Oui au chif­fre­ment, non à la liber­té

Dans cet article, nous allons voir com­ment la stra­té­gie gou­ver­ne­men­tale en matière de chif­fre­ment sup­pose de limi­ter nos liber­tés numé­riques pour favo­ri­ser une éco­no­mie de la norme à l’exclusion du logi­ciel libre. Telle est la feuille de route d’Emmanuel Macron.

Il y a quelque temps, j’ai écrit un article inti­tu­lé « Le contrat social fait 128 bits… ou plus ». J’y inter­ro­geais les vel­léi­tés gou­ver­ne­men­tales à sacri­fier un peu plus de nos liber­tés afin de pou­voir mieux enca­drer les pra­tiques de chif­fre­ment au nom de la lutte contre le ter­ro­risme. Manuel Valls, à l’époque, fai­sait men­tion de pra­tiques de « cryp­to­lo­gie légales », par oppo­si­tion, donc, à des pra­tiques illé­gales. Ce à quoi toute per­sonne moyen­ne­ment intel­li­gente pou­vait lui faire remar­quer que ce n’est pas le chif­fre­ment qui devrait être répu­té illé­gal, mais les infor­ma­tions, chif­frées ou non. L’idée de Valls était alors de pré­ve­nir de l’intention du gou­ver­ne­ment à enca­drer une tech­no­lo­gie qui lui échappe et qui per­met aux citoyens de pro­té­ger leur vie pri­vée. L’ennemi, pour qui conçoit l’État sous une telle forme archaïque, ce n’est pas la vie pri­vée, c’est de ne pas pou­voir choi­sir ceux qui ont droit à une vie pri­vée et ceux qui n’y ont pas droit. De là à la lutte de classe, on n’est pas loin, mais nous ne sui­vrons pas cette direc­tion dans ce billet…

Le chif­fre­ment, c’est bien plus que cela. C’est la capa­ci­té à user du secret des cor­res­pon­dances. Et la ques­tion qui se pose est de savoir si un gou­ver­ne­ment peut orga­ni­ser une intru­sion sys­té­ma­tique dans toute cor­res­pon­dance, au nom de la sécu­ri­té des citoyens.

Le secret, c’est le pou­voir

C’est un choix cor­né­lien. D’un côté le gou­ver­ne­ment qui, depuis Louis XI a fait sienne la doc­trine qui nes­cit dis­si­mu­lare, nes­cit regnare (qui ne sait dis­si­mu­ler ne sait régner), prin­cipe éri­gé à l’état de science avec le Prince de Machia­vel. Et de l’autre, puisque savoir c’est pou­voir, la pos­si­bi­li­té pour un indi­vi­du d’échanger en secret des infor­ma­tions avec d’autres. De tout temps ce fut un jeu entre l’autorité abso­lue de l’État et le pou­voir rela­tif des indi­vi­dus que de savoir com­ment doit s’exercer le secret de la cor­res­pon­dance.

Après qu’on eut lit­té­ra­le­ment mas­sa­cré la Com­mune de Paris, les anar­chistes les plus ven­geurs furent visés par les fameuses Lois scé­lé­rates, dont l’une d’entre elles fit dire à Jean Jau­rès qu’elle se défi­ni par « l’effort du légis­la­teur pour aller cher­cher l’anarchie presque dans les secrets de la conscience humaine ». Après une chasse aux sor­cières qui habi­tua peu à peu les Fran­çais à la pra­tique de la déla­tion, le mou­ve­ment des anar­chistes (paci­fistes ou non) ont dû se rési­gner à entre­te­nir des modes d’organisation exer­çant le secret, presque aus­si­tôt contre­car­rés par l’État de guerre qui s’annonçait. Depuis la fin du XIXe siècle, l’histoire des Répu­bliques suc­ces­sives (mais c’est aus­si valable hors la France) n’a fait que bran­dir le chif­fon rouge de la sécu­ri­té des citoyens pour bâtir des légis­la­tions afin d’assurer au pou­voir le mono­pole du secret.

Et heu­reu­se­ment. Le secret d’État, c’est aus­si un outil de sa per­ma­nence. Qu’on soit pour ou contre le prin­cipe de l’État, il n’en demeure pas moins que pour exer­cer la sécu­ri­té des indi­vi­dus, le Ren­sei­gne­ment (avec un grand R) est un organe pri­mor­dial. Le fait que nous puis­sions dis­cu­ter du secret d’État et qu’il puisse être régu­lé par des ins­tances aux­quelles on prête plus ou moins de pou­voir, est un signe de démo­cra­tie.

