À l’occasion d’une réponse parlementaire, le ministère de l’Intérieur a dévoilé ses vues s’agissant de la mise au clair d’informations chiffrées passant par Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik et autre Wechat.
La question est dans l’air du temps depuis de longs mois : comment les services du renseignement ou l’autorité judiciaire peuvent-ils prendre connaissance des données chiffrées passant par les tuyaux de ces services en ligne ? Interrogé par le sénateur Christian Cambon « sur les moyens de lutte efficace contre les messages cryptés », le ministère de l’Intérieur a dressé l’inventaire des mesures actuellement disponibles, non sans s’épargner de lever le voile sur ses intentions futures.
Des outils juridiques déjà disponibles
Ainsi, un décret du 2 mai 2007 relatif aux moyens et aux prestations de cryptologie organise « dans le cadre de la protection des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'État, un régime de déclaration ou d'autorisation auprès de l'Agence nationale de la sécurité des systèmes d'information » pour les sociétés souhaitant mettre des moyens de cryptologie à disposition du public.
De même, l'article 434-15-2 du Code pénal punit de trois ans d'emprisonnement et de 45 000 euros d'amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités ».
Cependant, une telle obligation directe trouve rapidement ses limites, reconnaît le locataire de la place Beauvau. Et pour cause, « l'obligation ne pèse toutefois que sur celui qui a connaissance de la convention secrète de déchiffrement », ce qui n’est vraisemblablement pas le cas d’Apple avec l’iPhone 6 ou des autres acteurs.
Il existe aussi des moyens indirects d’obtenir les informations « non décryptables ». Cazeneuve évoque le cas « où les données de l'appareil seraient synchronisées dans le nuage (iCloud pour Apple par exemple) et que les enquêteurs disposent des identifiants du service utilisé par le mis en cause ou sollicitent le fournisseur de service (Apple par exemple) qui appréciera l'opportunité de communiquer ces données ».
Autre possibilité : les services, judiciaires ou du renseignement, peuvent également se placer en amont du chiffrement et scruter l’ensemble des données tapotées au clavier ou affichées sur un écran ou bien encore, utiliser la bonne vieille méthode de l’anonymat, pour glaner des éléments sous le couvert d’une fausse identité.
La question de l'interception des échanges chiffrés
Enfin, reste l’interception pure et simple sur les réseaux ADSL, 3G ou 4G, des flux passant entre utilisateurs Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik, Wechat, etc., ou des téléphones mobiles. Cette possibilité trouve cependant rapidement sa contrainte puisque les flux sont brouillés : « leur mise au clair en revanche s'avère impossible ou trop longue même avec les moyens sophistiqués utilisés par certains services spécialisés ».
Pour la contourner, l’Intérieur envisage donc deux scénarios : l’un est qualifié de « temporaire » et vise à « obtenir des fournisseurs de logiciels de communications électroniques (Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik, Wechat, etc.) des clés ou des algorithmes de déchiffrement afin de pouvoir mettre au clair, presque en temps réel, les flux internet interceptés, et de les sanctionner sur le plan pénal ou administratif en cas d'absence de réponse ».
Obliger Skype à procéder à des interceptions
Peu persuadé d’obtenir gain de cause, une autre solution attise davantage les attentions : elle « consisterait à modifier le Code des postes et des communications électroniques pour redéfinir la notion d'opérateur en communications électroniques en y intégrant les fournisseurs de logiciels de communications électroniques et les obliger à procéder à des interceptions, avec fourniture des contenus qui transitent par leurs serveurs, en temps réel et en clair, aux autorités requérantes ».
Nulle surprise dans ce projet. En août, main dans la main avec son homologue allemand, Bernard Cazeneuve a déjà fait connaître son vœu de voir ces acteurs soumis à des règles similaires à celle des opérateurs de télécommunication. Projet partagé par la Commission européenne... « Si un tel acte législatif était adopté, commentait alors Cazeneuve, cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages ».
