Les forces de l’ordre ont un problème avec le chiffrement. Les tensions s’accumulent aux États-Unis, mais d'autres pays entrent progressivement dans la danse. Si David Cameron s’en est ainsi pris aux communications chiffrées au Royaume-Uni, le procureur de Paris a un avis similaire sur la question.
Les effets se répercutent finalement en cascade. Il y a plus de deux ans maintenant, Edward Snowden fournissait à plusieurs journaux d’importants documents montrant comment et à quel point la NSA espionnait la vie numérique à l’échelle mondiale. Les mois ont passé, les révélations se sont accentuées et ce sont finalement toutes les agences de renseignement qui ont été pointées du doigt.
Actions et réactions
En réaction, de nombreuses voix se sont élevées pour demander à ce que le chiffrement devienne une fonctionnalité allant de soi, et non plus une sécurité à réserver au monde professionnel. On connait la suite, avec notamment Apple et Google sévèrement critiquées par le directeur du FBI, James Comey : « Ce qui m’ennuie avec tout ceci est que des entreprises fassent expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi ». Un message très clair, exprimant un désarroi grandissant chez la police pour la résolution de certaines enquêtes. Une peur qui s’appuyait d’ailleurs sur des données montrant une évolution nette du nombre d’affaires bloquées par un chiffrement trop important.
Le besoin de réaffirmer l’espace sécurisé pour protéger la vie privée a boosté le chiffrement, qui en retour a fait craindre au gouvernement plusieurs difficultés. Car si les enquêtes de police sont un sujet sérieux, la surveillance l'est tout autant. Le discours est à chaque fois le même : impossible de mettre tout en œuvre pour protéger les citoyens si le chiffrement se répand. Comment bloquer les attaques terroristes s’il suffit d’acheter n’importer quel smartphone du commerce ?
Le procureur de Paris signe une tribune critiquant l'impact du chiffrement
Le procureur de Paris, François Molins, se pose visiblement la même question. Il est l’un des signataires d’une tribune publiée mardi dans le New York Times, avec Cyrus Vance, procureur de Manhattan, Javier Zaragoza, procureur de la Haute Cour espagnole, et Adrian Leppard, commissaire de Londres. Cette tribune mentionne comment un juge de l’Illinois, dans le cadre d’une enquête pour meurtre, a réclamé à Apple et Google qu’elles déverrouillent des smartphones récupérés pendant l’enquête. Les deux entreprises américaines ont simplement répondu que l’opération était impossible : ils ne possédaient pas le mot de passe de l’utilisateur. Conséquence, l’assassin court toujours.
De fait, l’équilibre qui peut exister « entre le droit à la vie privée des individus et le droit des populations à la sécurité » est « complètement renversé par deux entreprises de la Silicon Valley ». Pour être plus juste, il aurait fallu que la tribune indique qu’il ne s’agissait que de la partie émergée de l’iceberg, car le mouvement se fait sur le fond chez de nombreux acteurs, bien qu’à des vitesses variables.
Cette offensive de plusieurs procureurs et commissaires se fait essentiellement sur les enquêtes. Ils évoquent d'ailleurs une statistique précise : entre octobre 2014 et juin, 74 iPhone équipés d’iOS 8 n’ont pas pu révéler leurs données aux forces de l’ordre. Les affaires portaient sur des meurtres, des abus sexuels répétés sur mineur, des agressions, des vols et le démantèlement d’un réseau de trafic sexuel. Des exemples données évidemment pour donner les contextes très concrets dans lesquels ces smartphones se retrouvent comme autant de pièces à conviction.
Apple et Google dans le collimateur
Les signataires indiquent avoir connaissance des arguments relayés par Apple et Google : le chiffrement intégral de l’espace de stockage sécurise les données et les rend moins récupérables par les cybercriminels. La conséquence est donc claire, puisque si ces entreprises avaient la clé vers ces informations, les « gouvernements répressifs pourrait les exploiter ». Malheureusement, ces arguments ne sont pas, selon eux, recevables.
