Gauche, droite, état, procureurs, policiers, services ou agences de renseignement et, de plus en plus, citoyens, s’embarquent dans une campagne contre le chiffrement. Ce truc qu’ils appellent « cryptage » par abus de langage.
Des Etats-Unis d’Amérique à la France en passant par l’Angleterre, la campagne de communication instaurée à l’encontre du chiffrement fait rage.
Analyse… Une nouvelle fois, peut-être dans le vent. Je vais tenter d’expliquer pourquoi il est impossible, et dangereux, d’affaiblir le chiffrement.
Le point de vue
Résumons rapidement les positions défendues. D’un côté nous avons tout ce qui s’apparente, de près ou de loin, aux forces de l’ordre et à la justice. Pour ces derniers, le chiffrement est une plaie et complique le travail de tout le monde. De plus en plus de sociétés protègent les données de leurs utilisateurs, leurs conversations, échanges, données, qu’elles soient stockées en local comme sur un téléphone ou dans le « cloud ». Pour les personnes opposées au chiffrement, il faut que cela cesse.
Ils partent du principe que cela rend « aveugle », qu’il devient impossible d’écouter des personnes, d’intercepter des échanges. Qu’il devient impossible d’anticiper des passages à l’acte ou des attentats. Certains vont jusqu’à déclarer que les sociétés qui protègent les données de leurs utilisateurs se rendent complices des terroristes… Je vais considérer que c’est l’ignorance qui fait parler ces personnes. Même s’ils sont sacrément ignorants pour déclarer de telles conneries.
De l’autre côté, nous avons des experts, des agences de sécurité comme l’ANSSI, des geeks, des hackers, des journalistes, des éditeurs de logiciels, des fournisseurs de matériel… qui, eux, défendent le chiffrement. Pour eux, c’est la pierre angulaire du monde actuel, c’est grâce à l’ensemble des techniques de chiffrement des échanges qu’Internet est ce qu’il est.
Ils partent du principe suivant : le chiffrement permet de protéger des échanges et permet d’obtenir un minimum d’intimité et de sécurité. Il apporte également une solution de confiance dans les échanges commerciaux, plus que concernés par la protection des échanges et des transactions financières. Enfin, le chiffrement permet aussi à certains de pouvoir s’exprimer sans se faire arrêter, de pouvoir exfiltrer des informations qui n’auraient pas pu sortir autrement.
Les souhaits
Pour les « anti », la solution est simple : soit on interdit le chiffrement, soit on le limite assez pour qu’il soit « cassable », soit on le « backdoor ». Ce qui signifie, pour les profanes, qu’on cache une porte dérobée à l’intérieur du code ou du programme afin de pouvoir y rentrer un peu quand on le souhaite.
Bien sûr, pour ces personnes, l’usage de ces backdoors serait strictement réservé aux services et agences de renseignement ainsi qu’aux forces de l’ordre.
Peut-on interdire le chiffrement ?
La réponse est simple : c’est non. D’abord parce que l’interdire reviendrait à l’interdire pour tout le monde, donc, à exposer l’ensemble de nos données à n’importe qui. Exit la sécurité de votre application « ma banque », qui vous permet de gérer votre compte depuis votre Smartphone. Terminé la protection de vos photos, de vos mails, de vos échanges personnels ou intimes. Terminés, aussi, les paiements en ligne, donc l’e-commerce, plus de Paypal, d’Amazon, d’EBay…
Le limiter alors ?
Non plus. L’explication est plus longue, même si elle reste simple. La première chose à garder en tête est la suivante : aucune technique de chiffrement, aucun algorithme, absolument rien n’est parfait et incassable. On dit d’un système qu’il est de confiance lorsque les moyens à mettre en place pour le briser sont trop importants, soit en termes de ressources et de puissance de calcul, soit en termes de temps. Ainsi, s’il faut 300 000 000 000 ans et toute la puissance de calcul de la planète pour casser quelque chose, on dira qu’il est assez solide.
Assez solide ne veut pas dire incassable, cela signifie plutôt « avec les moyens actuels, ce truc est solide ».
Ce qui signifie aussi « d’ici 10 ans, cela ne sera sans doute plus le cas ».