Aujourd'hui, l’article 33-1 du CPCE oblige les opérateurs déclarés à se plier aux « prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en œuvre des interceptions justifiées par les nécessités de la sécurité publique ». Mais une telle disposition laisse pour l'instant intacte les fournisseurs de services même ceux proposant des prestations en partie analogues à leurs concurrents.
Dans un échange avec nos confrères Jean-Marc Manach, l’avocat Alexandre Archambault, ex-directeur des affaires publiques de Free, cite l’article D.98-7 du CPCE, considéré comme un sérieux rappel à la réalité. De tels vœux supposent en effet que les acteurs étrangers disposent d’infrastructures sur le territoire concerné ou bien acceptent de collaborer docilement. En priant qu’un tel choix ne ruine pas leur succès auprès des utilisateurs, de plus en plus éclairés par la mode des rapports de transparence...
Commentaires (83)
#1
Même si les solutions commerciale ont des backdors, il y aura toujours des protocoles cryptés (et de nouveau).
Et les personnes ayant besoin que l’état ne les écoute pas changeront de protocole.
Donc un coup d’épée dans l’eau.
De plus la France semble un peu isolé sur le sujet en Europe.
#2
Cette photo de Cazeneuve. 
" />
" />
Ce regard….
#3
Bonjour
Sauf erreur de ma part, Skype avait été largement écouté par la NSA.
Blackberry avait laissé les autorités canadiennes écouté les messages de ses utilisateurs.
Pour ces acteurs-là je ne vois pas ce qui poserait problème à la France en particulier.
Pour les autres, par contre…
#4
“I am ! The law ! Drop ! Your weapon !”
#5
En gros, ils veulent interdire le chiffrement end-to-end chez les opérateurs ?
Si c’est cela, déjà, cela n’empêchera pas les services décentralisés d’exister. De plus, l’obligation d’interception implique d’avoir une masterkey permettant d’accéder à toutes les clés utilisées, et ça, on a quelques affaires récentes qui nous rappellent que ce n’est pas la meilleure idée en terme de sécurité pour les honnêtes utilisateurs…
#6
Question, si skype dit “rien a foutre de vos loi, on est de droit américain”, il se passe quoi ? je veux dire, meme si il mette une amende, skype est en amérique donc a moins de bloquer skype par DNS (ce qui ferrais grand bruit) je vois pas quel solution serrais possible en cas de refus de skype.
#7
Un stagiaire a réussi à faire fuiter des documents concernant un sous-marin nucléaire, donc des codes backdoor 
" />
#8
Si le gouvernement obtient ce qu’il veut, la seule alternative restera les applications/logiciels open source. Même si j’ai un gros doute sur la capacité de la France à faire pression sur les éditeurs Américains.
Dieu que nous vivons à une triste époque. Il y a une trop grande confusion sur sécurité, vie privée et avec le terrorisme j’entends beaucoup de personne accepter les lois pour la raison suivante “Je n’ai rien à cacher de toute façon”. Ces gens la ne comprennent pas la gravité de la situation.
#9
ouais enfin t’es censé respecter la législation locale pour distribuer/exploiter un produit sur un pays donné, quand même
" />
#10
Le pays est censé aussi respecter les Droits de l’Homme.
" />
#11
Ça n’existe pas déjà ?
Je veux dire si la police débarque dans une entreprise avec un mandat, elle peut déjà saisir toutes les données, incluant celles des clients.
Est-ce qu’ils n’essaieraient pas de faire cela sans juge (comme d’habitude) et de manière automatisée façon NSA ?
C’est moins sexy, présenté de cette manière …
#12
#13
C’est très bien la transparence. Pourquoi la qualifier cyniquement de “mode” ? jean-marc…
Apprendre que la France est une dictature de surveillance çà se complète très bien avec les infos de la TV française annonçant que les polonais fabriquent des milices en masse…
Et si les ministres en France étaient transparents ils nous diraient leurs portefeuilles d’action histoire de mettre en parallèle avec leurs législations.
D’ailleurs tous ces chevaliers blancs de francoisie vont nous mettre au fer les Cahuzac a la parole si franche et les économiques loisirs de la famille Valls, on en doute pas.
