entendre ses nombreuses défenses critiques en termes de vie privée et également de cybersécurité.

Sur le même sujet