Je pense que vous comprenez pourquoi il est dangereux de limiter le chiffrement … cela revient au même que de ne pas en avoir.
Bon bah les backdoors alors…
La réponse est à nouveau non. Un non ferme, définitif, catégorique, suivi d’un coup de batte de Baseball sur le crâne pour te remettre les idées en place.
Prenons un exemple de la vie quotidienne, sans algorithmes, sans informatique : votre appartement ou votre maison. Un jour, un réforme est adoptée par votre pays. Cette dernière impose à chaque foyer de mettre en place une porte « secrète » afin que les forces de l’ordre puissent rentrer chez vous, en cas de problème.
Croyez-vous réellement que cette porte ne sera utilisée que par les forces de l’ordre ?!
Non, évidemment non. Vous savez qu’en mettant un accès secret, vous créez une faille, que quelqu’un finira par trouver cet accès et s’en servira. Et c’est ainsi que vous retrouverez votre maison vidée.
Voyez-vous le problème ?
Poser une backdoor quelque part, dans un logiciel ou dans un équipement, c’est exactement la même chose. C’est donner un accès à des ennemis ou à des personnes aux mauvaises intentions. Il est impossible de garantir que ladite porte dérobée ne sera utilisée que par les personnes habilitées à le faire. Instaurer une backdoor revient donc à affaiblir toutes les protections installées, chiffrement compris.
Dernier point, pour bien comprendre le problème… Il existe de nombreux logiciels qui embarquent, maintenant, une solution de chiffrement. Seulement, ces logiciels utilisent les mêmes techniques, le standard, la norme.
Comprenons-nous sur un exemple simple, le HTTPS : il n’existe pas un HTTPS pour Facebook, un pour Amazon, un pour tel ou tel autre site. C’est le protocole HTTPS qui est utilisé par Facebook, par Amazon ou par les autres…. Ainsi, dans notre exemple, installer un backdoor ne reviendrait pas à avoir accès à un seul site mais à l’ensemble des sites qui utilisent ledit HTTPS. Autant dire que c’est « open bar », cela ira plus vite.
En théorie…
…les gens comprennent que le chiffrement est nécessaire, qu’il doit être renforcé, protégé et surtout, qu’un outil n’est ni bon ni mauvais, ce sont les personnes qui s’en servent qui le sont.
Si l’organisation Etat Islamique utilise Telegram, c’est parce qu’elle considère que c’est assez solide, robuste, de confiance, sécurisé et qu’elle arrive à répandre sa propagande abjecte dessus. Cela ne fait pas de Telegram une application à interdire, dangereuse ou que sais-je encore. D’ailleurs, si on vient à interdire Telegram, les clowns de l’Etat Islamique iront simplement ailleurs, sur d’autres canaux d’échange. Quitte à développer leur propre système de communication sur leur propre application, l’Etat Islamique étant de plus en plus à la page sur le numérique, ce n’est pas inconcevable.
Bref, en Théorie donc, ce billet n’aurait aucune raison d’exister, puisque tout le monde aurait pris le temps d’utiliser cette merveilleuse chose nommée cerveau, pour se poser, réfléchir et se rendre compte de l’absurdité de la chose. C’est beau, la Théorie…
En pratique, le constat est différent, une partie du corps politique sort des énormités et une partie de la population ne se demande pas une seule seconde si c’est vrai ou pas, préférant croire que si c’est dit, c’est forcément vrai. Je ne peux qu’inviter ces personnes à réfléchir « global » avant de parler et, pourquoi pas, à lire ce billet qui, j’espère, en fera réfléchir quelques-uns…
Merci d’avoir traduire mes pensées ça me fait gagner du temps, j’ai plus qu’à transmettre ton article. sinon parfois je me demande comment les mecs peuvent être au pouvoir et dire des conneries aussi énorme !
Il serait intéressant de proposer aux personnes voulant interdire ou réduire le chiffrement une pensée équivalente : puisque les terroristes et autres criminels utilisent des armes, interdisons les armes pour tout le monde, y compris nos forces de l’ordre. Ou alors faisons leur utiliser uniquement des lanceurs d’airsoft.