Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Chiffrement : vertement critiqué, l’article 8ter de retour à l’Assemblée nationale

Et il n'est pas content

Chiffrement : vertement critiqué, l’article 8ter de retour à l’Assemblée nationale

Richard Ying et Tangui Morlier

La proposition de loi Narcotrafic commencera aujourd’hui son examen à l’Assemblée nationale en séance publique. À cette occasion, le gouvernement réintroduira l’article 8ter ainsi que plusieurs mesures effacées en commission des lois, dont le « dossier-coffre ». Fustigé, il a pourtant peu de chances de passer.

Le 17 mars à 12h47

L’article 8ter aura provoqué bien des hoquets dans le monde de la cybersécurité. Il ambitionnait l’obligation, pour les prestataires de services chiffrés, de fournir un moyen qui permettrait aux forces de l’ordre d’obtenir une copie des données visées. Bien que la rédaction de l’article original soit large, l’attention s’est rapidement focalisée sur les messageries dites sécurisées car utilisant le chiffrement de bout en bout.

Une porte dérobée ? « Non », a juré Bruno Retailleau, ministre de l’Intérieur, présent en commission des lois le 4 mars pour défendre cet article. Il expliquait que la solution consistait à envoyer les messages à deux destinataires en même temps : celui prévu et un tiers, masqué, représentant les forces de l’ordre ou tout agent dument accrédité. La technique dite « du fantôme », qui n’est pas une porte dérobée au sens strict, mais qui aboutit au même résultat : l’affaiblissement de la promesse du chiffrement. Une technique torpillée il y a plusieurs années par Internet Society.

L’article 8ter revient

La proposition de loi Narcotrafic commence aujourd’hui son examen à l’Assemblée nationale, en séance publique. À cette occasion, plusieurs députés proposent de réintroduire l’article 8ter avec une nouvelle rédaction, censée prendre en compte les critiques et être plus clair sur les intentions.

L’exposé de l’amendement pointe les regrets de la suppression d’un article qui aurait « rééquilibré » les obligations des opérateurs de messageries, « d’une logique d’exigence de déchiffrement généralisé des communications au bénéfice des autorités publiques à une exigence de fourniture des seuls contenus des correspondances que la loi autorise les services de renseignement à réquisitionner ». Et d’ajouter que « les travaux réalisés pour parvenir à cet amendement se sont assurés que la rédaction proposée interdit sans ambigüité toute solution technique qui reposerait sur la création d’une « porte dérobée » (ou « backdoor »), susceptible d’affaiblir le chiffrement ».

Sans ambiguïté ? Deux points sont mis en avant. D’une part, les dispositifs « doivent exclure toute possibilité d’accès par une personne autre que les agents autorisés ». D’autre part, « ces dispositifs techniques ne peuvent porter atteinte à la prestation de cryptologie visant à assurer une fonction de confidentialité ». L’exposé ajoute que les « services experts de l’État » ont garanti que des solutions techniques adaptées existaient.

L’amendement envisage des amendes de 1 500 000 euros pour les personnes physiques et jusqu’à 2 % du chiffre d’affaires mondial pour les personnes morales qui ne s’acquitteraient pas de leurs obligations. Dans le résumé, on peut lire également que « l’interpellation récente du fondateur de plateforme Telegram montre que le levier répressif est susceptible de fournir des résultats opérationnels tangibles puisque la coopération de cette plateforme avec l’autorité judiciaire s’est depuis nettement améliorée ».

Pourtant, l’exemple cadre mal : les conversations ne sont pas chiffrées de bout en bout par défaut sur Telegram. En revanche, Signal, Meta, Google, Olvid et d’autres ont été conviés ce matin à Matignon pour discuter du sujet avec François Bayrou, Premier ministre, Clara Chappaz, ministère déléguée chargée du numérique et de l’IA, et Bruno Retailleau, ministre de l’Intérieur, a indiqué Politico.

Un article ardemment souhaité par la DGSI…

Dans une interview au Journal du Dimanche, la directrice de la DGSI (Direction générale de la Sécurité intérieure), Céline Berthon, a évoqué samedi le « besoin vital » d’un mécanisme contraignant pour les messageries sécurisées, pour obtenir les données tant désirées. « Très concrètement, nous sommes aveugles sur le contenu des conversations de nos cibles », ajoute-t-elle.

