Depuis plusieurs mois, divers gouvernements s'attaquent aux outils de chiffrement. La ministre de l'Intérieur britannique, Amber Rudd, vient d'affirmer que les internautes accordent peu d'importance au chiffrement de leurs communications, dans le but d'affaibilir celui appliqué par WhatsApp et consorts, qui en font un argument commercial.
Le terrorisme continue d'être la meilleure arme des gouvernements contre le chiffrement fort. Dans une tribune au Telegraph, le 31 juillet, la ministre de l'Intérieur britannique Amber Rudd estime que les internautes ne tiennent pas vraiment au chiffrement de bout-en-bout. Il serait même inutile dans le cas d'applications comme WhatsApp, qui ne fourniraient aujourd'hui que les métadonnées aux autorités.
Le titre donne le ton : « Nous ne voulons pas bannir le chiffrement, mais notre incapacité à voir ce que complotent les terroristes met à mal notre sécurité ». En fait, « les gens préfèrent souvent la simplicité d'utilisation et une multitude de fonctions à une sécurité parfaite, inviolable » pense Amber Rudd. « Qui utilise WhatsApp car il est chiffré de bout-en-bout, plutôt que parce que c'est un moyen incroyablement pratique et économique de garder contact avec ses amis et sa famille ? » demande-t-elle.
Pourtant, les utilisateurs tiennent à la confidentialité des conversations, comme l'a montré le tollé au moment où Facebook a décidé de croiser ses informations avec celles de la messagerie. Notons aussi que des services similaires, comme Snapchat, se sont construits sur des fonctions liées à la confidentialité, comme la disparition programmée des messages. Malgré tout, du point de vue de l'État britannique, l'accès aux communications doit primer sur leur sécurité concrète.
Pas de porte dérobée, mais un accès toujours demandé
« La croissance du chiffrement de bout-en-bout pose problème, pour les services de sécurité et la police, incapables d'accéder à ces informations via les voies légales » affirme par ailleurs la ministre de l'Intérieur à la BBC. Elle dit discuter avec les services en ligne, pour soutenir le chiffrement où il le faut (par exemple sur les transactions bancaires) mais aussi partager plus de données avec les services dans des cas précis (comprendre, contre le terrorisme).
Dans le Telegraph, elle affirme qu'il ne s'agit pas de casser le chiffrement ou d'installer des portes dérobées, tout en restant très discrète sur les moyens voulus. Il ne s'agit pas tant de confidentialité sur les méthodes que du fait qu'elles restent encore à déterminer. Des suggestions existent tout de même, comme obtenir des données d'un service via une faille connue, avant qu'elle ne soit corrigée.
En attendant, les forces de l'ordre et services de renseignement s'appuieraient déjà sur les métadonnées, comme l'affirment Rudd et Facebook. D'ailleurs, les sorties du gouvernement britannique ressemblent à une réponse à un entretien de Sheryll Sandberg, la numéro 2 de Facebook, dans l'émission Desert Island Discs sur la BBC.
La directrice de l'exploitation déclare que mettre à mal le chiffrement des conversations de WhatsApp aiderait bien les terroristes, et non le contraire. Son argument est que, même si les messages sont chiffrés, les métadonnées restent bien accessibles aux Etats via WhatsApp. Affaiblir la protection de la messagerie américaine encouragerait donc les cibles de surveillance à passer à d'autres services, hors d'une juridiction permettant de récupérer les précieuses métadonnées.
La lutte contre les attentats est désormais devenue un moyen de justifier une mesure et son contraire, selon l'interlocuteur choisi.
Des attaques répétées contre le chiffrement
Les déclarations récentes d'Amber Rudd n'ont rien de surprenant. Depuis plusieurs mois, le gouvernement britannique attaque de front le chiffrement des communications, avec pour idée qu'il pose beaucoup de problèmes, sans être vraiment important pour les internautes. Le message est directement adressé aux services, pour lesquels la protection des messages est devenue un argument marketing, même dans les cas où il est optionnel (comme Facebook Messenger, Google Allo ou Telegram).
Dans son manifeste fin mai, le parti conservateur affirmait le besoin de faire porter la responsabilité de la lutte contre le terrorisme aux grandes plateformes, les plus à même de supprimer les contenus litigieux... voire de les empêcher d'apparaître grâce à la magique intelligence artificielle. Ce rôle, les services en question le prennent avec plaisir, redoublant d'efforts pour prouver leur bonne foi, tout en s'affichant comme les seuls acteurs à même de protéger les internautes de la surveillance étatique (en renforçant au passage leur collecte de données à usage commercial). C'est tout le sens de la Convention de Genève du numérique que réclame Microsoft.
À la mi-juin, un front franco-allemand contre l'expansion en ligne du terrorisme a été officialisé, avec le chiffrement et les plateformes encore et toujours en ligne de mire (voir notre analyse). La responsabilité directe des services en ligne sur le contrôle de ces contenus est notamment envisagé, tout comme l'accès aux données chiffrées sans mettre à mal ledit chiffrement. Le terrorisme est un outil efficace de reprise en main des réseaux sociaux par les États. Il justifie aussi l'interdiction des proxys et des VPN en Russie, qui réclame déjà beaucoup à la messagerie Telegram (pourtant active sur la suppression des canaux liés à Daech).
La Commission européenne distribue d'ailleurs les bons et mauvais points sur la suppression de ces informations, louant les efforts de Facebook en la matière. D'ailleurs, YouTube s'est encore vanté de l'efficacité de son action, dans un billet de blog publié hier. Elle y félicite ses algorithmes (plus rapides, plus précis, plus mieux), déclare s'associer à plus d'experts sur les discours haineux, promettant enfin bientôt une meilleure prise en compte des contenus marqués par les internautes. Un travail qui doit rester en majorité invisible pour les utilisateurs, tout en convaincant les États de la bonne volonté de la plateforme.
