Connexion
Abonnez-vous

Pour Europol, « l’anonymat n’est pas un droit fondamental »

Charge annuelle

Pour Europol, « l’anonymat n’est pas un droit fondamental »

Flock pour Next

Au Forum économique mondial de Davos cette semaine, Catherine De Bolle, à la tête d’Europol, a lancé une nouvelle charge contre le chiffrement. La directrice de l’agence, dont les positions sont connues, a pointé du doigt les grands noms de la tech, rappelant leur « responsabilité sociale » dans la lutte contre la criminalité.

Le 24 janvier à 08h31

En avril dernier, sous l’impulsion de Catherine De Bolle, les chefs de police européens avaient lancé un appel commun contre le chiffrement de bout en bout. Le calendrier ne devait rien au hasard : Meta commençait alors à l'utiliser dans un plus grand nombre de produits, au-delà du seul WhatsApp.

« Nos maisons deviennent plus dangereuses que nos rues, car la criminalité se déplace en ligne. Pour assurer la sécurité de notre société et de nos concitoyens, nous devons sécuriser cet environnement numérique. Les entreprises technologiques ont une responsabilité sociale dans le développement d'un environnement plus sûr où les forces de l'ordre et la justice peuvent faire leur travail. Si la police perd la capacité de recueillir des preuves, notre société ne sera pas en mesure de protéger les personnes contre les crimes », avait alors martelé la directrice.

Neuf mois plus tard, la position est toujours aussi affirmée. Au Forum de Davos, Catherine De Bolle a pris la parole cette semaine, affirmant que « l'anonymat n'est pas un droit fondamental » et qu’elle rencontrerait les grandes entreprises de la tech pour aborder la question du chiffrement.

Nouvelle offensive contre le chiffrement

Le chiffrement, surtout de bout en bout, est la bête noire des forces de l’ordre depuis longtemps. Rappelons qu’avec ce type de protection, le fournisseur du service ne voit pas le contenu des échanges. Ce principe est central dans certaines messageries, comme Olvid et Signal (dont le protocole est utilisé par WhatsApp) et dans un nombre croissant de produits et services.

Depuis des années, les différentes forces de police dans le monde se plaignent du ralentissement dans les enquêtes, voire de l’impossibilité de les boucler. Sans même parler de chiffrement de bout en bout, le chiffrement « simple » peut déjà représenter une barrière. On se souvient de la vive opposition entre Apple et le FBI autour du téléphone récupéré sur un terroriste après le massacre de San Bernardino. Le FBI, qui ne possédait pas le code PIN de l’appareil (utilisé pour composer la clé de chiffrement), avait exigé d’Apple qu’elle fore dans ses propres défenses. Refus de l’entreprise et escalade, jusqu’à frôler le procès. Le FBI avait finalement utilisé une faille pour contourner le problème.

« Lorsque nous avons un mandat de perquisition, que nous nous trouvons devant une maison dont la porte est fermée à clé et que nous savons que le criminel se trouve à l'intérieur de la maison, la population n'acceptera pas que nous ne puissions pas entrer », a imagé Catherine De Bolle, comme l’a rapporté le Financial Times. « Dans un environnement numérique, la police doit être en mesure de décoder ces messages pour lutter contre la criminalité. Vous ne pourrez pas faire respecter la démocratie [sans cela] ».

Intensification des efforts

Sous sa direction, l’agence Europol a doublé ses effectifs, atteignant aujourd’hui 1 700 personnes environ. Rappelons qu’Europol a pour mission de faciliter les échanges d’informations entre les polices nationales au sein de l’Union européenne. Elle le fait dans quatre domaines : lutte contre les stupéfiants, terrorisme, criminalité internationale et pédocriminalité. Catherine De Bolle, de nationalité belge, en a pris la direction le 1er mai 2018.

C’est sous cette direction qu’Europol a remporté plusieurs importants succès, notamment avec les messageries chiffrées EncroChat et Sky ECC, conduisant à des milliers d’arrestations et des saisies record. Elle était largement impliquée également dans le démantèlement de Lockbit. Pour Catherine De Bolle cependant, ces succès sont insuffisants et mobilisent trop de moyens.