Céline Berthon explique que les mêmes garanties s’appliqueront que pour les interceptions téléphoniques : sur décision du Premier ministre et après avis de la CNCTR (Commission nationale du contrôle des techniques de renseignement). Elle se veut « très claire » : « il ne s’agit absolument pas de surveillance généralisée ». Seuls les individus considérés comme des menaces car « susceptibles de préparer une action violente ».

Elle pointe que des applications comme Signal, WhatsApp ou Telegram « ne coopèrent jamais sur l’accès aux contenus ». Dans ce contexte, l’arrivée de l’article 8ter est « porteuse d’espoir ». Elle dit soutenir « à 100 % » le chiffrement, mais ce dernier ne « doit pas permettre aux gens d’enfreindre la loi ou de mettre en danger les citoyens ».

Elle regrette cependant « une mauvaise compréhension de ces enjeux ». Elle fustige aussi « certains acteurs » qui « font preuve d’une mauvaise foi » ou d’une « logique idéologique ». « On ne peut accepter de s’arrêter à l’idéologie alors que des vies de citoyens français sont en jeu », a ajouté Céline Berthon.

… et fustigé par d’autres

Le député Éric Bothorel, vent debout contre l’article 8ter et ayant fait partie de ceux ayant contribué à sa suppression en commission des lois, s’est agacé des propos de Céline Berthon. « Fort dommage qu’au travers de cette interview, la patronne de la DGSI réduise les opposants à l’article 8 Ter aux seuls arguments idéologiques ou de mauvaise foi. J'eu préféré qu’elle nous explique en quoi une backdoor est un progrès pour tous, qu’une vulnérabilité c’est génial », a-t-il réagi sur X.

Le journaliste Raphaël Grably s’étonne de son côté de « l’argument de non coopération des WhatsApp ou Signal », qu’il trouve « pour le moins étonnant ». Il rappelle que si ces plateformes « ne coopèrent pas concernant les contenus », c’est parce qu’elles « n’y accèdent pas ». Le chiffrement de bout en bout garantit en effet que les prestataires n’accèdent pas aux contenus des échanges, car une partie du chiffrement repose sur une clé présente uniquement sur l’appareil de l’internaute et auquel le prestataire n’accède pas.

Pour Gilles Babinet, coprésident du Conseil national du numérique, n’est pas tendre non plus : « Défendre ce principe de backdoor ne démontre rien d'autre qu'une inculture des principes de base du code. Le consensus des experts à ce sujet est d'une unanimité rare et il est donc doublement inquiétant que la DGSI défende une telle proposition ».

« Moins idiot que totalement crétin »

Dans un post ce matin sur LinkedIn, l’ancien directeur de l’ANSSI, Guillaume Poupard, critique encore une fois le principe même de l’amendement. Selon lui, « la question de savoir s’il s’agit ou pas de backdoors est stérile » : « Modifier des fonctions de sécurité de manière cachée afin de contrevenir à leur raison d’être, c’est introduire une porte dérobée. Point ».

Il ne « fait aucune doute » selon lui que « cette méthode est moins dangereuse que l’affaiblissement des mécanismes de chiffrement ou le séquestre des clés » de chiffrement. « Mais moins idiot que totalement crétin n’est pas nécessairement synonyme d’intelligent… », assène-t-il.

Pour Guillaume Poupard, il est clair que « modifier les mécanismes de sécurité, les protocoles comme leur implémentation, qui plus est de manière cachée, c’est la garantie de multiplier les erreurs et vulnérabilités involontaires qui pourront ensuite être exploitées par les cybercriminels ».

L'argument est central depuis de nombreuses années : on ne peut pas créer une faiblesse dans un mécanisme de chiffrement sans que des pirates s’en emparent tôt ou tard. Il n’y aurait non plus aucun moyen de vérifier « que les opérateurs de messagerie, internationaux par nature, maîtrisent bien qui a accès aux mécanismes d’interception », pas plus que de garantie pour « la sécurité des systèmes d’information associés ». Il rappelle que la tempête Salt Typhoon aux États-Unis a illustré justement tout l’intérêt du chiffrement de bout en bout.

Questions sans réponse

L’ancien directeur de l’ANSSI pose d’autres questions : commencer répondre à des demandes similaires d’autres pays ? Les industriels peuvent-ils devenir « des juges de la bonne application de l’État de droit » ? Comment refuser l’interception d’une personnalité française importante si une requête est réalisée « dans les formes » par un autre pays ?