Néan­moins, depuis la Loi Ren­sei­gne­ment de 2015, force est de consta­ter une cer­taine concep­tion « levia­tha­nesque » du secret d’État dans la Ve Répu­blique. Il s’agit de la crainte qu’une solu­tion de chif­fre­ment puisse être éten­due à tous les citoyens.

Quand c’est le chif­fre­ment qui devient un risque

En réa­li­té c’est déjà le cas, ce qui valu quelques ennuis à Phi­lip Zim­mer­mann, le créa­teur de PGP au début des années 1990. Aujourd’hui, tout le monde peut uti­li­ser PGP, y com­pris avec des clés de plus de 128 bits. On peut dès lors s’étonner de la tri­bune signée, entre autre, par le pro­cu­reur de Paris dans le New York Times en août 2015, inti­tu­lée « When Phone Encryp­tion Blocks Jus­tice » (pdf). Selon les auteurs, « Les nou­velles pra­tiques de chif­fre­ment d’Apple et Google rendent plus dif­fi­cile la pro­tec­tion de la popu­la­tion contre les crimes ». Or, en réa­li­té, le fond de l’affaire n’est pas là. Com­ment en vou­loir à des ven­deurs de smart­phone de faci­li­ter le chif­fre­ment des don­nées per­son­nelles alors que les solu­tions de chif­fre­ment sont de toute façon dis­po­nibles ? Le tra­vail de la jus­tice ne serait donc faci­li­té qu’à par­tir du moment où les cri­mi­nels « oublie­raient » sim­ple­ment de chif­frer leurs don­nées ? Un peu de sérieux…

La véri­table inten­tion de cette tri­bune, elle est expri­mée en ces termes : « (…) les régu­la­teurs et légis­la­teurs de nos pays doivent trou­ver un moyen appro­prié d’équilibrer le gain minime lié au chif­fre­ment entier des sys­tèmes et la néces­si­té pour les forces de l’ordre de résoudre les crimes et pour­suivre les cri­mi­nels ». Il faut en effet jus­ti­fier par n’importe quel argu­ment, même le moins cré­dible, une forme de déré­gu­la­tion du Ren­sei­gne­ment tout en accu­sant les pour­voyeurs de solu­tions de chif­fre­ment d’augmenter les risques d’insécurité des citoyens. Le prin­ci­pal risque n’est plus le ter­ro­risme ou le crime, qui devient une jus­ti­fi­ca­tion : le risque, c’est le chif­fre­ment.

À par­tir de ces idées, les inter­ven­tions d’élus et de hauts res­pon­sables se sont mul­ti­pliées, sans crainte du ridi­cule fai­sant fi de tous les avis de la CNIL, comme de l’Observatoire des liber­tés numé­riques ou même du Conseil natio­nal du numé­rique. Las, ce débat ne date pas d’hier, comme Guillaume Pou­pard le rap­pelle en jan­vier 2015 : « Ce débat, nous l’avons eu il y a vingt ans. Nous avons conclu que cher­cher à inter­dire le chif­fre­ment était à la fois pas­séiste et irréa­liste. »

Si on ne peut inter­dire, il faut enca­drer : les back­doors

Voyant qu’une oppo­si­tion fron­tale à la pra­tique même du chif­fre­ment ne mène à rien, en par­ti­cu­lier parce que le chif­fre­ment est un sec­teur éco­no­mique à part entière, les dis­cours se sont peu à peu inflé­chis vers une ver­sion édul­co­rée mais scé­lé­rate : impo­ser des back­doors obli­ga­toires dans tout sys­tème de chif­fre­ment auto­ri­sé. Ne pou­vant inter­dire le chif­fre­ment, il faut trou­ver le moyen de le contrô­ler. L’idée s’est insi­nuée petit à petit dans l’appareil d’État, jusqu’à com­men­cer le tra­vail d’une pos­sible réforme.

C’est l’ANSSI (Agence natio­nale de la sécu­ri­té des sys­tèmes d’information) qui réagit assez ver­te­ment, notam­ment dans une lettre dif­fu­sée par le jour­nal Libé­ra­tion en août 20160, et signée de G. Pou­pard. Pour ce der­nier, impo­ser des back­doors revient à affai­blir le niveau de sécu­ri­té géné­ral. On lit dans sa lettre :

« Il convient de noter que les tech­no­lo­gies robustes de cryp­to­gra­phie, long­temps réser­vées à une com­mu­nau­té très res­treinte, sont aujourd’hui lar­ge­ment dif­fu­sées et rela­ti­ve­ment aisées à mettre en œuvre. Le déve­lop­pe­ment de logi­ciels non contrô­lables, faciles à dis­tri­buer et offrant un niveau de sécu­ri­té très éle­vé est par consé­quent à la por­tée de n’importe quelle orga­ni­sa­tion cri­mi­nelle.

