Limitation du chiffrement : le CNNum et la CNIL invitent à ne pas céder à des solutions de facilité
Qui pourraient avoir des conséquences graves

Le , par Stéphane le calme, Chroniqueur Actualités
À l’issue d’un conseil restreint de défense qui a été convoqué le 11 août dernier par le Président de la République, pendant lequel ont été abordés de nombreux sujets touchant à la sécurité intérieure, Bernard Cazeneuve a avancé que « nous avons notamment insisté sur le défi que représente pour la lutte antiterroriste la question du chiffrement d’un certain nombre de moyens de communication utilisés par les terroristes », précisant qu’il recevra son homologue allemand, Thomas de Maizière, le 23 août pour lancer une initiative européenne destinée à préparer une initiative plus internationale.

Le ministre n’a pas manqué de rappeler que de nombreux messages échangés en vue de la commission d’attentats terroristes « le sont désormais par des moyens cryptés, ce qui rend difficile le travail des services de renseignements ». Il a insisté sur le fait qu’il s’agit là d’un enjeu considérable dont la gravité est d’ailleurs mise en exergue par les interpellations récentes ainsi que les enquêtes conduites par les services de renseignement.

Toutefois, dans une tribune publiée sur Le Monde le 22 août dernier et traduite en allemand pour le journal Heise le 23 août 2016, les présidents du Conseil national du numérique (CNNum) et de la CNIL ont mis en garde le gouvernement face à « des solutions de facilité qui pourraient avoir des conséquences graves et non anticipées ». « Limiter les moyens de chiffrement ou instaurer des « portes dérobées » pour permettre aux forces de l’ordre d’accéder aux données chiffrées de nos applications affaiblirait la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée. L’urgence de la situation ne doit pas nous conduire à sous-estimer ces risques ni à faire l’impasse d’un débat sur les implications politiques, sociales et économiques d’une limitation du chiffrement ».

Reconnaissant le contexte dans lequel baigne la France avec les attentats qui ont été perpétrés ces vingt derniers mois, le CNNum a tout de même voulu mettre un frein à l’initiative que prépare le ministre de l’Intérieur : « il n’est pas question de nier qu’un chiffrement robuste peut compliquer le travail des enquêteurs, surtout lorsqu’il s’opère de bout en bout, c’est-à-dire lorsque le fournisseur du service ne détient pas les clés de déchiffrement. Néanmoins c’est sans compter sur la réalité concrète de l’organisation des réseaux et l’importance de la sécurité en ligne ».

Comme l’a fait l’ANSSI avant, le Conseil a tenu à rappeler l’importance du chiffrement : « comme tout objet technique, le chiffrement est tout à la fois remède ou poison selon qu’il tombe entre de bonnes ou de mauvaises mains. Les applications de messagerie sécurisée utilisées par les terroristes – notamment Telegram – sont également très prisées par les politiques et au sein des ministères, par les entreprises et les citoyens ! Et pour cause : le chiffrement est essentiel à notre sécurité dans l’univers numérique.

Chaque jour, le chiffrement protège des milliards d’individus contre des cybermenaces qui se font toujours plus redoutables. Il est donc le levier majeur de la confiance dans l’univers numérique. C’est grâce au chiffrement que nous pouvons effectuer un virement bancaire en toute sécurité. C’est grâce au chiffrement que nous pouvons stocker nos données de santé dans un dossier médical partagé (DMP) en ligne. C’est également grâce à cet outil que les investigations sur les Panama Papers ont été possibles, le chiffrement permettant de garantir le secret des sources. Pour les entreprises, le chiffrement est aujourd’hui le meilleur rempart contre l’espionnage économique qui a fait perdre plus de 40 milliards d’euros aux entreprises françaises en 2013. Les petites et moyennes entreprises sont les premières victimes de ces cyberattaques, car elles n’ont généralement pas les moyens d’un chiffrement robuste ».

Alors, il n’est pas question d’affaiblir le chiffrement. Le Conseil balaie également le fait d’installer des portes dérobées à des fins de sécurité, rappelant que l’ANSSI avait déjà fait valoir qu’il est techniquement impossible de s’assurer que de tels accès ne soient disponibles qu’au profit des personnes autorisées. De plus, le CNNum avance « qu’il y a fort à parier que de telles mesures auraient une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés ».

Le CNNum ne voit pas le chiffrement comme un obstacle infranchissable, bien qu’il reconnaît qu’il complique l’accès à certaines informations : « d’une part, il est souvent possible de contourner le chiffrement, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. D’autre part, si le contenu des communications est chiffré, les métadonnées, elles, restent le plus souvent en clair : qui échange avec qui ? Quand et combien de temps ? Où était-il ou elle localisé(e) ? Ces données répondent aux questions les plus importantes sur nos habitudes, nos fréquentations, nos centres d’intérêt, nos opinions »

Aussi, au lieu d’emprunter la voie d’un affaiblissement du chiffrement ou de l’installation des portes dérobées, le CNNum invite à la coopération avec les fournisseurs de produits et de services sécurisés dans l’accès judiciaire aux données. Le CNNum propose de travailler à renforcer les règles de coopération judiciaire, en particulier les mutual legal assistance treaty (MLAT) – accords bilatéraux entre États qui permettent l’échange d’informations et de données lors d’enquêtes en cours – afin de réduire ces délais de transmission. « C’est ce qui devrait être le sens d’une initiative internationale », indique le Conseil.

