La Commission européenne aurait dans ses projets trois ou quatre options pour permettre l’accès aux données chiffrées des services en ligne. Il s'agirait d'aligner leurs obligations légales avec celles des opérateurs télécoms.

Le chiffrement n'a pas les faveurs des gouvernements européens (2).

Il y a quelques jours, la secrétaire d'État à l'Intérieur britannique réclamait encore publiquement que les services de messagerie soient obligés de leur ouvrir leurs données déchiffrées à la police. Selon des informations, la Commission européenne s'apprêterait à le suivre, en proposant des solutions pour accéder aux messages de services comme WhatsApp.

Dans leur discours, les autorités mettent souvent en balance la vie privée et le travail de la police.

Mais, il est encore difficile d'avoir les preuves concrètes des difficultés que poserait le chiffrement aux forces de l'ordre au quotidien.

Alors que les opérateurs collaborent historiquement avec les autorités, notamment en raison de  législations spécifiques, les services de communication en ligne veulent surtout effacer l'image laissée par les révélations Snowden, en imposant peu à peu le chiffrement de bout en bout.

ð Avec des clés privées chez les internautes, des outils comme Facebook Messenger, Signal, Telegram ou WhatsApp affirment ne pas accéder au contenu des messages.

L'approche est bien différente des opérateurs français par exemple, qui suivant cette charte, chiffrent les emails de leurs clients, en ne protégeant que la couche de transport, pour les stocker en clair afin d’en laisser l'accès à la police ou aux services de renseignement.

Le problème du chiffrement de bout en bout, voire plus largement de la confidentialité des messages, a été signalé à de nombreuses reprises par le gouvernement français, qui affirme sa volonté de pouvoir accéder coûte que coûte aux données privées des internautes.

Face à cela, l'Agence nationale de sécurité des systèmes d'information (ANSSI), la CNIL et le Conseil national du numérique ont multiplié les interventions pour défendre un chiffrement fort, sans compromis.

L'ANSSI rappelle que le chiffrement est une condition de la confiance dans le numérique, donc essentiel à l'économie.

Dans son dernier rapport annuel, la CNIL a pour sa part réaffirmé son opposition à des « portes dérobées » dans les outils de chiffrement, assimilables à des failles de sécurité volontaires.

Les techniques de  chiffrement

Le débat sur le chiffrement des données est donc relancé. Dans une interview à Yahoo ! News le patron de la National Security Agency (NSA) assurait  que le chiffrement avait empêché de déjouer les attentats de Paris, le 13 novembre dernier

Il n’est pas inutile de rappeler les techniques mises en œuvre.

Selon François Paget, expert en cybercriminalité et Secrétaire général adjoint du Club de la sécurité de l'information français (Clusif) le chiffrement est  «un procédé de cryptographie qui rend la compréhension d'un document impossible à toute personne qui n'a pas la clé de déchiffrement ».

Le chiffrement est utilisé pour protéger des informations qui se veulent confidentielles, en empêchant un tiers d'y avoir accès.

Des données sont chiffrées quand elles  ont été codées à l'aide d'un algorithme.

Elles deviennent alors illisibles.

Seules les personnes qui disposent d'une clé de déchiffrement bien précise peuvent déchiffrer ces données et les lire sous leur forme d'origine.

 Une clé de déchiffrement est généralement une suite de chiffres.

 Elle peut aussi se présenter comme une séquence hexadécimale incompréhensible, en fonction du système utilisé pour le chiffrement.

Un document peut être chiffré de manière plus ou moins forte

« Aujourd'hui on a l'habitude d'utiliser des clés de 1024 ou 2048 bits. Une clé de déchiffrement de 1024 bits correspond à un nombre compris entre 300 et 600 chiffres », indique François Paget.

 En dessous de 300 chiffres, la sécurité du document sera moins assurée.

Le terme « cryptage » est souvent utilisé dans le langage courant pour parler de « chiffrement ».

Mais ce terme de cryptage est souvent utilisé à tort. Beaucoup de personnes utilisent le mot «cryptage » car en anglais on dit crypted. Mais à tort.