Impo­ser un affai­blis­se­ment géné­ra­li­sé des moyens cryp­to­gra­phiques serait atten­ta­toire à la sécu­ri­té numé­rique et aux liber­tés de l’immense majo­ri­té des uti­li­sa­teurs res­pec­tueux des règles tout en étant rapi­de­ment inef­fi­cace vis-à-vis de la mino­ri­té ciblée. »

Dif­fi­cile d’exprimer com­bien G. Pou­pard a rai­son. Pour­tant le débat resur­git en février 2017, cette fois sous l’angle de la coopé­ra­tion fran­co-alle­mande. C’est une lettre offi­cielle publiée par Poli­ti­co1, signée des Minis­tères de l’Intérieur Fran­çais et Alle­mand, qui met en exergue la lutte contre le ter­ro­risme et annonce que cette der­nière…

« requiert de don­ner les moyens juri­diques aux auto­ri­tés euro­péennes afin de tenir compte de la géné­ra­li­sa­tion du chif­fre­ment des com­mu­ni­ca­tions par voie élec­tro­nique lors d’enquêtes judi­ciaires et admi­nis­tra­tives. La Com­mis­sion euro­péenne doit veiller à ce que des tra­vaux tech­niques et juri­diques soient menés dès main­te­nant pour étu­dier la pos­si­bi­li­té de défi­nir de nou­velles obli­ga­tions à la charge des pres­ta­taires de ser­vices de com­mu­ni­ca­tion par voie élec­tro­nique tout en garan­tis­sant la fia­bi­li­té de sys­tèmes hau­te­ment sécu­ri­sés, et de pro­po­ser sur cette base une ini­tia­tive légis­la­tive en octobre 2017. »

En d’autres termes, c’est aux pres­ta­taires qu’il devrait reve­nir l’obligation de four­nir aux uti­li­sa­teurs des solu­tions de com­mu­ni­ca­tion chif­frées tout en main­te­nant des ouver­tures (for­cé­ment secrètes pour évi­ter qu’elles soient exploi­tées par des mal­veillants, donc des back­doors) capables de four­nir en clair les infor­ma­tions aux auto­ri­tés.

Il est très curieux de décou­vrir qu’en ce début d’année 2017, la Com­mis­sion Euro­péenne soit citée comme garante de cette coopé­ra­tion fran­co-alle­mande, alors même que son vice-pré­sident char­gé du mar­ché numé­rique unique Andrus Ansip décla­rait un an plus tôt : « I am stron­gly against any back­door to encryp­ted sys­tems »2, oppo­sant à cela les récentes avan­cées numé­riques pour les­quelles l’Estonie est connue comme par­ti­cu­liè­re­ment avant-gar­diste.

La feuille de route du gou­ver­ne­ment Macron

Nous ne sommes pas au bout de nos sur­prises, puisqu’on apprend qu’en bon élève, notre Pré­sident E. Macron fraî­che­ment élu, repren­dra cette coopé­ra­tion fran­co-alle­mande. Inter­ro­gé à pro­pos de la cyber­sé­cu­ri­té par le mathé­ma­ti­cien Cédric Vil­la­ni, il l’affirme en effet dans une vidéo publiée par Science et Ave­nir (source directe) :

C. Vil­la­ni : « J’ai une ques­tion sur le domaine numé­rique, qui va être plus tech­nique, c’est la ques­tion sur laquelle on est en train de plan­cher au Conseil Scien­ti­fique de la Com­mis­sion Euro­péenne, ça s’appelle la cyber­sé­cu­ri­té. C’est un sujet sur lequel on nous a deman­dé de plan­cher en tant que scien­ti­fiques, mais on s’est vite aper­çu que c’est un sujet qui ne pou­vait pas être trai­té juste sous l’angle scien­ti­fique parce que les ques­tions poli­tiques, éco­no­miques, étaient mêlées de façon, heu, indé­mê­lable et que der­rière il y avait des ques­tions de sou­ve­rai­ne­té de l’Europe par rap­port au reste du monde…