Source : tribune CNNum


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 24/08/2016 à 9:34
Cazeneuve dit ne pas remettre en cause le principe du chiffrement
mais veut que l’UE impose le déchiffrement des messages dans le cadre d’enquêtes

Lors d’une conférence de presse ce mardi 23 août, le ministre français de l’Intérieur Bernard Cazeneuve et son homologue allemand Thomas de Maizière ont présenté leur initiative franco-allemande sur la sécurité intérieure en Europe, pour renforcer la lutte contre le terrorisme. Parmi les trois chapitres abordés dans cette conférence, la question du chiffrement des communications était la plus attendue, après que la France a annoncé une initiative européenne contre le chiffrement.

Ce que Cazeneuve et Thomas de Maizière proposent, c’est que « la Commission européenne étudie la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ou Internet dans l’Union européenne, que leur siège juridique soit ou non en Europe » ; une chose que la Commission semble déjà avoir fait ou être en train de faire. En effet, comme cela a été rapporté la semaine dernière, l’Europe va dévoiler en septembre un plan qui prévoit de soumettre les services tels que Skype et WhatsApp aux mêmes règles que les entreprises de télécoms. L’objectif serait de pouvoir exercer plus de contrôle sur ces services qui devront alors, entre autres, se conformer aux requêtes des agences de sécurité. Mais comment exactement ? À cette question, Cazeneuve tente de donner une réponse.

« Si un tel acte législatif était adopté », poursuit-il « cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages, exclusivement dans le cadre d’enquêtes judiciaires. »

Le ministre français de l’Intérieur essaie toutefois d’éviter d’adopter une position antichiffrement, même si elle parait déjà claire pour beaucoup de gens. Il affirme en effet ne pas remettre en cause le principe du chiffrement. Avant d’aborder le chapitre de l’initiative franco-allemande qui parle du chiffrement, il demande à ce que « les choses soient bien claires pour éviter toute polémique inutile : il n’a bien sûr jamais été question de remettre en cause le principe du chiffrement des échanges », dit-il. « Le chiffrement permet de sécuriser les communications, y compris des États. À titre d’exemple, il permet au quotidien de protéger les transactions financières.

Ce que nous affirmons, en revanche, c’est que les échanges de plus en plus systématiques opérés via certaines applications, telles que Telegram, doivent pouvoir, dans le cadre des procédures judiciaires - j’insiste sur ce point - être identifiés et utilisés comme éléments de preuve par les services d’investigations et les magistrats.
»

En d’autres termes, ils souhaitent d’une manière ou d’une autre limiter les moyens de chiffrement ou créer des portes dérobées afin de permettre aux forces de l’ordre d’accéder aux données chiffrées de ces applications. Une mesure qui selon le Conseil national du numérique (CNNum) et la CNIL « pourrait affaiblir la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée » contre le terrorisme.

Cazeneuve et son homologue allemand Thomas de Maizière souhaitent que les propositions formulées hier par les deux pays soient discutées lors du Sommet des 27 chefs d’État et de gouvernement, qui aura lieu à Bratislava le 16 septembre prochain.

Source : Initiative franco-allemande sur la sécurité intérieure en Europe

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

L'UE veut exercer plus de contrôle sur les services tels que Skype et WhatsApp, en les soumettant aux règles appliquées aux entreprises de télécoms
Russie : un amendement oblige les éditeurs à fournir un moyen de déchiffrer les communications au FSB, les services secrets russes
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 10:37
Citation Envoyé par Michael Guilloux Voir le message

« Si un tel acte législatif était adopté », poursuit-il « cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages, exclusivement dans le cadre d’enquêtes judiciaires. »
Mais on te dit qu'on peut pas faire ça

C'est bizarre de voir sur la place publique ces débats qu'on a tous eu avec des fonctionnels ou des marketteux sur les limitations techniques et les risques de tel ou tel choix.

Sauf qu'ici nos politiques manipulent de la nitroglycérine et visiblement ils ont pas compris.
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 24/08/2016 à 10:55
J'aime bien le sous titre : "Mais veut que l'UE impose le déchiffrement des messages dans le cadre d'enquêtes".

Donc c'est un gars non élu, qui demande à ce que l'UE impose une loi dans les 28 nations membres.

Même si ce n'est qu'une initiative, au final ça fonctionne comme ça.
Avatar de halaster08 halaster08 - Membre expert https://www.developpez.com
le 24/08/2016 à 11:08
Citation Envoyé par thierrybenji Voir le message
J'aime bien le sous titre : "Mais veut que l'UE impose le déchiffrement des messages dans le cadre d'enquêtes".