L’année dernière, Ursula von der Leyen, présidente de la Commission européenne, a déclaré qu’elle souhaitait renforcer les effectifs de l’agence. Dans l’ensemble cependant, la structure reste globalement la même. Catherine De Bolle ne s’attend pas non plus à des évolutions majeures dans le fonctionnement d’Europol avec la deuxième présidence de Donald Trump, au vu du premier mandat. Au sein d’Europol, une trentaine de postes sont occupés par des fonctionnaires américains provenant de diverses agences, dont le FBI.

La solution ? Des portes dérobées

La position d’Europol est que les messageries intégrant le chiffrement de bout en bout devraient être capables d’intégrer des portes dérobées. Sur présentation d’un mandat – et uniquement dans ce cas – les forces de l’ordre pourraient alors obtenir une copie des messages, permettant une progression décisive dans un nombre croissant d’enquêtes.

Le sujet a été mainte fois débattu. Les experts en sécurité et jusqu’aux grandes entreprises de la tech ont mis en garde contre cette idée, toujours pour la même raison : une porte dérobée, même créée pour des raisons légitimes, finira tôt ou tard par être trouvée. Il ne s’agit pas d’une faille que l’on pourra corriger aisément, mais d’une fonction du protocole de communication. Et si la porte doit être a priori utilisée par les forces de l’ordre, elle pourra l’être également par les pirates.

Si l’idée d’Europol d’un « chiffrement de bout en bout flexible » est claire, celle du reste de l’Europe ne l’est pas. Le sujet divise depuis de nombreuses années et les 27 sont loin d’être en accord, au grand dam d’ailleurs de Catherine De Bolle.

En France, des voix s’élèvent régulièrement pour les portes dérobées. C’était le cas en octobre 2023, quand Gérald Darmanin, alors ministre de l’Intérieur, déclarait : « On doit pouvoir négocier une porte dérobée ». Même propos en 2016 avec Bernard Cazeneuve, lui aussi ministre de l’Intérieur : « C'est l'un des sujets absolument cruciaux de la lutte anti-terroriste et sur lequel il faut que nous soyons en situation d'avancer et de progresser ensemble ».

Catherine De Bolle n’en démord pas toutefois. Elle a annoncé au Forum de Davos qu’elle partirait rencontrer les « Big Techs » pour évoquer le sujet. Mais à moins d’un alignement politique international et de profonds changements législatifs, il est peu probable que le sujet avance avec les entreprises américaines. Certaines d’entre elles, tout particulièrement Apple, font de la sécurité et du chiffrement un argument de vente. On se rappelle d’ailleurs qu’Apple avait tenté d’installer un dispositif proactif pour lutter contre la pédocriminalité. La levée de boucliers avait été immédiate et intense, la société renonçant finalement à son projet.

Commentaires (29)

votre avatar
Les télécoms sont soumis à une réglementation très claire dite "interception légale". Cette même réglementation a motivé l'apparition d'abord de protocoles de chiffrement indépendant (e.g. PGP) puis de logiciels tiers (e.g. Skype, Signal...) qui font tout pour ne pas y être soumis. Et c'est avec amusement que j'observe le débat publique où législateurs et autorités ne comprennent toujours pas que le droit de la cyber c'est aussi et surtout de la cyber avant d'être du droit...
votre avatar
L'anonymat n'est pas un droit fondamental, le droit à la vie privée, par contre, l'est.

Pour le reste, en cryptographie, les portes dérobées sont une connerie, et les gens qui les suggèrent devraient être écartés de ce genre de postes à responsabilité, vu le risque qu'ils représentent pour la sécurité des nations et des citoyens d'U.E. .

Mais bon, on peut imaginer que la Russie, la Chine, l'Iran et les autres ont sorti le popcorn en attendant qu'on se saborde un peu plus.
votre avatar
Déja fait par la Russie quant les US ont mis une porte dérobée dans un cisco utilisé par le GCHQ en Angleterre.
Les russes ont juste eut à mettre le leur à la place, ça la fout mal pour un servie s'occupant du renseignement et des systèmes d'information du gouvernement et des armées.
votre avatar
« l'anonymat n'est pas un droit fondamental »
Je suis d'accord.