E. Macron : « le sujet de la cyber­sé­cu­ri­té est un des axes abso­lu­ment essen­tiel et on est plu­tôt en retard aujourd’hui sur ce sujet quand on regarde… Le pays qui est le plus en pointe, c’est Israël qui a fait un tra­vail abso­lu­ment remar­quable en construi­sant car­ré­ment une cité de la cyber­sé­cu­ri­té, qui a un rap­port exis­ten­tiel avec cet aspect… et les États-Unis… nous sommes en retard… il en dépend de notre capa­ci­té à nous pro­té­ger, de notre sou­ve­rai­ne­té numé­rique der­rière, et notre capa­ci­té à pro­té­ger nos sys­tèmes puisqu’on agrège tout dans ce domaine-là.

Je suis assez en ligne avec la stra­té­gie qui avait été pré­sen­tée en France par Le Drian, sur le plan mili­taire. Le sujet, c’est qu’il faut le désen­cla­ver du plan mili­taire. C’est un sujet qui dépend du domaine mili­taire, mais qui doit éga­le­ment pro­té­ger tous les sys­tèmes experts civils, parce que si on parle de cyber­sé­cu­ri­té et qu’on va au bout, les sys­tèmes scien­ti­fiques, les sys­tèmes de coopé­ra­tion uni­ver­si­taire, les sys­tèmes de rela­tion entre les minis­tères, doivent être cou­verts par ce sujet cyber­sé­cu­ri­té. Donc c’est beau­coup plus inclu­sif que la façon dont on l’aborde aujourd’hui qui est juste « les sys­tèmes experts défenses » et qui est très sec­to­riel. La deuxième chose, c’est que je pense que c’est une stra­té­gie qui est euro­péenne, et qui est au moins fran­co-alle­mande. Pour­quoi ? parce que, on le sait, il y a des sujets de stan­dards, des sujets de nor­ma­li­sa­tion qui sont assez tech­niques, et qui font que si on choi­sit une option tech­no­lo­gique plu­tôt qu’une autre, en termes de chif­fre­ment ou de spé­ci­fi­ca­tions, on se retrouve après avec des non-com­pa­ti­bi­li­tés, et on va se retrou­ver — on est les cham­pions pour réus­sir cela — dans une bataille de chif­fon­niers entre la France et l’Allemagne. Si on veut avoir une vraie stra­té­gie en la matière sur le plan euro­péen, il faut d’abord une vraie stra­té­gie fran­co-alle­mande, une vraie conver­gence nor­ma­tive, une vraie stra­té­gie com­mune en fran­co-alle­mand, en termes, pour moi, de rap­pro­che­ment des uni­vers de recherche, de rap­pro­che­ment des inté­rêts mili­taires, de rap­pro­che­ment de nos experts en la matière. Pour moi c’est 1) un vrai sujet de prio­ri­té et 2) un vrai sujet d’organisation en interne et en externe. Quand je m’engage sur le 2% en Défense, j’y inclus le sujet cyber­sé­cu­ri­té qui est abso­lu­ment cri­tique. »

La posi­tion d’E. Macron entre donc dans la droite ligne de la satis­fac­tion des dépu­tés en faveur d’une limi­ta­tion du chif­fre­ment dans les usages indi­vi­duels, au pro­fit a) d’une aug­men­ta­tion capa­ci­taire du chif­fre­ment pour les auto­ri­tés de l’État et b) du ren­for­ce­ment des tran­sac­tions stra­té­giques (ban­caires, com­mu­ni­ca­tion­nelles, coopé­ra­tion­nelles etc.). Cela ouvre à la fois des pers­pec­tives de mar­chés et tend à conci­lier, mal­gré les cri­tiques et l’inefficacité, cette fameuse limi­ta­tion par solu­tion de back­doors inter­po­sée.

Pour que de telles solu­tions existent pour les indi­vi­dus, il va donc fal­loir se tour­ner vers des pres­ta­taires, seuls capables à la fois de créer des solu­tions inno­vantes et d’être auto­ri­sés à four­nir au public des ser­vices de chif­fre­ment « back­do­ri­sés ».

Pour cela, c’est vers la French Tech qu’il va fal­loir se tour­ner. Et cela tombe plu­tôt bien, puisque Mou­nir Mah­jou­bi, le direc­teur de la cam­pagne numé­rique d’Emmanuel Macron et sans doute futur dépu­té, en fai­sait la pro­mo­tion le 11 mai 2017 sur France Inter3, tout en plai­dant pour que les « fran­çais créent une culture de la sécu­ri­té en ligne ».