Donc c'est un gars non élu, qui demande à ce que l'UE impose une loi dans les 28 nations membres.
Voilà comment l'UE fonctionne.
Tu le fait vraiment exprès là.
Déjà c'est pas un mais deux ministres, pour parler du français (car je ne sais pas comment ça se passe en Allemagne) certes il n'est pas élu mais il est nommé par le premier ministre avec l'accord du président qui lui est élu. Donc il est bien censé représenter le peuple de France.
Ensuite il ne veulent pas imposer un loi mais proposer un vote au niveau européen (donc avec l'accord des 28) pour avoir plus d'impact niveau internationnal.

Ce que Cazeneuve et Thomas de Maizière proposent, c’est que « la Commission européenne étudie la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ou Internet dans l’Union européenne, que leur siège juridique soit ou non en Europe. »
Encore une fois l'Europe n'impose rien, les élus de toutes les nations discutent et décident ensemble.

Mais on te dit qu'on peut pas faire ça
Sauf qu'ils ne veulent pas l'entendre, la droite les accusent déjà de ne rien faire contre le terrorisme, ils ont besoin d'un ennemi visible a combattre pour montrer au peuple que c'est faux, ils ont choisi le chiffrement, et avec les élections qui approchent ils ne vont pas s'arreter de sitôt. Quitte à changer de fusil d'épaule après les éléctions.
Avatar de pschiit pschiit - Membre actif https://www.developpez.com
le 24/08/2016 à 11:13
Le beau discourt de politicien.
"Il n'est pas question de remettre en cause le chiffrement" mais il faut pouvoir déchiffrer les messages dans le "cadre d’enquêtes".
La solution qu'ils veulent, en fait, c'est supprimer le chiffrement...
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 24/08/2016 à 11:25
Citation Envoyé par halaster08 Voir le message
Encore une fois l'Europe n'impose rien, les élus de toutes les nations discutent et décident ensemble.
Moi je parlais juste du sous titre.
Dans le sous titre, ça parle d'un type non élu, qui veut que l'UE impose quelque chose.

Je trouve que ça n'a aucun sens d'avoir les mêmes lois dans 28 nations...
Bon là ils veulent être capable de déchiffrer sous prétexte de lutter contre le terrorisme (lol), ce n'est pas le pire qui soit sorti de l'UE.

Je n'aime pas le gouvernement Français, mais j'aime encore moins l'UE.
Si la France n'était pas dans l'UE elle serait plus libre.
Parce que là une fois qu'une loi passe c'est foutu, tu peux plus en sortir.
Avatar de Marco46 Marco46 - Modérateur https://www.developpez.com
le 24/08/2016 à 11:48
Citation Envoyé par Neckara Voir le message
Je vais me faire l'avocat du diable.

@Saverok on peut aussi autoriser le chiffrement, mais uniquement avec certains paramètres de tel sorte que l’État français puisse décrypter.
Ce qui nous vient à l'esprit, est la limitation des tailles de clés. Mais par exemple avec EDCA, on peut choisir plusieurs courbes avec laquelle faire ses opérations de chiffrement. Dès lors, l'État pourrait imposer une/des courbes particulières construit de sorte que l'État français serait capable de décrypter, mais pas les attaquants, vu que l'État français aura des connaissances particulières liées à la construction de cette courbe qui peut lui faciliter le travail de décryptage.
En quoi ça va empêcher des personnes mal intentionnés d'utiliser un chiffrement fort et indéchiffrable, c'est à dire RSA en asymétrique et AES en symétrique ? En rien. Le seul résultat c'est d'affaiblir la sécurité pour ceux qui vont respecter la loi. C'est le sens des remarques de l'ANSSI et du CNNum, ce qu'ils demandent est impossible à réaliser, point final.
Avatar de Denton Denton - Nouveau membre du Club https://www.developpez.com
le 24/08/2016 à 12:16
C'est drôle, le nombre d'énormités débitées par "nos" politiques a tendance a augmenter à l'approche des élections.
Sérieusement, c'est a se demander si c'est réellement pour contrer le terrorisme qu'ils envisagent ce genre de pratique.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 24/08/2016 à 12:22
J'ai bien précisé que je me faisais l'avocat du diable.

Citation Envoyé par Marco46 Voir le message
En quoi ça va empêcher des personnes mal intentionnés d'utiliser un chiffrement fort et indéchiffrable, c'est à dire RSA en asymétrique et AES en symétrique ? En rien.
Mais dans ce cas là, on a pas besoin de déchiffrer ou de décrypter leurs communications vu qu'ils se rendront déjà coupables aux yeux de la loi.

Sachant même qu'on pourrait même décider de bloquer ce genre de communications au niveau due l'infrastructure du réseau même.

ce qu'ils demandent est impossible à réaliser, point final.
Ne soyons pas dogmatique à ce point.
Avatar de _FLX_ _FLX_ - Membre du Club https://www.developpez.com
le 24/08/2016 à 12:23
Ses conseillers techniques auxquels il n'a pas demandé leur avis doivent se ronger les doigts...

"il n’a bien sûr jamais été question de remettre en cause le principe du chiffrement des échanges"

Alors il faudrait commencer par comprendre que ton discours en est une de remise en cause, pauvre imbécile.
Ecoute ceux qui connaissent, au moins UNE FOIS.
Contacter le responsable de la rubrique Accueil