#14
Alan Turing serait aux anges à notre époque pour décoder Enigma 2.0-2.1-2.3-2.4, etc 
" />
" />
#15
“Mode” au sens “vague”, Marie-Chantal, pour souligner que de plus en plus de sociétés s’y mettent, même Airbnb. Ce n’est pas péjoratif…
#16
“Je n’ai rien à cacher de toute façon” demande leurs si tu peux accéder à leurs historique internet/tel/sms/banque complet, si il peuvent enlever les rideaux de chez eu et si tu peux y installer des cameras.
En général ça calme.
#17
Skype dois respecter le droit nord coréen pour exister sur le web ? le siege sociale étant aux US, le seul droit qu’elle obéit est celui des US. je veux bien qu’elle respecte le droit local quand elle vend des biens en france, mais la ? skype est un service dont des francais vont sur les serveurs US pour ddl le client, puis s’y connecter sur les serveurs US. En quoi la france peut elle donner des ordres à une sociétée US (c’est plus pour ma reflexion perso que vraiment le sujet ici hein (même si c’est en rapport))
#18
gaffe, il risque de développer le serveur quantique lui !!!
#19
Sans être en total désaccord avec ce que tu viens de dire, a contrario pourquoi le droit US devrait régner en maître sur internet?
#20
#21
Et rien à propos de Telegram ? Surprenant..
Ils doivent vraiment tous l’utiliser alors !
#22
Skype c’est Microsoft alors cazeneuve peut directement demander a la NSA son expertise. 
" />
#23
Si (entre autres)
#24
Allez y, Skype c’est has been, tout comme cette bande de décideur
#25
Haha,
ils sont trop drôles au gouvernement, il suffit, pour un terroriste d’utiliser
une app maison ou très peu connus pour contourner leur loi. Qui va empêcher aux
utilisateurs d’installer whatsapp depuis le store russe par exemple ?
RIEN !
Encore une mesure, sois disant pour contrer le terrorisme qui ne servira que leur
intérêt.
Toute la merde avec l’EL c’est en partie à cause de la France et de ces décisions.
Comme à chaque fois c’est le peuple qui ramasse pour toutes leurs erreurs.
#26
merci !
#27
Droits de l’homme*
" />
" />
*Droits de l’homme assurés jusqu’à l’Assemblée Nationale et Sénat, terminaison non garantie jusqu’à l’utilisateur.
#28
le précédent international que ce genre de législation créerait serait juste terrifiant pour les pays un peu moins respectueux des droits.
tout le monde aurait les mains libres pour écouter directement leur population.
quand on voit ce que certains font sous couvert d’interception légale, ça fait peur.
#29
La boucle locale y est gérée avec le télégraphe de Chappe. :triste:
https://fr.m.wikipedia.org/wiki/T%C3%A9l%C3%A9graphe_Chappe
#30
#31
#32
Ahhhhh la France, cette démocratie, ce pays des Droits de l’Homme…. ça fait rêver, nan ?
" />
Et bien y’a plus qu’a attendre des plugins skype basés sur PGP
#33
Nos politiques sont vraiment des ignares. Fliquez tout, ok. Et demain on reviendra à la crypto à l’ancienne :
https://fr.wikipedia.org/wiki/Les_Fran%C3%A7ais_parlent_aux_Fran%C3%A7ais#Messag…
Edit : Je veux souligner par là qu’il est impossible de contrôler la crypto, cette techno qui a plus de 2000 ans. Pourquoi ? Parce que c’est diablement simple à mettre en place et donc très compliqué à interdire, à moins d’interdire les maths.
#34
#35
#36
En l’occurrence on parle de Skype, une boite dont le siège est situé aux US. Comme le souligne Jaffalibre, Skype ne vend rien de physique mais propose un service. Si Skype envoi bouler le gouvernement français quand ils vont leur demander toutes les clés pour déchiffrer leurs conversations, que vont-ils faire ? La France va bloquer Skype ? Comment ? Ils galèrent déjà à bloquer des sites pirate, alors un service de communication… Sans compter que ça retomberai sur la gueule du gouvernement vu le nombre de citoyens qui gueulerait si Skype était bloqué par les opérateurs français.
