En présentant son programme anti-terroriste, Emmanuel Macron s’est attaqué aux acteurs de l’Internet qui ne font pas assez contre les terroristes, notamment en matière de chiffrement. Mais le candidat d’En Marche ! se trompe de cible.

À deux semaines du premier tour de l’élection présidentielle, Emmanuel Macron durcit son discours. À l’occasion de la présentation de son programme consacré à la lutte contre le terrorisme, le candidat d’En Marche ! a tenu un propos résolument offensif contre les « acteurs de l’Internet », en clair les grandes entreprises de la Silicon Valley, qu’il accuse de ne pas agir suffisamment contre les terroristes.

« Jusqu’à présent, les grands groupes de l’Internet ont refusé de communiquer leurs clés de chiffrement ou leurs accès aux contenus au motif qu’ils ont garanti contractuellement à leurs clients que leurs communications étaient protégées. Cette situation n’est plus acceptable », a lancé Emmanuel Macron, flanqué du ministre de la Défense Jean-Yves Le Drian et de l’ancien patron du Raid, Jean-Michel Fauvergue.

Et l’ex-ministre de l’économie d’ajouter que « les acteurs de l’Internet, s’ils persistent dans leur position, devront assumer un jour d’avoir été complices d’attentats ».

Curieusement, Emmanuel Macron ne semble pas se souvenir de l’article 434-15-2 du code pénal qui prévoit déjà de sanctionner ceux et celles ne se pliant pas à l’obligation de coopération en vue d’obtenir le déchiffrement des messages. Cette disposition, qui concerne aussi bien le particulier que l’éditeur d’une solution de communication chiffrée, vise à empêcher une entrave à l’exercice de la justice.

Le refus de transmettre la version en clair des messages chiffrés et les conventions secrètes servant au déchiffrement est puni de 3 ans de prison et 45 000 euros d’amende et la peine est portée à 5 ans et 75 000 euros « si le refus est opposé alors que la remise ou la mise en œuvre de la convention [secrète de déchiffrement] aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets ».

Facebook Messenger.

Facebook Messenger.

En outre, dans le cas du chiffrement de bout en bout, ce ne sont pas les entreprises qui détiennent les clés de déchiffrement permettant de lire en clair les messages : ce sont les utilisateurs finaux. C’est pour cette raison, par exemple que WhatsApp n’a pu apporter qu’une aide limitée à la police britannique dans l’affaire du chauffard qui a utilisé sa voiture pour renverser des passants avant de les attaquer au couteau.

Le chiffrement de bout en bout consiste à faire en sorte que seuls les participants à une discussion puissent lire les messages qu’ils s’échangent. Quand cette sécurité est en place, même le fournisseur du service n’est pas en mesure de voir le contenu de la conversation. Il se retrouve alors dans l’incapacité de répondre favorablement aux requêtes judiciaires ou administratives de déchiffrement.

WhatsApp ne peut pas fournir d’informations que nous n’avons pas

« WhatsApp ne peut pas fournir d’informations que nous n’avons pas », avait ajouté un porte-parole, dans une autre affaire toujours relative au déchiffrement. « Nous avons coopéré dans toute la mesure de nos capacités dans cette affaire, et tout en respectant le travail important des autorités judiciaires ». En outre, les messages chiffrés ne sont pas stockés sur ses serveurs.

Et le fait est que le protocole de chiffrement utilisé par WhatsApp est très bon. Il s’agit de celui utilisé par la messagerie chiffrée Signal. Mis au point par Open Whisper Systems, une organisation montée par l’expert en cryptographie et activiste Moxie Marlinspike, il est chaudement recommandée par le lanceur d’alerte Edward Snowden : « utilisez n’importe quoi [fait] par Open Whisper Systems », dit-il.

CC Radek Szuban

CC Radek Szuban

Dès lors, en tout cas dans le cadre du chiffrement de bout en bout, s’en prendre aux entreprises de l’Internet ne sert à rien puisque ce ne sont pas eux qui ont les éléments permettant d’aboutir au déchiffrement des messages de l’utilisateur. C’est à son niveau à lui qu’il faut agir (sachant que la la Cour européenne des droits de l’homme a, dans sa jurisprudence, expliqué qu’un individu a le droit de ne pas contribuer à sa propre incrimination).

La sortie d’Emmanuel Macron a déjà fait beaucoup réagir sur les réseaux sociaux. « À quoi ça sert d’avoir Mounir Mahjoubi dans son équipe si c’est pour témoigner de sa profonde méconnaissance du sujet chiffrement ? », a taclé l’avocat spécialiste des réseaux Alexandre Archambault, rappelant que l’ancien président du Conseil national du numérique est membre de son équipe de campagne.

« Donc si je comprends bien, Macron exigera la fin du chiffrement de bout en bout sans backdoor. Les terroristes attendront d’abord le décret ? », s’interroge, un brin provocateur Guillaume Champeau, en charge des relations publiques chez Qwant, un moteur de recherche qui se targue de ne conserver aucune donnée personnelle des internautes, et fondateur de Numerama.

Emmanuel Macron a poussé la loi sur les fausses informations. // Source : Capture d'écran / France TV Info

Emmanuel Macron a poussé la loi sur les fausses informations.

Source : Capture d'écran / France TV Info

L’intégration d’une porte dérobée (backdoor) semble être en effet la seule solution qui permettrait de satisfaire la volonté d’Emmanuel Macron sur ce terrain. Mais cela ne peut se faire qu’en transformant substantiellement l’architecture des messageries concernées, ce que leurs éditeurs pourraient ne pas accepter sans procéder à un affaiblissement général de la sécurité (car une faille est une faille : si elle est exploitée par les autorités, elle peut aussi l’être par des personnes malintentionnées).

En outre, à supposer que les éditeurs acceptent de trafiquer le code source de leur logiciel pour y glisser une brèche, ce sera nettement plus compliqué dans le cas des messageries open source qui sont gérées par une communauté dont les membres sont parfois répartis aux quatre coins du monde et dont l’idéologie politique ne les amène peut-être pas tous à vouloir coopérer avec le pouvoir. Sans parler du fait qu’elles sont facilement repérables, le code source étant ouvert à tous.

Rappelons qu’en France, l’article 30 de la loi pour la confiance dans l’économie numérique affirme que « l’utilisation des moyens de cryptologie est libre ». Toutefois, il peut être vu comme une circonstance aggravante. « Lorsqu’un moyen de cryptologie […] a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission », la loi relève le maximum de la peine de prison encourue, note l’article 132-79 du code pénal.

une comparateur meilleur vpn numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !