Hamber Rudd, secrétaire d'État à l'Intérieur du Royaume-Uni, a annoncé hier que des discussions allaient avoir lieu avec WhatsApp et d’autres services du même type pour les amener à coopérer dans les enquêtes. Au cœur du problème une fois de plus, le chiffrement, sur fond de terrorisme.
Le Royaume-Uni pourrait déclarer la guerre au chiffrement dans les solutions de messagerie, si l’on en croit Amber Rudd. La secrétaire d’État à l’Intérieur était hier l’invitée de l'émission Andrew Marr Show sur la BBC. Interrogée sur les évènements de Londres la semaine dernière et l’enquête autour de Khalid Masood (qui a tué quatre personnes devant le Parlement avant d’être abattu), elle a indiqué que les terroristes n’avaient pas le droit de se cacher.
« Inacceptable »
La ligne directrice est claire devant le chiffrement de bout en bout : « C’est complètement inacceptable. Il ne devrait y avoir aucun endroit où se cacher pour les terroristes. Nous devons nous assurer que des organisations comme WhatsApp, et il y en a beaucoup d’autres comme celle-là, ne fournissent pas un endroit sûr aux terroristes pour qu’ils communiquent entre eux ».
Des propos qui éclatent dans le sillage d’un élément important souligné par l’enquête : quelques minutes avant de passer à l’acte, Khalid Masood s’était connecté à WhatsApp. Impossible pour les agents de savoir ce qui s’y est passé : la messagerie dispose depuis l’année dernière du chiffrement par défaut. En dépit de certains doutes apparus récemment, tout tend à montrer que WhatsApp est dans l’incapacité d’accéder aux données.
L'Intérieur oppose les entreprises au grand public
La secrétaire d’État ne semble pas comprendre cette situation. Elle a indiqué au cours de l’émission qu’elle avait convoqué les dirigeants des plus grandes entreprises le 30 mars afin de discuter du sujet, qui s’annonce d’avance très épineux. Elle espère cependant ne pas avoir à recourir à une nouvelle législation : « Ces gens ont des familles, des enfants aussi. Ils devraient être de notre côté, et je vais essayer de remporter de dégat ».
Une présentation qui met directement en opposition les entreprises avec les intérêts de la population : il faudrait ainsi faire appel aux sentiments humains des patrons pour leur rappeler la dimension tragique de l’événement. Mais ce serait nier que de telles affaires ont bien d’autres aspects, car il ne s’agit que d’une nouvelle charge contre le chiffrement, accusé de bien des maux depuis plusieurs années.
Associer chiffrement et terrorisme
Il suffit de se rappeler la bataille qui a opposé Apple et le FBI : le chiffrement pose un problème. Il permet d’un côté d’augmenter radicalement la sécurité des échanges et du stockage des données, mais interfère de l’autre avec les enquêtes. Les forces de l’ordre s’inquiètent régulièrement de technologies qui bloquent l’accès aux données, certaines enquêtes ayant été bloquées.
WhatsApp lui-même n’est clairement pas sur le devant de la scène pour la première fois. Le service a eu ainsi droit à plusieurs coupures imposées par la justice brésilienne car l’éditeur « refusait » de donner les informations réclamées. WhatsApp avait expliqué par la suite n’avoir aucun accès aux données, à cause justement du chiffrement de bout en bout.
Ce dernier concentre actuellement les pires craintes. Il définit un type de chiffrement où le contenu passe à la moulinette avant de quitter l’appareil. En fait, ce dernier influe directement sur la clé. Le serveur devient donc (en théorie) un simple relai d’informations pour des messages que personne ne peut dechiffrer, à moins d’investir de très importantes sommes dans une attaque par force brute. Une arme que les terroristes pourraient utiliser pour fomenter leurs méfaits.
L'éternelle tentation du chiffrement faible
Le curseur entre sécurité et sécurité semble impossible à placer, tant les attentes sont antagonistes. WhatsApp (qui fait partie de Facebook) a déjà indiqué qu’elle coopérerait avec la police pour fournir autant d’informations que possible. Mais la société, ainsi que plus généralement toutes celles gérant des données privées, font de la sécurité un enjeu majeur. Un impératif économique dans un monde post-Snowden : si les utilisateurs n’ont pas confiance, ils ne viendront pas.
C’est probablement la ligne de défense que rencontrera Amber Rudd jeudi lors de sa rencontre avec les responsables. Elle compte ainsi leur rappeler un temps où des mandats permettaient de « fouiller une enveloppe ou d’écouter au téléphone ». Pourquoi la situation serait-elle différente cette fois-ci ? Parce que le chiffrement ne sert pas qu’à repousser les yeux indiscrets, un concept qui semble échapper à une partie de la classe politique.
Il assure en effet des services cruciaux dans un monde où la communication électronique est omniprésente. Il permet de s’assurer que deux contacts sont bien ce qu’ils prétendent être l’un pour l’autre, ainsi que les données n’ont pas été modifiées en chemin. Il est une composante essentielle d’une informatique de confiance, et les solutions proposées pour le contourner reviennent presque toujours au même concept : la porte dérobée.
L’idée a tendance à persister, tant certains aimeraient qu’elle soit techniquement réalisable. Mais une porte dérobée pose toujours les mêmes problèmes : une fois que la brèche existe, il ne peut y avoir aucune garantie qu’elle ne sera utilisée que par ceux pour qui elle a été créée. Dans le cas du chiffrement de bout en bout, une contrainte supplémentaire existe : l’appareil de l’utilisateur sert à créer une partie de la clé. La problématique est la même que pour le combat Apple/FBI, la société ne disposant pas des informations nécessaires.
Or, si WhatsApp devait finalement intégrer une porte dérobée, non seulement l'entreprise ne pourrait pas le faire pour un seul pays, mais les utilisateurs n'auraient finalement qu'à se tourner vers une autre solution. Le schéma se répèterait inlassablement, jusqu'aux solutions open source qui pourraient être adaptées ad vitam aeternam pour éviter les modifications. En clair, les grandes entreprises ont actuellement tout à perdre à accepter une telle demande.
Et si WhatsApp quittait le Royaume-Uni ?
L’attitude des entreprises sera donc particulièrement intéressante à suivre. S’il leur est demandé d’affaiblir volontairement le chiffrement, elles pourraient avoir l’opportunité de quitter le Royaume-Uni. C’est par exemple la décision qu’avait prise BlackBerry au Pakistan, ce dernier faisant finalement demi-tour sur ses demandes.
En France, Matthias Fekl, ministre de l’Intérieur, a en tout cas apporté dans un tweet son soutien à Amber Rudd. Le rêve d’un chiffrement affaibli se retrouve également dans l’Hexagone, en dépit d’une ANSSI ayant largement insisté sur l’importance de cette technologie, vectrice selon elle de « paix et de prospérité ».
J'ai apporté mon soutien à ma collègue britannique @AmberRudd_MP. Coordination européenne nécessaire pour la #sécurité #JAI pic.twitter.com/1O2rlB2cd1
— Matthias Fekl (@MatthiasFekl) March 27, 2017