Résumé : c’est juste une tentative de com car notre cher ministre sait très bien que ça n’a aucune chance de fonctionner. Il veut juste que cette “belle” idée soit retransmisse dans les journaux/tv pour tenter de mettre un peu de pression sur l’Europe, qui elle a par contre les moyens de faire appliquer une loi pareille si elle est voté au niveau européen.
#37
#38
Mmmh, c’est quoi déjà l’histoire de WhatsApp au Brésil ?
#39
#40
#41
C’est exactement cette idée que je suppute. Quel marge de manoeuvre à la france ? en faite c’est à quel point un pays peut appliquer ca loi sur internet ? les US peuvent car ils ont les GAFA sous leurs juridictions (pour l’instant ?).
Marc jean marc tu as une idée pour faire avancé la reflexion ? (avec un peu de chance il détient la clé du probleme ^^“)
#42
#43
On le peut, quant on est rentier.
" />
#44
Comment tu distingue un terroriste d’un non terroriste si tu vois rien?
Si tout le monde est crypté tu dois fliqué tout le monde pour savoir s’il y a des menaces dans le lot.
#45
#46
Quant à la “mode” des rapports de transparence, outre le fait qu’elle soit un vivier intéressant pour la rédaction d’articles, il est assez amusant de voir que cette “transparence” tant vantée ne soit dirigée que vers l’extérieur…
Il serait si instructif d’avoir une transparence interne à ces entreprises “chevaliers blancs” notamment en matière d’optimisation fiscale…
#47
Tu veux dire qu’avant l’utilisation massive de la crypto, l’ensemble des conversations des français étaient espionnées H24 ?
" />
Si tu lisais entièrement l’article, tu verrais qu’il s’agit de faire avec les fournisseurs de solutions de communication la même chose qu’avec les réseaux téléphoniques: faire des écoutes ponctuelles.
La logique simpliste des autorités c’est de faire du renseignement pour identifier les cibles potentielles (cercle d’amis, consultation de sites, propagande d’idées, etc.) et ensuite de passer à la phase écoute pour confirmer/infirmer ces hypothèses. En tout cas d’après ce que j’ai compris.
#48
En fait la justification de ces écoutes Skype c’est le fait que les terroristes pourraient s’en servir pour dialoguer entre eux.
La solution est simple, plutôt que de modifier le code des postes et télécommunications il suffirait de faire une loi qui interdirait aux terroristes d’utiliser Skype. Si en plus de risquer perpète pour terrorisme ils risquent en plus une amende ou de la prison avec sursis ça va sérieusement les faire réfléchir.
il suffit juste de faire un nouveau décret (une oukase comme diraient les soviétiques), bref une “oukase neuve”.
#49
#50
#51
#52
Les serveurs ne sont pas forcément aux US.
Ensuite, c’est justement le sujet sur lequel se bat MS actuellement avec le gouvernement américain : ne pas avoir à fournir aux US des données situées sur les serveurs hors des US.
#53
tu penses pas une seule seconde que les outils permettant des interceptions judiciaires “ciblées” pourraient être utilisés pour faire du systématique, voire carrément du massif?
#54
Dans le cas de GPG, ils vont faire comment ? Ou de protocole auto-hébergé ?
#55
étant donné que les cibles seront 3, ça devient vachement plus facile.
il faut bien comprendre que tout ce cirque est destiné à réduire la surface de surveillance: si tout le monde chiffre, c’est un bordel sans nom pour les services. si seuls les terro et quelques nerds paranos chiffrent, c’est beaucoup plus simple puisqu’on passe à du ciblé.
#56
#57
#58
Mais quel groupe de terroriste est assez cons pour organiser ses méfaits sur Skype ?
" />
On nous prend vraiment pour des teubés…
#59
#60
#61
#62
#63
#64
Juste pour répondre en 2 secondes: Skype appartient à Microsoft… Alors si tu crois que Microsoft va s’amuser à se mettre hors la loi en France, juste pour Skype c’est que tu es bien naïf
#65
#66
Non mais la Corée du Nord c’est un bloc de 1024 IPv4 vous enflammez pas…
" />
#67
#68
#69
#70
C’est justement parce que Skype appartient à Microsoft qu’ils peuvent s’en foutre (et oui, je sais que Skype appartient à Microsoft). Concrètement, il va se passer quoi si Skype envoi bouler la France si une telle loi est votée (vu que c’est quand même ça la question à la base) ?