Surtout, « que fera-t-on quand les opérateurs suspendront leurs services en France, comme Signal Messenger l'a déjà annoncé ? ». Si Guillaume Poupard n’aborde pas ce point, il faut rappeler en outre que la Maison-Blanche est désormais très jalouse de ses entreprises. Dans un communiqué, elle a pointé du doigt l’Europe et ses législations, affirmant que les sociétés américaines devaient être régies par des lois américaines.

Vincent Strubel, l’actuel directeur de l’ANSSI, s’est montré tout aussi clair : « Le chiffrement, c'est indispensable […] On ne peut pas faire de la bonne sécurité sans chiffrement. On ne peut pas tolérer un abaissement généralisé de la qualité de chiffrement qui exposerait à des menaces intolérables ».

Commentaires (20)

votre avatar
Au lieu de tourner autours du pot....
Les ronds de jambes....
"il a malencontreusement glissé dans l'escalier".

En 2025.. le second degré.. toussa :D
votre avatar
"On ne peut pas tolérer un abaissement généralisé de la qualité de chiffrement qui exposerait à des menaces intolérables"

Est-ce à dire que j'abaisse involontairement la qualité du chiffrement des paquets CPL en consommant ce qui se trouve sur la bande 35-95kHz, supposée reservée à l'usage exclusif des gestionnaires de réseaux ?
Le consommateur d'électricité Français n'est il pas devenu le dindon d'une farce technocratique ayant cherchée à contourner la norme EN 50160* pour fatalement aboutir au remboursement de la CSPE ?

*qui rend admissible 864 secondes d'émission par jour pour un maximum de +/-2,35v à 35kHz et +/- 1,2v à 95kHz (mesures moyennes sur 3 secondes). Et seulement 864 secondes...
En comparaison des niveaux d'émission supérieurs de l'EN 50065, on se demande bien comment, de l'incohérence manifeste, on peut avoir autre chose que des récupérations politiques foireuses pour protéger le camé de l'électron du camé ordinaire au profit du rétro-dealer.
votre avatar
Il est vrai que depuis Albanel, nous savons tous qu'OpenOffice est un firewall... C'est dire le niveau de ceux qui votent les lois...
votre avatar
En tout cas, au royaume des crétins et des idiots, il y en a un qui a oublié d'être con : Guillaume Poupard. C'est lui qui apporte les meilleurs arguments.
votre avatar
Du point de vue général oui, mais pour les pro vie privée / confidentialité il y a plus inquiétant
votre avatar
Moi, ce qui me rend le plus dingue, c'est que des gens comme Céline Berthon ne comprennent pas que ce type de système pourrait très vite se retourner contre eux.
Si un candidat d'extrême droite passe à la présidence et que madame Berthon lui déplaît, il y a fort à parier qu'elle se fera surveiller directement...
Et le pire, c'est encore une fois que c'est les vrais criminels qui auraient le droit à un vrai service sécurisé, car si Signal est tenu d'implémenter un système envoyant tout message en copie aux autorités, les hors-la-loi vont utiliser une copie modifiée de Signal qui, elle, n'enverra PAS la copie aux autorités...
votre avatar
« On ne peut accepter de s’arrêter à l’idéologie alors que des vies de citoyens français sont en jeu », a ajouté Céline Berthon.
C'est clair, l'idéologie des droits de l'Homme, c'est tellement surfait…
votre avatar
C'est d'ailleurs a se demander comment ils ont réussis a déjouer des attentats et a arrêter des criminels avec les outils actuels :roll:

Les méta-données sont trèèès parlante, alors oui tu ne sais pas directement combien de kg le mec va livrer mais t'es au courant de tous ses contacts, le rythme etc
votre avatar
« L'état de droit n'est pas intangible »
du même sinistre de l'intérieur cité dans l'article
votre avatar
Quoi, comment ?! Des gens utilisent les messageries pour préparer des actes illégaux ? Vite, il faut affaiblir leur chiffrement !

