Le gouvernement prêt à tout pour casser le droit au chiffrement

Nous avons déjà relayé la cam­pagne de La Quad­ra­ture du Net con­tre la loi “nar­co­traf­ic”. Celle-ci, sous cou­vert d’une lutte con­tre les trafi­quands e drogue, vise en fait à faire pass­er plusieurs dis­po­si­tions qui lim­it­eraient la lib­erté de toutes et tous sur Inter­net. C’est un peu tech­nique mais ça vaut la peine de s’in­téress­er à cette nou­velle étape pour la défense de nos lib­ertés .

Les dis­cus­sions vien­nent de recom­mencer à l’Assemblée nationale con­cer­nant la loi “Nar­co­traf­ic”. Les mesures les plus dan­gereuses pour­raient être réin­tro­duites par voie d’amendement : oblig­a­tion pour les ser­vices de com­mu­ni­ca­tion chiffrée de don­ner accès au con­tenu des échanges (arti­cle 8 ter), logi­ciels-espi­ons pour accéder à dis­tance aux fonc­tion­nal­ités d’un appareil numérique (arti­cles 15 ter et 15 quater) et “dossier cof­fre (arti­cle 16). Elles sont toutes soutenues par le gou­verne­ment et en par­ti­c­uli­er Bruno Retail­leau. Con­cer­nant le chiffre­ment, celui-ci n’hésite pas à align­er les men­songes pour jus­ti­fi­er la dis­po­si­tion. Petite (re)mise au point.

Le fantôme derrière la porte

Tel qu’introduit au Sénat, l’article 8 ter visait à créer une oblig­a­tion pour les four­nisseurs de ser­vices de mes­sagerie chiffrée de don­ner à la police et au ren­seigne­ment un accès au con­tenu des com­mu­ni­ca­tions. Il s’agit d’une attaque frontale con­tre la tech­nolo­gie de chiffre­ment de bout-en-bout, aujourd’hui inté­grée dans de nom­breux ser­vices de com­mu­ni­ca­tions tels que Sig­nal, What­sapp, Matrix ou encore la mes­sagerie éta­tique Tchap, et qui per­met d’empêcher quiconque autre que le des­ti­nataire d’accéder aux échanges. Avec d’autres organ­i­sa­tions telles que la Glob­al Encryp­tion Coali­tion, nous avons forte­ment dénon­cé l’absurdité et le dan­ger d’une telle mesure qui met­trait fin à la con­fi­den­tial­ité des cor­re­spon­dances en ligne. Cette dis­po­si­tion a été sup­primée en com­mis­sion dans une qua­si-una­nim­ité assez rare. Seuls le cen­tre et la droite se sont abstenus.

Trois députés deman­dent pour­tant son rétab­lisse­ment  : Paul Midy (EPR), Math­ieu Lefevre (EPR) et Olivi­er Mar­leix (LR). Ces amende­ments sont soutenus par le gou­verne­ment. Cela n’est guère éton­nant puisqu’on a vu le min­istre de l’intérieur défendre tant bien que mal cette mesure lors de son audi­tion à l’Assemblée. Il a insisté de nou­veau ce week-end dans une inter­view au jour­nal Le Parisien, tout comme Céline Berthon, la direc­trice de la DGSI, dans l’hebdomadaire d’extrême droite Le JDD. Que ce soit en audi­tion ou dans les jour­naux, ceux-ci expliquent que l’article 8 ter n’affaiblirait pas le chiffre­ment ni ne créerait de “porte dérobée” ou de “back­door” (les ter­mes sont d’ailleurs savam­ment évités dans ces inter­views) car il s’agirait unique­ment d’introduire un par­tic­i­pant fan­tôme dans la con­ver­sa­tion.

