Publication 23 février 2022
Cybersécurité et respect de la vie privée, avec Ivan Kwiatkowski
Plusieurs gouvernements appellent les acteurs du monde de la tech à introduire des portes dérobées (backdoors) dans certains programmes informatiques, par exemple ceux des messageries cryptées, afin de leur permettre de mieux assurer leurs missions en matière de sécurité publique. Quel regard portez-vous sur ces appels ? Comment garantir un équilibre entre les enjeux de sécurité nationale et le respect de la vie privée en ce domaine ?
Ces appels me paraissent particulièrement inquiétants. La question des portes dérobées cryptographiques revient périodiquement dans le débat public malgré les nombreux exemples du danger qu’elles représentent. Pour autant, le problème de fond n’a toujours pas été résolu (et ne le sera sans doute jamais). Si tant est que l’on souhaite donner ce pouvoir aux forces de l’ordre, rien ne garantit que ces backdoors ne pourront être découvertes et utilisées par des tiers à des fins malveillantes. Plus généralement, la vie privée n’est pas une commodité que l’on pourrait rationner, un curseur à ajuster en fonction des besoins du moment : on a droit à une vie privée, ou on ne l’a pas du tout. Parler d’équilibre entre sécurité nationale et vie privée est donc un sophisme du juste milieu dont le seul but est de poser un cadre de débat favorable aux compromis. Mais aucun compromis n’est possible, pas plus qu’il n’existe de vie « presque privée ».
Fort heureusement, de nombreux responsables politiques ont fait l’objet de surveillance en 2021 et s’en sont publiquement émus : on peut donc raisonnablement imaginer qu’ils ne souhaiteront pas reproduire des pratiques qu’ils dénoncent et dont ils sont victimes.
Ivan Kwiatkowski
Chercheur en sécurité au sein de l'équipe "Global Research and Analysis" (GReAT), Kaspersky
Lors du débat organisé par Renaissance Numérique et Kaspersky à l’occasion du mois européen de la cybersécurité, certains participants ont souligné que l’affaiblissement du chiffrement porterait atteinte à la “confiance numérique”. Qu’en pensez-vous ?
Je partage cette analyse tout en rejetant le terme de « confiance numérique ». Qu’est-ce que la confiance ? Les gouvernements qui réclament des backdoors prétendent qu’on peut leur faire confiance pour ne pas en abuser ; les géants du numérique nous demandent de leur faire confiance pour ne pas faire mauvais usage de nos données ; et on fait confiance aux messageries sécurisées pour que personne d’autre que le destinataire ne puisse avoir accès à nos communications. Derrière un seul terme, on a en réalité des situations radicalement différentes voire opposées. Le terme de confiance est fédérateur mais ne permet aucunement de réfléchir aux enjeux. La cryptographie fournit des certitudes : on a la preuve mathématique que, sauf progrès théorique majeur, personne ne peut déchiffrer les correspondances entre deux individus. Pourquoi ajouter de la confiance là où on a déjà des garanties ?
L’avènement de l’informatique quantique est souvent cité comme un élément qui pourrait changer la donne et remettre en cause les techniques de chiffrement utilisées aujourd’hui. Les algorithmes de chiffrement actuels peuvent-ils “résister” à cette avancée technologique ? Concrètement, quels sont les risques pour les utilisateurs ?
À l’heure actuelle, nul n’est en mesure de dire quand les premiers ordinateurs quantiques fonctionnels seront mis au point. Ceux-ci permettront théoriquement de casser le chiffrement de la plupart des algorithmes utilisés aujourd’hui et de nombreux travaux académiques ont été réalisés pour mettre au point de nouveaux standards résistants à ce type d’attaque. J’espère qu’ils seront déployés à temps, mais ce type de transition est très long : il faut éprouver les nouveaux algorithmes, les implémenter, les déployer, et cætera. Dans un premier temps, il est clair que seuls les services de renseignements les plus avancés auront accès à cette technologie. Le risque est donc un retour à un régime de surveillance généralisée d’Internet, comme on a pu en connaître avant que les révélations d’Edward Snowden ne conduisent à une adoption quasi-universelle de la cryptographie.