Quoi, comment ?! Des gens utilisent le contenu de leur slip pour commettre des actes illégaux ? Je propose qu'on oblige tous les fabricants de slip a intégrer un verrouillage automatique de tous les slips de l'Hexagone. Sur demande biométrique, le verrouillage pourra être levé, après étude par nos services. « On ne peut accepter de s’arrêter à l’idéologie alors que des vies de citoyens français sont en jeu ».
votre avatar
Tant de mauvaise foi me rend malade.
Pourquoi les méchants utilisent déjà des réseaux et des messagerie non backdoré (nouveau terme désignant le trou noir des télécoms).
votre avatar
« l’interpellation récente du fondateur de plateforme Telegram montre que le levier répressif est susceptible de fournir des résultats opérationnels tangibles puisque la coopération de cette plateforme avec l’autorité judiciaire s’est depuis nettement améliorée »
Ce lunaire est lunaire.
"Le suspect a avoué : c'est bien la preuve que la torture et la coercition sont efficaces".
« il ne s’agit absolument pas de surveillance généralisée ». Seuls les individus considérés comme des menaces car « susceptibles de préparer une action violente »
On connaît la chanson, "Overdose d'Overton".
D'abord les terroristes.
Puis leur entourage.
Puis les criminels et autres mafieux.
Puis les dealers.
Puis les voleurs de scooters.
Puis les syndicalistes.
Puis les manifestants.
Puis les écolo-crypto-islamo-gauchistes.
Puis les citoyens qui semblent avoir quelque chose à cacher.
« On ne peut accepter de s’arrêter à l’idéologie alors que des vies de citoyens français sont en jeu »
Voilà, donc où s'arrête l'idéologie pour cette personne ?
L'enveloppe autour du courrier ?
Le rideau à la fenêtre ?
La serrure dans la porte ?
Le cache sur la webcam ?
C'est trop, bien sûr.
Plus personne ne doit avoir de secret, puisque "des vies sont en jeu".
Sauf les puissants, évidemment. Eux ont le droit de se cacher, on n'est plus à l'époque de l'inquisition.

Et si on leur demandait de publier eux-mêmes leurs sms, leurs e-mails, leurs relevés bancaires ?
Demandons-leur de payer en ligne sur une connexion non sécurisé. De retirer diu cash au DAB sous les regars d'autres personnes.
Après tout, s'ils n'ont rien à se reprocher, ils peuvent tout montrer, non ?
votre avatar
Ce sujet m'étonne
On par de narcotraffic, donc y a " un peu d'argent " en jeu, il peuvent investir....
Si un jour signal, whatsapp et consort n'étaient plus chiffre pour la police, il y a fort à parier que des appli existent déjà pour les remplacer
Et au final il pourront récupérer les recettes de cuisine que mamie envoie à sa petite fille.... mais pas les trucs utiles
C'est beaucoup de bruit pour un truc qui semble complètement inutile
votre avatar
Ca affectera que les petits malfrats... qui sont déjà sur Snapchat
Et sinon que des citoyens lambda... et c'est pour ça qu'on crie
votre avatar
Les criminels s'achètent déjà des téléphones "durci" ou des applications chiffrées dédiées pour échanger entre eux sur leur méfaits:
next.ink Next
next.ink Next
next.ink Next
next.ink Next
next.ink Next

Au final, cela n'a pas arrêté les forces de l'ordre.
votre avatar
En fait ce sera très bien pour arrêter les dealers de sucre en poudre et de bicarbonate (« Allo tonton ? Pourquoi tu tousses ? »)
votre avatar
« On ne peut accepter de s’arrêter à l’idéologie alors que des vies de citoyens français sont en jeu »
Notre "Think of the children" français

Quelle honte
votre avatar
"Si vous n'avez rien à cacher, vous n'avez rien à craindre.", citation initialement attribuée à Joseph Goebbels ...
votre avatar
Et pendant que le gouvernement fait adopter au pas de course les mesures de surveillance de la loi « Narcotrafic », un autre coup de force est en train de se jouer à l’Assemblée nationale, la vidéosurveillance algorithmique (VSA).

https://blogs.mediapart.fr/la-quadrature-du-net/blog/170325/prolongement-de-la-vsa-la-petite-danse-autoritaire-du-gouvernement
votre avatar
"Une porte dérobée ? « Non », a juré Bruno Retailleau, ministre de l’Intérieur, présent en commission des lois le 4 mars pour défendre cet article. Il expliquait que la solution consistait à envoyer les messages à deux destinataires en même temps : celui prévu et un tiers, masqué, représentant les forces de l’ordre ou tout agent dument accrédité. La technique dite « du fantôme », qui n’est pas une porte dérobée au sens strict, mais qui aboutit au même résultat : l’affaiblissement de la promesse du chiffrement. Une technique torpillée il y a plusieurs années par Internet Society."

À t'il une idée du nombre de disquettes nécessaires

Chiffrement : vertement critiqué, l’article 8ter de retour à l’Assemblée nationale

  • L’article 8ter revient

  • Un article ardemment souhaité par la DGSI…

  • … et fustigé par d’autres

  • « Moins idiot que totalement crétin »

  • Questions sans réponse

Fermer