D’ailleurs j'attends avec impatience que tous les policiers et gendarmes portent leur nom et prénom sur leurs uniformes de façon visible. Cela sera tellement plus convivial qu'un matricule anonyme, on pourra suivant notre

Mais ce n'a aucun rapport avec le chiffrement qui lui protège la sphère privée (vie privée) qui lui est un droit fondamental.

Tout comme le pseudonymat et l'anonymat protègent cette sphère privée en ligne : on peut s'exprimer sans que nos patrons, voisins, parents ou autres sachent que c'est nous qui parlons sur tout un tas de sujets sensibles (au sens données sensibles du RGPD), comme par exemple la santé, les opinions politiques, ses convictions religieuses ou ses préférences sexuelles.

Ce pseudonymat n'empêche pas la police de faire son travail : on le voit régulièrement avec des gens qui se croyaient anonymes en ligne et qui se font condamner par leurs propos ou leurs actions illégales.

Comme ça m'étonnerait qu'elle soit une imbécile (on n'arrive pas à ce poste sans de fortes compétences), c'est qu'elle nous prend, nous, pour des imbéciles. Utiliser le concept d'anonymat pour attaquer une nouvelle fois le chiffrement, c'est nous prendre pour des idiots, c'est mentir en public pour essayer d'imposer des lois qui vont mettre à mal la protection des communications des gens honnêtes. Les malfaiteurs utiliseront des moyens de chiffrement sans backdoor.

Europol veut lutter contre les malfaiteurs qui protègent leurs communications ? Qu'ils fassent comme avant l'ère du numérique : qu'ils infiltrent les méchants, qu'ils aillent sur le terrain réel ou virtuel.

Mais qu'ils arrêtent de croire que l'on peut sans risque affaiblir le chiffrement sur lequel s'appuie toute l'économie légale qui utilise le numérique.

Insister année après année sur une mauvais idée ne la fait pas devenir bonne subitement, ça montre juste que l'on manque d'idée nouvelle.
votre avatar
Comme ça m'étonnerait qu'elle soit une imbécile (on n'arrive pas à ce poste sans de fortes compétences),
Ou peut-être qu'elle valide le principe de Peter :)

Je suis d'accord avec toi sur tout le post. Qui imagine une économie avec des connexions non sécurisées à des banques ? À tout le e-commerce en HTTP, sans le "petit cadenas" qui rassure tout le monde ?

Elle fait partie de ces gens qui confondent (volontairement ou pas) l'anonymat et le pseudonymat. Le premier n'existant pas, je préfère la prendre au mot : ok pour pas d'anonymat, du coup on n'a rien à faire, c'est déjà le cas.
votre avatar
Le débat est déjà plié. Un chiffrement basé sur de la génération pseudo-aléatoire est en effet déjà inefficace et n'a pas tellement d'effet sur le pseudonymat. C'est par construction une porte dérobée non dite dont l'origine n'est pas la Police ou la Justice.

En revanche, chercher à compromettre les chiffrements efficaces, basés sur le bruit ou d'autres inputs physiques, c'est une entrave directe au droit d'auteur et ne peut constituer l'occasion de rétablir les privilèges.

On pourrait en revanche déterminer des acteurs neutres et d'utilité publique, ayant le matériel de cryptologie nécessaire pour casser les chiffrements efficaces dans le respect des droits de la défense.

Puisque ce n'est pas le cas, le module Europol à nos démocraties est désormais clairement fasciste.
votre avatar
"D’ailleurs j'attends avec impatience que tous les policiers et gendarmes portent leur nom et prénom sur leurs uniformes de façon visible. Cela sera tellement plus convivial qu'un matricule anonyme, on pourra suivant notre"


Mais c'est qu'il irait dans des manifs en plus !!!

