Pourquoi affaiblir les systèmes cryptographiques ?

Systèmes cryptographiques et backdoors ?

Introduire des « Backdoors » pour permettre à certains services d’accéder à des messages suspects ? Techniquement complexe, cette idée divise les experts. Enjeu : la sécurité nationale mais aussi la protection de la vie privée de milliards d’internautes.

L’aménagement de portes dérobées (backdoors) pour certains services déplait à bon nombre d’experts en cryptographie. Ces derniers bénéficient par ailleurs du soutien de la CNIL et de l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Information).

La cryptologie rappelons-le incarne par l’étude du chiffrement la « science du secret ». Le chiffrement est une discipline qui comporte différentes facettes comme la cryptographie – protection par le chiffrement  – et la cryptanalyse ou comment casser un code chiffré pour faire simple.

Peut-on aménager ce type de portes dérobées (ou backdoors) pour laisser des « services » accéder aux données stratégiques pour la défense et la sécurité des États ?

Les experts soutiennent que c’est techniquement peu réalisable. En clair (sans vilain jeux de mots) un flux de données est chiffré ou il ne l’est pas. Au niveau de la finalité d’une telle option, placer des solutions de type « backdoors d’Etat » « c’est en conséquence affaiblir des systèmes cryptographiques qui par nature doivent êtres forts » expliquent les laboratoires chez les éditeurs.

Au niveau des Ministères de l’Intérieur, Euractiv site officiel européen, note que le Ministre de l’Intérieur allemand, Thomas de Maizière, a déclaré, en compagnie de Matthias Fekl, son homologue français, vouloir que les administrations des deux pays puissent demain « intercepter » les données chiffrées comme aujourd’hui les appels vocaux en s’adressant aux opérateurs télécoms. Certains candidats à l’élection présidentielles soutiennent également cette idée comme évoqué hier ici-même : Emmanuel Macron veut la fin du chiffrement de bout en bout !

Du coté de la Commission Européenne « trois ou quatre options » sont attendues pour juin 2017. Pour schématiser, sur ce dossier la position européenne se situe entre les prises de position des hommes politiques et celles des éditeurs.

Coté pays membres, Pays-Bas et Allemagne souhaitent conserver un haut niveau de protection, là où des pays comme la France et le Royaume-Uni, suggèrent un « affaiblissement légal » des mesures de sécurité (comprenez revoir les solutions de cryptographie).

Coté législation actuelle, si la clé est détenue par l’éditeur de l’application comme pour les Telcos, la loi prévoit une obligation de fournir les « conventions permettant le déchiffrement des données ». Dans ce cas –  messageries non chiffrées « de bout en bout » – les opérateurs qui détiennent les clés de déchiffrement ont l’obligation de la livrer, voire même de déchiffrer eux-mêmes. Autre option, celle du chiffrement de « bout en bout » propre aux utilisateurs de services de messageries sécurisées comme Whatsapp. Avec ce type de service, ce sont les utilisateurs qui génèrent leur propre clé pour chiffrer et déchiffrer leurs messages. On le comprend, toute la problématique est concentrée au niveau du possesseur de la clé.

Rappelons que les messageries sécurisées reposent sur un système asymétrique, c’est-à-dire que les clefs ne sont pas les mêmes pour chiffrer et déchiffrer. Donc, impossible d’intervenir « en amont » ou « en aval » pour lire les données. En fait ce sont deux philosophies qui apparaissent avec l’usage de messageries « semi-publiques» (clé en possession des opérateurs) et l’usage de messagerie « semi-privées » (clé en possession des utilisateurs).

Parmi les acteurs de services de messageries « semi-privées », Whatsapp soit plus d’un milliard d’utilisateurs dans le monde et… 60 milliards de messages chiffrés échangés chaque jour. C’est aussi le cas avec les services de Telegram et quelques autres fournisseurs de services de messageries. Avec cette technologie une fois encore, la clé n’est détenue que par l’utilisateur et son interlocuteur.

Deux pistes de réflexion sont à l’étude

La première idée défendue par une partie de la classe politique européenne, c’est l’interdiction pure et simple des messageries qui pratiquent un chiffrement de « bout en bout », ce qui est irréaliste puisqu’il y aura toujours des développeurs pour en créer de nouvelles solutions d’échanges. Si une telle une interdiction intervenait, elle serait de surcroît difficile à mettre en oeuvre car elle impliquerait vraisemblablement et arbitrairement la fermeture des services de WhatsApp, Telegram, Signal, iMessage…

La seconde option présente dans certains programmes politiques, on l’a expliqué, c’est d’obliger les hébergeurs de services de messagerie à intégrer des portes dérobées (backdoors), ce qui ne sera pas simple à mettre en œuvre voire impossible comme on l’a vu pour les application « chiffrées de bout en bout ». De plus, cette approche ne règle pas un autre problème sécuritaire : le risque que ces accès secrets soient trouvés et exploités par des puissances étrangères ou terroristes.

Reste que le problème n’est pas simple à résoudre. Ainsi, bon nombre d’informations publiées par des médias d’origine US affirment que la CIA parviendrait déjà à contourner les applications sécurisées de WhatsApp et Telegram avant qu’elles ne soient chiffrées. Étrange mais… on sait que les vulnérabilités sont nombreuses sur les solutions de sécurité et pas toujours signalées par ceux qui peuvent discrètement les exploitées. Sophos a d’ailleurs récemment communiqué au sujet de la dernière fuite WikiLeaks quant au ciblage d’Apple par la CIA !

Article invité de Jean-Philippe Bichard – www.cyberisques.com – Journaliste IT Cybersécurité / Data Protection
Follow @JPBICHARD//platform.twitter.com/widgets.js
Follow @SophosFrance//platform.twitter.com/widgets.js