Il faut donc bien com­prendre que, bien que les indi­vi­dus aient tout inté­rêt à chif­frer leurs com­mu­ni­ca­tions au moins depuis l’Affaire Snow­den, l’objectif est de les encou­ra­ger :

  • pour asseoir notre auto­no­mie numé­rique natio­nale et moins prê­ter le flanc aux risques sécu­ri­taires,
  • dans le cadre de solu­tions de chif­fre­ment back­do­ri­sées,
  • en pous­sant des start-up et autres entre­prises de la French Tech à pro­po­ser qui des logi­ciels de chif­fre­ment qui des mes­sa­ge­ries chif­frées de bout en bout, conformes aux normes men­tion­nées par E. Macron et dont la coopé­ra­tion fran­co-alle­mande dres­se­ra les pre­miers éta­lons.

Dans ce domaine, il va de soi que les solu­tions de chif­fre­ment en cours aujourd’hui et basées sur des logi­ciels libres n’auront cer­tai­ne­ment plus aucun doit de cité. En effet, il est contra­dic­toire de pro­po­ser un logi­ciel libre doté d’une back­door : il serait aus­si­tôt modi­fié pour sup­pri­mer cette der­nière. Et, d’un autre côté, si des normes viennent à être éta­blies, elles seront déci­dées à l’exclusion de toute ten­ta­tive de nor­ma­li­sa­tion basée sur des chif­fre­ments libres exis­tants comme PGP, GNUPG

Si nous résu­mons

Il suf­fit de ras­sem­bler les idées :

  • tout est en place aujourd’hui pour pous­ser une limi­ta­tion de nos liber­tés numé­riques sous le recours fal­la­cieux d’un encou­ra­ge­ment au chif­fre­ment mais doté de solu­tions obli­ga­toires de portes déro­bées,
  • l’État assu­re­rait ain­si son pou­voir de contrôle total en pri­vant les indi­vi­dus de tout droit au secret abso­lu (ou qua­si-abso­lu, parce qu’un bon chif­fre­ment leur est aujourd’hui acces­sible),
  • les solu­tions libres pour­raient deve­nir inter­dites, ce qui annonce alors la fin de plus de vingt années de lutte pour que des solu­tions comme PGP puissent exis­ter, quitte à impo­ser aux entre­prises d’utiliser des nou­velles « normes » déci­dées de manière plus ou moins uni­la­té­rales par la France et l’Allemagne,
  • cette stra­té­gie, bien que pro­fon­dé­ment inutile au regard de la lutte contre le ter­ro­risme et la sécu­ri­té des citoyens, sert les inté­rêts de cer­taines entre­prises du numé­rique qui trouvent dans la poli­tique de E. Macron une ouver­ture que le gou­ver­ne­ment pré­cé­dent refu­sait de leur ser­vir sur un pla­teau en tar­dant à déve­lop­per davan­tage ce sec­teur.

Je me suis sou­vent expri­mé à ce pro­pos : pour moi, le chif­fre­ment des com­mu­ni­ca­tions des indi­vi­dus grâce au logi­ciel libre est une garan­tie de la liber­té d’expression et du secret des cor­res­pon­dances. Aucun État ne devrait inter­dire ou dégra­der de telles solu­tions tech­no­lo­giques à ses citoyens. Ce qui dis­tingue un État civi­li­sé et démo­cra­tique d’une dic­ta­ture, c’est jus­te­ment cette pos­si­bi­li­té que les capa­ci­tés de ren­sei­gne­ment de l’État puissent non seule­ment être régu­lées de manière démo­cra­tique, mais aus­si que le chif­fre­ment, en tant qu’application des lois mathé­ma­tiques, puisse être acces­sible à tous, sans dis­cri­mi­na­tion et rendre pos­sible l’exercice du secret par les citoyens. Pro­blème : aujourd’hui, le chif­fre­ment libre est remis en cause par la stra­té­gie gou­ver­ne­men­tale.


Cré­dit image : Back­door Spies, By EFF-Gra­phics – Own work, CC BY 3.0 us (on Wiki­pe­dia).


Notes

0. Page archi­vée, fichier PDF de la lettre.

1. Voir aus­si sur le site du Minis­tère de l’Intérieur.

2. Page archi­vée.

3. Ver­sion PDF.

Christophe

Fram(hack)tiviste, je fais du vélo et je mange des châtaignes.