C'est lui !!! Je l'ai vu !!! Sécurité svp, sécurité... venez vite !!!
votre avatar
Bof, ils auront leur nom sur un écusson et masqueront l'écusson avec un autre arborant une tête de mort , ou pire, une photo de Musk.
votre avatar
:yes:
votre avatar
En admettant que les portes dérobées soient techniquement réalisables (j'en doute fortement), et que n'importe qui avec la bonne clé peut accéder à plusieurs conversations : ça ne sera pas que les services de police qui vont l'utiliser, mais des personnes bien moins intentionnées partout dans le monde qui auront inévitablement mis la main sur l'accès aux données. Et quand ces données seront dans la nature, ça sera une catastrophe dont personne ne voudra porter la responsabilité.
votre avatar
On voit bien ce que donne les portes dérobées laissées volontairement dans les produits télécom :

next.ink Next

C'est illusoire de penser qu'elles ne seront utilisées que de façon légitime (et par les personnes légitimes).

On voit bien que la police utilise souvent leurs accès aux bases de données de façon non légitime (espionnage de conjoint par exemple…)
votre avatar
Ça n'a rien à voir avec une porte dérobée. C'est juste une absence de protection car protocole conçu à une autre époque.
votre avatar
Quand on ne corrige pas volontairement une faille de sécurité, entre autre, pour que les services d'écoute puissent écouter tranquillement, j'appelle ça (et je ne suis pas le seul) une porte dérobées.
votre avatar
Si tu le dis !
votre avatar
Et si la correction de la faille de sécu implique que de nombreux terminaux ne peuvent plus accéder du jour au lendemain au réseau, on fait quoi ?

La sécurité est une chose, la compatibilité (surtout dans les télécoms) en est une autre. Et la compatibilité est une obligation légale dans beaucoup de pays...

Ce n'est pas pour rien qu'aujourd'hui, on utilise encore des protocoles obsolètes comme la 2G et la 3G, notamment pour des systèmes comme les appels d'urgence dans les ascenseurs (qui est aussi une obligation légale). Car un ascenseur sans appel d'urgence fonctionnel, c'est un ascenseur qui ne doit pas être utilisable (responsabilité de l'ascensoriste).

Bref, ce n'est pas aussi simple que ça.
votre avatar
Le SS7 est super vieux ! on m'en parlait déjà en école d'ingénieur Telecom au début des années 80. L'article mis en lien par notre ami hobbit dit qu'il a été mis au point au milieu des années 1970.

Et à cette époque, ces informations de signalisation circulaient sans aucune authentification entre opérateurs téléphoniques qui étaient peu nombreux et qui se faisaient mutuellement confiance.

Alors, oui, il faudrait finir par abandonner ce système, mais c'est à faire au niveau mondial et ce n'est pas simple, sinon, comme le problème est connu depuis longtemps, ça serait fait. Les agences de sécurité des différents pays ne servent pas qu'à espionner mais aussi à protéger. Elles ont identifié le problème et si rien ne change, c'est vraiment que c'est complexe d'établir autre chose.
votre avatar
Exactement. C'est le genre d'opération qui nécessite une coordination qui dépasse, et de loin, l'échelle d'un pays.

Dans un domaine proche, ce n'est pas pour rien qu'aujourd'hui, on est toujours en IPv4, alors que ça fait 20 ans qu'on parle de pénurie des adresses. L'abandonner reviendrait à couper l'accès à de nombreux services.

Pour la petite anecdote, j'ai testé un serveur IPv6 only, qui héberge mails + site web. Autant le site web, ça passait pas trop mal (malgré quelques surprises !), autant les mails.... c'est du 50/50. C'est dingue de voir le nombre d'opérateur mail ne supporter QUE l'IPv4. Gmail/Microsoft, c'est OK. Les opérateurs français sont complètement à la ramasse.