Par cela, ils ten­tent surtout de semer la con­fu­sion chez les député·es censé·es vot­er la loi. En effet, con­tourn­er le chiffre­ment de bout-en-bout en autorisant une per­son­ne tierce à con­naître le con­tenu des mes­sages con­stitue, par déf­i­ni­tion, une “porte dérobée. Dans un arti­cle datant d’il y a quelques années déjà, l’Internet Soci­ety expli­quait très bien le fonc­tion­nement et l’impasse de ce type de mécan­isme vis-à-vis des promess­es de con­fi­den­tial­ité des mes­sageries chiffrées.

Il faut com­pren­dre que le chiffre­ment repose sur un échange de clés qui garan­tit que seuls les des­ti­nataires de mes­sages pos­sé­dant les clés pour­ront déchiffr­er les échanges. À l’inverse, le mécan­isme du “fan­tôme” dis­tribue en secret des clés à d’autres per­son­nes non-autorisées, pour qu’elles aient accès au con­tenu des con­ver­sa­tions. Ce dis­posi­tif oblige donc à mod­i­fi­er le code der­rière les mes­sageries ou les ser­vices d’hébergement chiffrés et la con­séquence est la même que de mod­i­fi­er directe­ment l’algorithme de chiffre­ment. N’en déplaise au gou­verne­ment qui cherche à embrouiller les esprits en jouant avec les mots, ceci est bien une méth­ode, par­mi d’autres, de créa­tion d’une porte dérobée. La “propo­si­tion du fan­tôme” revient pure­ment et sim­ple­ment à remet­tre en cause le principe même du chiffre­ment de bout-en-bout qui repose sur la garantie que seuls les des­ti­nataires d’un mes­sage sont en mesure de lire son con­tenu.

L’Internet Soci­ety est d’ailleurs très claire : “Bien que la propo­si­tion du fan­tôme ne mod­i­fierait pas les algo­rithmes util­isés par les appli­ca­tions de mes­sagerie à chiffre­ment de bout en bout pour chiffr­er et déchiffr­er les mes­sages, elle intro­duirait une vul­néra­bil­ité de sécu­rité sys­témique dans ces ser­vices, qui aurait des con­séquences néga­tives pour tous les util­isa­teurs, y com­pris les util­isa­teurs com­mer­ci­aux et gou­verne­men­taux. Cette propo­si­tion nuit à la ges­tion des clés et à la fia­bil­ité du sys­tème ; par con­séquent, les com­mu­ni­ca­tions sup­posées être con­fi­den­tielles entre l’émetteur et le des­ti­nataire peu­vent ne plus l’être, et sont moins sécurisées.

Un piège démocratique

Cass­er un pro­to­cole de chiffre­ment et le con­tourn­er posent, dans les deux cas, exacte­ment les mêmes prob­lèmes :

  • le ser­vice est con­traint de mod­i­fi­er son code et son algo­rithme ;
  • cela crée une vul­néra­bil­ité qui peut être util­isé par d’autres acteurs ;
  • cela peut être éten­du à d’autres final­ités ;
  • cela affaib­lit la sécu­rité générale des infra­struc­tures de réseau ;
  • toutes les per­son­nes util­isatri­ces sont touchées par cet affaib­lisse­ment.

Non seule­ment le gou­verne­ment tente de min­imiser ces con­séquences très graves, mais il ne s’arrête pas là. Il pré­tend désor­mais qu’une solu­tion respectueuse de la vie privée pour­rait exis­ter pour met­tre en œuvre cette oblig­a­tion auprès des four­nisseurs de mes­sageries. Ain­si, dans les amende­ments soutenus par le gou­verne­ment, il serait ajouté à l’article 8 ter un para­graphe pré­cisant que “ces dis­posi­tifs tech­niques préser­vent le secret des cor­re­spon­dances et assurent la pro­tec­tion des don­nées à car­ac­tère per­son­nel au titre du respect de la vie privée”, qu’ils doivent “exclure toute pos­si­bil­ité d’accès par une per­son­ne autre que les agents autorisés à met­tre en œuvre les tech­niques de recueil de ren­seigne­ment” et enfin qu’ils ne “peu­vent porter atteinte à la presta­tion de cryp­tolo­gie visant à assur­er une fonc­tion de con­fi­den­tial­ité.

