Débat sur le chiffrement de bout en bout : n’affaiblissons pas la sécurité de nos concitoyens et de nos industries !
France
La position de France Digitale sur l'article 8ter de la proposition de loi de lutte contre le narcotrafic concernant le chiffrement et l'accès aux données par l'autorité judiciaire et les services de renseignement.
Depuis plusieurs jours, la proposition de loi de lutte contre le narcotrafic fait l’objet de débats intenses à la suite de l’introduction par le Sénat de l’article 8 ter, qui impose l’obligation, pour les prestataires de services chiffrés, de fournir un moyen permettant à l’autorité judiciaire et aux services de renseignement d’obtenir une copie des données visées. Alors que la suppression de cet article a fait l’objet d’un large consensus en commission des Lois à l’Assemblée nationale, plusieurs amendements visant à le rétablir en séance publique ont été déposés.
Le débat sur le chiffrement n’est pas nouveau. Comme tout objet technique, il est à la fois une solution ou un danger selon qu’il tombe entre de bonnes ou de mauvaises mains. Si certaines applications de messagerie sécurisée sont utilisées par des criminels, elles sont également prisées par et nécessaires pour les communications de nos concitoyens, nos entreprises et même nos élus. Et pour cause : le chiffrement est essentiel à notre sécurité dans l’univers numérique. Celle-ci est difficile à garantir, comme le démontrent les nombreuses attaques informatiques à l’encontre d’acteurs publics et privés. Il est donc essentiel de ne pas nous priver des outils à notre disposition, tels que le chiffrement de bout en bout.
Ainsi, pour France Digitale, si nous partageons l’objectif du gouvernement et du législateur de mieux lutter contre le trafic de stupéfiants, véritable enjeu de sécurité intérieure, la solution proposée par l’article 8 ter nous semble à la fois inefficace et dangereuse.
Inefficace, car les technologies de cryptographie, publiques et largement diffusées, sont aujourd’hui à la portée de n’importe quelle organisation criminelle. Comment, dès lors, empêcher des criminels de coder leurs propres applications chiffrées ? L’exemple de l’entreprise de services de télécommunications chiffrées néerlandaise EncroChat démontre que les trafiquants n’hésitent pas à monter leurs propres réseaux de communication. Cet article serait donc sans effet sur les personnes qu’il vise.
Dangereuse, car pour les entreprises qui déploient des solutions de chiffrement de bout en bout, aucun accès aux clés ni capacité de déchiffrement des données n’est possible, sauf à créer des portes dérobées (backdoors) utilisables par les autorités. Or, l’histoire a montré qu’une backdoor peut toujours être détournée pour un usage malveillant, entraînant des attaques informatiques massives et des fuites de données incontrôlables. Il n’y a pas plus tard que l’année dernière, les États-Unis ont subi une attaque par le groupe de hackers chinois Salt Typhoon, qui est parvenu, via le système d’écoutes judiciaires mis en place par les opérateurs télécoms américains, à infiltrer plusieurs infrastructures critiques et à accéder à des informations provenant de systèmes utilisés par le gouvernement américain.
Cette opération doit nous rappeler que le chiffrement protège des milliards d’individus, d’entreprises et d’administrations contre des cybermenaces qui se font toujours plus redoutables. Qu’il permet d’effectuer des virements bancaires en toute sécurité et de protéger nos données de santé. Que c’est grâce à cet outil que les investigations sur les Panama Papers ont été possibles, le chiffrement permettant de garantir le secret des sources.
Pour les entreprises, le chiffrement est par ailleurs le meilleur rempart contre l’espionnage économique qui a fait perdre plus de 40 milliards d’euros aux entreprises françaises en 2013. Le Comité européen de la protection des données (EDPB), chargé d’appliquer le RGPD, décrit lui-même le chiffrement de bout en bout comme un rempart aux lois extraterritoriales américaines à la suite de l’arrêt dit « Schrems II » de la Cour de justice de l’Union européenne.
L’adoption de l’article 8 ter impacterait donc la cyberdéfense de toute l’industrie française, mais également des utilisateurs (entreprises, acteurs étatiques, particuliers…), qui n’auront plus accès à des services offrant l’état de l’art en matière de cybersécurité, dont plusieurs qui sont développés par des startups et PME françaises et européennes.
La tentation peut être forte de privilégier notre désir de sécurité au détriment de notre économie et des autres fondements de notre société. Plutôt que de prendre de telles dispositions dans l’urgence, l’ampleur du sujet devrait nous imposer une réflexion globale et collective, qui tient compte des évolutions technologiques qui sont à l’œuvre, notamment dans le domaine quantique. Nos entreprises et concitoyens y sont prêts !