Un paragraphe en particulier résume clairement leur pensée : « Ces raisons ne devraient pas être acceptées en tant que telles. Le nouveau chiffrement d’Apple n’aurait pas permis d’empêcher la collecte de masse des métadonnées téléphoniques par la NSA, telle que révélée par M. Snowden. Il n’y a aucune preuve qu’il pourrait corriger les problèmes de vols de données institutionnelles ou l’utilisation de malwares. Et nous ne parlons pas de violer les libertés civiles : nous parlons de la possibilité de déverrouiller des téléphones conformément à des ordres juridiques légaux et transparents ».
En définitive, puisque le chiffrement n’aurait pas empêché la collecte des données par la NSA, il ne vaut pas les ennuis qu’il provoque dans les enquêtes. En dépit d’un raccourci qui peut prêter à sourire, la question est sérieuse et illustre une problématique actuelle dont aucune réponse ne peut satisfaire tout le monde. Les données des téléphones sont nécessaires à l’avancée des enquêtes et la tribune insiste en particulier sur les attentats contre Charlie Hebdo et l’usine de production de gaz de Saint-Quentin-Fallavier.
La sécurité et la vie privée mises en balance
La question posée est donc simple : « Pourquoi devrions-nous permettre à l’activité criminelle de prospérer par un moyen hors de portée des forces de l’ordre ? ». La réponse transpire en filigrane puisque les signataires sont clairement d’avis que ce chiffrement intégral ne devrait pas être autorisé. Les avantages liés sont même décrits comme « marginaux » et poussent aujourd’hui vers un nouvel équilibrage car « la sécurité de nos communautés en dépend ».
Ce curseur entre la vie privée et la sécurité se déplace au gré des déclarations des intervenants. En signant la tribune, François Molins signale que la France se pose finalement les mêmes questions que les États-Unis. De son côté, Apple réaffirme une fois de plus que les « utilisateurs ne devraient pas avoir à choisir entre sécurité et vie privée », en conséquence de quoi la firme fournit les deux. Mais la sécurité vue par Apple n’est clairement pas celle vue par la police ou le monde du renseignement.
Comme nous l’indiquions plus haut, il n’y a malheureusement aucune réponse apte à convenir à tout le monde. Les solutions envisagées ou envisageables se feront au détriment d’un groupe, qu’il s’agisse des utilisateurs, des forces de l’ordre, du renseignement ou des entreprises. Mais ce sont bien les utilisateurs qui vont être ballotés entre des entreprises dont les prises de position sont autant d’arguments commerciaux dans ce contexte si particulier, et les forces de l’ordre qui veulent pouvoir continuer travailler efficacement.
Saignant ou à point ?
Les États-Unis réfléchissent à la possibilité d’introduire une porte dérobée, le Royaume-Uni à l’interdiction des messageries chiffrées, tandis que le Pakistan a déjà sauté le pas et annoncé que les services de BlackBerry ne seraient plus autorisés à compter du 1er décembre.
Faut-il dès lors interdire ou chercher à limiter le chiffrement dans les échanges au risque d’une sécurité clairement amoindrie face aux pirates ? Incorporer des portes dérobées avec le danger que d’autres les trouvent ? Laisser le chiffrement poursuivre son envol et voir des enquêtes bloquées ? Il est évident qu’un nombre croissant de pays finira par légiférer sur ce sujet épineux, de quoi nourrir de nombreuses craintes du côté des utilisateurs et des défenseurs du droit à la vie privée.
Espérons que tous les éléments de la problématique seront posés sur la table quand il s’agira de définir une éventuelle nouvelle position sur la question. Un sujet sur lequel il ne faudra pas manquer de vigilance, notamment à l'occasion des prochaines élections présidentielles et legislatives.
