En Russie, les entreprises étrangères souhaitant commercialiser des logiciels et produits électroniques doivent montrer patte blanche et révéler leur code source, sous peine de blocage. Alors que certaines acceptent et d’autres pas, Telegram est particulièrement sur la sellette. Son fondateur, Pavel Durov, refuse en effet catégoriquement.

Depuis 2014, plusieurs lois et projets de loi donnent le ton en Russie. Le pays s’est clairement avancé sur le terrain du contrôle aigu des logiciels, services et produits électroniques divers qui souhaiteraient profiter de ce vaste marché.

Depuis le 1er janvier 2017, les éditeurs ont deux obligations. D’une part, stocker localement toutes les données des utilisateurs, donc sur des serveurs situés en Russie. D’autre part, révéler leur code source si le FSB (Federal Security Service, ex-KGB) le réclame. L’examen est censé prendre place dans des locaux d’entreprises indépendantes servant de relais. Beaucoup ont accepté.

Telegram, pratiquement accusé de faciliter le terrorisme, a jusqu’à présent refusé. Le service de messagerie est désormais menacé de blocage complet en Russie par le régulateur national des télécoms.

L’examen du code source pour des raisons de sécurité

Officiellement, le code source est inspecté pour des raisons de sécurité. Dans le contexte particulièrement tendu entre les États-Unis et la Russie suite à l’annexion de la Crimée par cette dernière, le FSB craint que les produits américains soient percés de petits trous laissés par les agences américaines.

Ces examens prennent place dans des locaux appartenant à des sociétés privées spécifiquement autorisées par le FSB à mener ces opérations. Reuters, qui s’est entretenu avec l’une d’entre elles, Echelon, indique que des salles spéciales sont mises à disposition des entreprises étrangères, qui en contrôlent l’équipement. Le code source n’est ainsi pas censé pouvoir être copié ou modifié.

Des sociétés telles que Cisco, IBM, SAP, HP ou encore McAfee ont autorisé cette inspection. D’autres, comme Symantec, ont refusé, toujours d’après nos confrères. Selon l’éditeur, l’indépendance des entreprises russes n’était tout simplement pas assez marquée. Conséquence, il n’a pratiquement plus aucune activité commerciale en Russie.

La Russie peut se débarrasser de Telegram

Depuis maintenant quelques années, Telegram fait figure d’épine dans le pied de la Russie. Fondateur et PDG de l’entreprise, Pavel Durov était considéré fut un temps comme le « Mark Zuckerberg russe », notamment parce qu’il était à l’origine de Vkontakte, l’équivalent russe de Facebook.

Il s’est cependant démarqué par des prises de position claires sur la sécurité et son intransigeance sur l’examen du code source. Il a ainsi refusé jusqu’à présent l’inspection du code par le réseau d’entreprises agréées par le FSB, tout comme le stockage local des données. Telegram peut donc désormais être entièrement bloqué d’un jour à l’autre.

La pression exercée est particulièrement lourde. Dans un communiqué paru lundi, le BSD a indiqué que les terroristes avaient pu planifier l’attaque du 3 avril grâce à Telegram. Cet attentat avait pour rappel été perpétré dans le métro de Saint Pétersbourg, faisant 15 morts et 45 blessés. Or, ce n’est pas la première fois que Telegram est ainsi visé. Pavel Durov a quant à lui répondu que depuis le début du mois de juin seul, plus de 5 000 groupes associés à l’extrémisme avaient été supprimés. Telegram dispose d’ailleurs d’un canal spécifique donnant au jour le jour les groupes liés à Daech fermés par la plateforme (255 hier par exemple).

La messagerie est également utilisée au Kremlin

Problème, Telegram n’est pas seulement utilisé par des terroristes, loin de là. Outre le grand public, le Washington Post rappelle que de nombreux membres du Kremlin s’en servent aussi, notamment Dmitry Peskov, porte-parole de Vladimir Poutine. Dans un entretien donné lundi à des journalistes, Perskov a cependant indiqué : « Si les services de cette messagerie deviennent inaccessibles, nous migrerons vers une autre. Nous verrons ce qui est le plus pratique. Dans le cas présent, il y a de la concurrence et de la diversité ».

Pour Durov, la Russie se sert toutefois de ce prétexte pour renforcer son contrôle sur les communications et la population. Il insiste également sur les dangers d’un affaiblissement général du chiffrement, qui mettrait en danger le pays lui-même. Le risque terroriste ne disparaîtrait pas, puisqu’il leur suffirait d’utiliser des téléphones à usage unique.

Le chiffrement reste au cœur des débats

Que la Russie veuille inspecter le code source pour y chercher des menaces peut paraître légitime. Mais il faut rappeler que cet examen donne une autre occasion : celle de détecter d’éventuelles failles de sécurité. Quand on connait l’importance de ces dernières dans la « cyberguerre » qui se joue entre gouvernements, entreprises et groupes de pirates et le double rôle d’attaque/défense du FSB, on imagine sans peine le potentiel.

Reste que la Russie est loin d’être le seul pays à avoir une dent contre les solutions de messagerie un peu trop bien protégées. Dans le plan de lutte contre le terrorisme, révélé par Emmanuel Macron et Therasa May, il est ainsi prévu de renforcer la coopération avec les entreprises, pour faciliter la récupération des données en cas de besoin.

Techniquement, tous ou presque se récrient devant l’usage de portes dérobées et, plus globalement, devant l’affaiblissement du chiffrement. Dans le plan Macron/May, il est ainsi bien mentionné un « accès au contenu chiffré » mais « sans portes dérobées ». En cas de chiffrement de bout en bout cependant, l’un ne peut pas aller sans l’autre, puisque l’éditeur, quel qu’il soit, ne devient qu’un relais pour des informations dont il ne possède pas la clé. Sans introduire spécifiquement de faiblesse dans ce type de solution, aucune chance donc de récupérer quoi que ce soit.

Il n’est donc pas étonnant dans un tel contexte que des entreprises comme Facebook, Microsoft, Twitter et YouTube se soient unies pour créer un forum, dans lequel elles regroupent depuis décembre dernier les informations et empreintes liées aux contenus considérés comme extrémistes. En plus de leur « responsabilité » et des bénéfices en termes d’images, elles espèrent peut-être également afficher assez de bonne volonté pour qu’aucun gouvernement ne vienne réclamer l’ajout de lucarnes dans leurs services.

Une pression qui ne va faire qu'augmenter

En attendant, la pression risque de continuer à s'accumuler. La Duma, équivalent russe de l'Assemblée nationale, a ainsi introduit le mois dernier un projet de loi visant à supprimer l'anonymat en ligne. Son effet rejaillirait sur de nombreux services, en interdisant par exemple toute solution de messagerie où les utilisateurs ne pourraient pas être clairement identifiés.

Dans un tweet du 11 juin, Pavel Durov indiquait également qu'au cours d'une semaine de visite aux États-Unis, les agences du pays auraient tenté par deux fois de soudoyer les développeurs de Telegram. Lui-même aurait subi des pressions du FBI pour implanter une ou plusieurs portes dérobées dans la messagerie. Celle-ci n'est d'ailleurs pas la seule concernée dans ce domaine. Pour rappel, WhatsApp, chiffré par défaut de bout en bout, avait été bloqué plusieurs fois au Brésil, la filiale de Facebook étant dans l'impossibilité de remettre des contenus de conversation.

During our team's 1-week visit to the US last year we had two attempts to bribe our devs by US agencies + pressure on me from the FBI.

— Pavel Durov (@durov) 11 juin 2017