Tribunes

Edito - Qui veut tuer le chiffrement l'accuse de terrorisme

Edito - Qui veut tuer le chiffrement l'accuse de terrorisme
Bertrand Lemaire est rédacteur en chef de CIO.

Des offices gouvernementaux promeuvent le chiffrement mais le gouvernement veut l'interdire. Faut-il choisir entre sécurité et sécurité ?

Un vieux proverbe datant du XIIIème siècle l'affirme : « qui veut noyer son chien l'accuse de la rage ». Autrement dit : quand quelqu'un ou quelque chose vous gêne et que vous voulez vous en débarrasser, il suffit de trouver une accusation suffisamment grave pour justifier l'élimination sans avoir à en subir de remontrances. Aujourd'hui, ce proverbe pourrait s'appliquer au chiffrement des communications électroniques si l'on en croit les récentes déclarations de Bernard Cazeneuve, ministre de l'intérieur. Malgré l'avis récurrent de l'ANSSI.
Or, s'il y a un consensus véritablement général dans la communauté des spécialistes de la sécurité, c'est qu'il faut chiffrer les communications électroniques de manière systématique. Personne de raisonnable ne saisirait un numéro de carte bancaire sur un site web marchand s'il n'était pas affiché en HTTPS. Ce petit S signifie que la liaison entre le terminal et le serveur web est chiffrée. De ce fait, si la transmission est interceptée, le méchant pirate se retrouve avec des données inexploitables.

Le chiffrement obligatoire

De la même façon, un wi-fi domestique doit nécessairement être protégé par une clé de chiffrement. Sinon, l'Hadopi va venir vous le reprocher si jamais un méchant pirate utilise votre réseau pour s'approprier illégalement la totalité des oeuvres de David et Jonathan.
Côté entreprise, l'usage d'un VPN (Virtual Private Network) permet de créer un tunnel chiffré pour accéder à distance au système d'information d'une entreprise. Alors qu'on nous bassine avec la nécessité de se protéger de méchants pirates qui voudraient voler les secrets de nos fières et performantes entreprises, il faudrait peut-être ouvrir bien grand leurs systèmes d'information ?

Les messageries doivent être chiffrées

Si l'on s'en tient aux seuls services de messagerie -cible réelle et prioritaire de notre ministre de l'intérieur-, peut-on accepter de transmettre des données médicales dans un système de messagerie SaaS (comme le Dossier Médical Partagé) qui ne soit pas chiffré ? Même question pour la messagerie des avocats permettant l'échange de pièces procédurales dans des procès.
Car il est une évidence qui n'échappe apparemment qu'au ministre, c'est qu'un chiffrement facile à casser ou avec une porte dérobée dont l'existence serait connue, c'est presque comme pas de chiffrement du tout.
Bien entendu, l'écueil du fait que les messageries qui seraient utilisées par les réseaux terroristes soient hébergées à l'étranger a été pris en compte par Bernard Cazeneuve. Notre ministre de l'intérieur souhaite donc une initiative internationale. Or, en matière de lutte anti-terroriste comme toute lutte contre les bandes de criminels, ce qui intéresse la police, c'est avant tout le fait que deux individus sont connectés et échangent. La nature de l'échange lui-même n'est pas initialement important. Et une perquisition bien menée permet de récupérer ce que l'on veut lorsque c'est nécessaire. Ajoutons que, même sans chiffrement, repérer au sein de la masse de messages ceux qui présenteraient de manière imprévue un contenu gênant supposerait de scanner en permanence tous les messages échangés, sinon cela n'a tout simplement aucun sens. Et même dans ce cas, de simples substitutions de termes pourraient brouiller les recherches (par exemple « attentat » remplacé par « tarte aux fraises »).

Terrorisme, pédophilie... Pourquoi Internet serait-il le seul coupable ?

Pourquoi s'en prendre toujours aux outils numériques ? C'est devenu en effet un réflexe chez les politiciens, aussi systématique que d'accuser l'Europe et la Commission Européenne : quand un méchant (pédophile, terroriste...) utilise un outil numérique, il faut bannir le dit outil. Que celui-ci soit par ailleurs très utile, voire protège la population, n'a aucune importance. Que se passerait-il si le même discours était appliqué aux autres outils quotidiens ?
Il n'a échappé à personne que des automobiles (voire des camions) ont été utilisées par les terroristes ayant agi depuis les attentats de janvier 2015. Il est clair que si aucun véhicule à moteur n'avait pu être utilisé par les terroristes, beaucoup de morts auraient été évitées. Qu'attend le ministre de l'intérieur pour lancer une initiative internationale contre les véhicules à moteur ? Ou exiger un système quelconque permettant de les arrêter à distance ?

L'industrie française du numérique doit se mobiliser

Si les armes à feu et les explosifs sont déjà relativement réglementés, il reste à se préoccuper des fusils de chasse. Le ministre de l'intérieur souhaite-t-il interdire les fusils de chasse qui servent également à commettre des assassinats ? Et que dire des couteaux de cuisine utilisés pour agresser ici ou là ? Les cuisiniers ne doivent-ils pas tous être fichés S ?
Et puis quel terroriste n'a pas utilisé de morceau de papier et de stylo pour préparer ses actes ? Sus, sus, mes bons ! Bannissons papier et stylos !
La différence, c'est peut-être que les ministres et autres politiciens ne savent pas se servir d'Internet. Ils craignent ce qu'ils ignorent. Mais par contre, beaucoup ont des électeurs chasseurs ou automobilistes, voire font la cuisine. Sans oublier que certaines industries -comme l'automobile- ont des arguments (emploi, balance commerciale...) pour éviter qu'on ne les ennuie.
Peut-être faudrait-il que l'industrie française du numérique se mobilise davantage pour faire comprendre aux politiciens que, elle aussi, elle compte pour l'emploi et la balance commerciale.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    UTILISATION DES COOKIES

    En poursuivant votre navigation sur ce site,
    vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.

    Pour en savoir plus, consultez notre politique relative à la vie privée.

    La question du moment
    Constatez-vous le recours à du shadow-IT par les métiers ?