Dans les trucs "étonnants", github par exemple, n'est dispo qu'en IPv4. Des sites spécialisés, comme linuxfr aussi. Alors des sites "hors tech"... La route est encore longue...
votre avatar
"on m'en parlait déjà en école d'ingénieur Telecom au début des années 80"

Attends, mais tu es quasiment à 2 doigts de la quille, enfin de la retraite ? (20//21 + 42//45 = ~~63//65 , non ?)
votre avatar
« Lorsque nous avons un mandat de perquisition, que nous nous trouvons devant une maison dont la porte est fermée à clé et que nous savons que le criminel se trouve à l'intérieur de la maison, la population n'acceptera pas que nous ne puissions pas entrer » ... « Dans un environnement numérique, la police doit être en mesure de décoder ces messages pour lutter contre la criminalité. »
La police a le droit de mener des investigations.
C'est à dire qu'on ne peut pas l'empêcher d'essayer de décoder les messages.

Lui faciliter la tâche c'est une autre histoire.
Est-ce qu'on impose aux fabricants de portes blindées et coffres forts de laisser des failles ?
votre avatar
Imaginons qu'on ai une porte dérobée infaillible, le problème reste de savoir si l'utilisateur de la porte est légitime ou pas.
Est-ce que madame De Bolle serait d'accord pour que la police accéde à ses échanges, si la Belgique devait tomber aux mains d'un gouvernement totalitaire ?
votre avatar
Et pourtant, les valises sécurisées dans l'aviation ont une serrure pour les douanes.

Ne suffirait-il pas de proclamer Internet comme "espace public ayant besoin de sécurité" pour réclamer ce besoin de clé de douane sur les messages ?
votre avatar
Es-tu bien sûr que personne d'autre que les douanes ont des clés pour l'ouvrir ?
Les vols dans les bagages sont assez courants.
votre avatar
Et pourtant, les valises sécurisées dans l'aviation ont une serrure pour les douanes.
La serrure TSA qui permet aux douanes d'ouvrir ta valise sans l'endommager ?

Bah, elle n'est pas obligatoire. Ce qui est obligatoire c'est d'ouvrir ta valise si la douane le demande. Si tu ne le fais pas, la douane l'ouvrira par la force.

Et concernant la sécurité d'une youtube.com YouTube...
votre avatar
La plupart des valises s'ouvrent avec un stylo. Il n'y a aucunement besoin de clé ou de clé maitre.
Pour se refermer, la clé n'est nécessaire que pour les valises équipées d'un cadenas fixe ne permettant pas aux navettes de refermer la valise.

On comprend alors mieux la mauvaise foi de certains agents entretenant l'illusion de sécurité par intérêt économique et les tentations d'utilité publique de certaines entreprises de cadenas en manque de reconnaissance de leurs supposés "recteurs d'académie".
votre avatar
Oui, je vous rejoins, c'est bien connu que ce système n'a aucune sécurité. Et pourtant, cela n'empêche pas qu'il existe encore. C'est un peu la morale de cette histoire, que les portes dérobées des messageries soient utilisées par des mauvais acteurs, c'est seulement un effet de bord, pas un blocage de la fonctionnalité.
votre avatar
Sa démonstration est nulle. Elle dit que c'est normal d'entrer dans une maison où elle sait qu'il y a un criminel mais elle demande via les portes dérobées d'entrer dans toutes les maisons. Ce n'est pas la même chose. Et comme dit plus haut, je ne parle pas d'un point de vue technique.
votre avatar
L'anonymat devrait être un droit fondamental :-/

Pas partout, certes, mais dans la majorité des endroits

Je sais que beaucoup de personnes ne seront pas d'accord avec ça mais tant pis 🤷‍♀️
votre avatar
C'est encore plus simple :
La liberté de croyance (et de non croyance) est un droit fondamental.
Le cryptème semble ici appartenir aux signes religieux ostensibles. Il faut alors inventer le cryptôme pour déclarer qu'il y a les bons et les mauvais croyants. [En appuyant sur l'idée que les non-croyants sont nécessairement les meilleurs...]

https://shs.cairn.info/revue-connexions-2018-1-page-55?lang=fr
votre avatar
🤔🤔🤔 je suis pas sûr d’avoir suivi là

Pour Europol, « l’anonymat n’est pas un droit fondamental »

  • Nouvelle offensive contre le chiffrement

  • Intensification des efforts

  • La solution ? Des portes dérobées

Fermer