Skype va se prendre une amende ? Ca va bien les faire rigoler vu les milliards de benef que génère Microsoft
Le gouvernement va bloquer Skype en France ? Voir mon post précédent
Si tu pense que Microsoft va gentiment baisser son froc et obéir à la France alors que tous les logiciels de communication ont basé leur com sur le chiffrement des communication inviolable depuis Snowden, c’est que tu es bien naïf pour reprendre ta formule ;)
#71
#72
#73
Il s’agit de pouvoir déchiffrer des échanges ciblés, pas tous les échanges, ou bien cite moi le passage de l’article qui va dans ton sens.
#74
#75
Il ne s’agit pas tant d’infrastructure que de dispositif législatif.
En plus des freins que tu indiques, il en restera quand même un majeur : le chiffrement de bout en bout avec les clés détenues seulement par les personnes qui échangent entre elles. Le droit de ne pas s’incriminer soi-même les protège contre la révélation des clés.
Toutes ces nouvelles mesures envisagées ne changerait rien dans ce cas. Et les opérateurs qui utilisent des solutions où ils possèdent les clés pourront les faire évoluer vers ce cas.
Par contre, cela permettrait d’écouter des personnes peu au fait de la technique et qui resteraient sur des solutions où elles pourraient désormais être écoutées, mais qui n’intéresseront a priori pas les services.
Donc, obliger Skype (ou autre) à procéder à des interceptions légales ne servirait pas à grand chose à par faire un peu de gesticulation médiatique.
#76
#77
Manifestement on n’a pas la même lecture de l’article.
Quand je lis Cazeneuve qui dit : “cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages”. Je comprends qu’il veut interdire le chiffrement de bout en bout chez Skype et consors.
Parce que pour que Skype puisse déchiffrer, il ne faut plus de chiffrement de bout en bout. Ou du moins plus de chiffrement de bout en bout classique ou seuls l’émetteur et le destinataire partagent la clé.
#78
Je pense que tu te trompes.
" />
Aujourd’hui Skype utilise un chiffrement qui est de plus en plus centralisé (vers le cloud) et de moins en moins de bout en bout comme ils le disent ici. Le temps où Skype était en peer to peer est très loin.
Cela les obligent donc à posséder les clés et ils peuvent ainsi déchiffrer les messages puisqu’ils ont les clés.
Je pense que Cazeneuve (ou plutôt ses conseillers) et la Commission Européenne restent dans ce cadre.
Si le flux est chiffré de bout en bout, les opérateurs ont pour seule obligation de fournir le flux chiffré aux autorités quand ils n’ont pas les clés. Et aux autorités de se débrouiller avec ces données.
Interdire le chiffrement de bout en bout est impossible maintenant, tout le monde reconnaît que ce serait pire que tout pour la protection même des intérêts supérieurs de l’État. Cela permettrait à nos concurrents (états) de nous espionner.
#79
Edit: Doublon
#80
Intéressant, merci pour les éclaircissements !
#81
#82
actuellement ça dépend des biens que possèderait skype en France. Si une décision française vient leur demander de faire des interceptions et qu’ils disent non, la France peut faire pression sur les biens qui sont sous sa juridiction.
Si Skype n’a rien de matériel en France, alors la France devra utiliser la justice US pour faire exéquaturer sa décision et les juges américains sont plutôt contre ce genre de pratiques.
Maintenant la question est plus pour Skype de savoir si ils sont prêts à assumer la publicité “négative” que le fait de ne pas “respecter” la décision leur fera.
Donc chaque pays est “souverain” et ses institutions peuvent juger et mettre des amendes, mais ensuite l’efficacité dépend des moyens de coercition à disposition de l’Etat en question
Mais ça c’est la partie juridique après difficile de dire ce qu’il pourrait en être du point de vue technique.
#83