De nou­veau, affirmer avec assur­ance qu’un tel com­pro­mis serait pos­si­ble est faux. Au regard du principe du chiffre­ment de bout-en-bout, il ne peut exis­ter de pos­si­bil­ité d’accès au con­tenu des mes­sages. Cette promesse con­stitue une escro­querie démoc­ra­tique en ce qu’elle tend à faire adopter une mesure en pari­ant sur l’avenir, alors qu’une telle mise en œuvre est impos­si­ble tech­nique­ment.

Cette manœu­vre avait déjà été util­isée par le Roy­aume-Uni pour faire adopter le “UK Safe­ty Bill”, ou par la Com­mis­sion européenne lors des dis­cus­sions sur le règle­ment “Chat Con­trol. Dans les deux cas, il s’agissait de con­va­in­cre de vot­er une mesure atten­ta­toire à la vie privée en affir­mant qu’on trou­verait bien demain com­ment faire. Faire croire cela est non seule­ment un men­songe, mais c’est aus­si dan­gereux d’un point de vue démoc­ra­tique : le gou­verne­ment est en train d’essayer de tromper la représen­ta­tion nationale en lui expli­quant mal une tech­nolo­gie, en plus de l’avoir intro­duite sans prévenir au milieu des débats au Sénat.

Continuer le rapport de force

Cette bataille n’a rien de nou­veau. Il existe depuis tou­jours une ten­sion poli­tique autour du chiffre­ment des com­mu­ni­ca­tions élec­tron­iques, et cela est bien logique puisque le chiffre­ment est poli­tique par nature. Les out­ils de chiffre­ment ont été pen­sé pour se pro­téger des sur­veil­lances illégitimes et sont néces­saires pour garan­tir le secret des cor­re­spon­dances. Elles ont été déployées sur Inter­net pour pro­téger les com­mu­ni­ca­tions de la sur­veil­lance d’acteurs dan­gereux et notam­ment des États qui voudraient sur­veiller leur pop­u­la­tion. C’est pourquoi ces mêmes États ont tou­jours opposé une résis­tance au développe­ment et à la général­i­sa­tion du chiffre­ment. À l’occasion du procès dit du “8‑Décembre”, qui a remis ce sujet au cœur de l’actualité, nous reve­nions sur l’histoire des “cryp­to-wars” dans les années 1990 et des évène­ments ayant freiné la démoc­ra­ti­sa­tion du chiffre­ment.

En 2025, le gou­verne­ment ne fait donc qu’essayer de nou­velles manœu­vres pour men­er à bien un pro­jet poli­tique ancien, visant à lim­iter le plus pos­si­ble la con­fi­den­tial­ité de nos vies numériques. Et il ne s’arrête pas là puisque deux autres mesures très prob­lé­ma­tiques font leur retour par des amende­ments, large­ment soutenus du Modem jusqu’au RN. Il s’agit de l’autori­sa­tion du piratage de nos appareils pour activ­er à dis­tance le micro et la caméra, et du retour du dossier cof­fre, qui per­met à la police de s’affranchir des règles de procé­dure pénale en matière de sur­veil­lance intru­sive et qui a sus­cité une forte fronde de la part des avo­cats.

Ces dis­po­si­tions sont tout aus­si dan­gereuses que l’attaque con­tre le chiffre­ment et il faut con­va­in­cre les député·es de rejeter les amende­ments visant à les réin­tro­duire. Si vous le pou­vez, c’est main­tenant qu’il faut con­tac­ter les par­lemen­taires pour expli­quer le dan­ger de ces mesures et réfuter les men­songes du gou­verne­ment.

Retrou­vez nos argu­ments et les coor­don­nées des par­lemen­taires sur notre page de cam­pagne : www.laquadrature.net/narcotraficotage.