 Les vrais termes sont « chiffrement » / «déchiffrement» (quand on connaît la clé de déchiffrement) et «décryptage » quand on n'a pas la clé de déchiffrement mais qu'on arrive à casser le code pour retrouver le message original, explique François Paget.

Comment peut-on échanger des messages chiffrés ?

Il y a plusieurs manières d'utiliser le chiffrement. Il existe par exemple des logiciels de cryptographie qui permettent d'échanger des messages sécurisés, comme PGP (Pretty Good Privacy).

L'expéditeur et les destinataires du message doivent tous les deux l'avoir installé pour s'envoyer des e-mails chiffrés.

Chacun doit au préalable s'envoyer, par le biais d'un autre canal, un fichier contenant une clé de déchiffrement à intégrer dans le logiciel pour avoir accès au message décodé.

Certains équipements, comme des smartphones, possèdent un système de chiffrement.

Après plus de 10 essais de code PIN infructueux, les données vont s'autodétruire.

Il existe également des applications mobiles qui permettent d'échanger des messages chiffrés.  

Depuis que Snowden a dévoilé les pratiques de la NSA dans le domaine de l'espionnage, de nombreuses sociétés se mettent à proposer à leurs clients de chiffrer leurs données pour assurer leur confidentialité.

Parmi les applications réputées ultra sécurisées on trouve ainsi SilentCircle, Redphone, ChatSecure ou encore Wickr.

L'an dernier, plusieurs médias anglo-saxons rapportaient que l'Etat islamique (EI) était très présent sur l'application mobile Telegram  (1).

Selon François Paget, « elle utilise le chiffrement de bout en bout entre les deux personnes qui dialoguent ».

Ce chiffrement se fait automatiquement par l'application.

« Dès qu'on tape son message dans Telegram, il est crypté au vol », indique François Paget.

Est-il impossible de déjouer le chiffrement ?

Sur Telegram,  c’est impossible répond François Paget. : «Dès que la conversation via l'application est terminée, elle s'autodétruit. Pour pouvoir intercepter l'échange il faut avoir la clé de déchiffrement et le faire en temps réel », assure-t-il.

En ce qui concerne un logiciel comme PGP, c'est compliqué également : « Si l’on a conservé un message, même chiffré, quelqu'un qui veut vous espionner peut le prendre et essayer de casser le code pour le déchiffrer.

« Si la clé de déchiffrement fait 1024 ou 2048 bits, il est impossible pour un hacker de décrypter le message, c'est-à-dire de le décoder sans avoir cette clé ».

 « Il faudrait faire tourner des dizaines et des dizaines de puissants ordinateurs en même temps, et pendant plusieurs années, pour la retrouver», souligne François Paget !

(1)           Telegram :

Créée par les frères Pavel et Nikolaï Dourov, l'arme anti-espion a été rapidement adoptée dans le monde.

Elle a bénéficié d'un concours de circonstances: le rachat de la messagerie concurrente, WhatsApp, par Facebook, en février 2014.

L'opération a provoqué la fuite vers Telegram de nombreux mobinautes, redoutant de voir leurs données privées exploitées à des fins publicitaires.

Début 2016, l'application des frères russes franchit la barre des 100 millions d'utilisateurs.

Les fondateurs vont en profiter pour souligner la gratuité de leur produit et garantir l'absence de publicité.

Selon Pavel Dourov : «Toutes les discussions sont chiffrées. Les communications secrètes sont sécurisées d'un bout à l'autre de la chaîne et les clefs sont disséminées dans plusieurs centres basés dans divers pays, eux-mêmes soumis à des lois différentes. Il faudrait un niveau de coopération internationale sans précédent pour nous contraindre à fournir ces éléments »

En France, les services de lutte contre le terrorisme se plaignent de ce réseau, mais des politiques français, eux, ne se privent pas de l’utiliser comme, semble-t-il, d’après la presse, Jean-Luc Mélenchon, Emmanuel Macron ou Christian Estrosi….notamment.

(2)          Voir notamment :