Proposition de loi contre le narcotrafic : pourquoi l'introduction d'une "porte dérobée" dans les messageries est très critiquée

Des spécialistes du numérique voient dans l'article 8 ter du texte une remise en cause du principe du chiffrement des communications, ce qui engendrerait une faille exploitable notamment par des pirates informatiques. Sous la pression, l'article a été supprimé par les députés en commission.

Article rédigé par Luc Chagnon
France Télévisions
Publié Mis à jour
Temps de lecture : 9min
Les nombreuses critiques rappellent qu'une faille dans le chiffrement des échanges affaiblit la protection de tous les utilisateurs, criminels ou non. (XOSE BOUZAS / HANS LUCAS / AFP)
Les nombreuses critiques rappellent qu'une faille dans le chiffrement des échanges affaiblit la protection de tous les utilisateurs, criminels ou non. (XOSE BOUZAS / HANS LUCAS / AFP)

C'est loin d'être le point central de la proposition de loi "visant à sortir la France du piège du narcotrafic". Le texte, poussé par le ministre de l'Intérieur Bruno Retailleau et adopté à l'unanimité par le Sénat le 4 février, se concentre davantage sur la création d'un régime carcéral "exceptionnel" pour les détenus les plus dangereux, ou d'un Parquet national anticriminalité organisée. Mais un amendement déposé par le sénateur Les Républicains Cédric Perrin, l'article 8 ter, s'attire l'ire de tout le secteur du numérique, de nombreuses associations, d'élus et même de membres du gouvernement. Tous pointent un danger pour la vie privée et la sécurité numérique.

L'amendement entend "permettre aux services de renseignement d'accéder au contenu intelligible des correspondances et données" qui transitent sur les messageries proposant un chiffrage dit "de bout en bout" des communications. C'est par exemple le cas de WhatsApp et Signal (par défaut), ou de Messenger et Telegram (en option). Or ce dispositif a été mis au point pour empêcher la plateforme d'avoir accès au contenu du message qu'elle fait transiter. Le texte est chiffré au niveau de l'expéditeur et déchiffré chez le destinataire, grâce à des clés individuelles spécifiques.

"Soit pour tout le monde, soit pour personne"

Le texte veut obliger ces services de messagerie à mettre en place des solutions techniques pour lever ce chiffrement à la demande des services de renseignement français. Il prévoit des amendes pouvant atteindre 2% du chiffre d'affaires annuel mondial de l'entreprise en cas de refus.

"Le projet d'article interdit le chiffrement de bout en bout", résume le juriste Michel Séjean auprès du site Politico. Les entreprises de messagerie et les spécialistes en sécurité informatique dénoncent unanimement l'installation par ce biais d'une "porte dérobée" ("backdoor" en anglais) : un accès spécifique à des données personnelles ou confidentielles "contenues dans un logiciel ou sur un matériel", réservé à certains acteurs particuliers et "tenu secret vis-à-vis de l'utilisateur légitime", selon la définition de la Commission nationale de l'informatique et des libertés.

Les critiques rappellent que toute "porte dérobée" représente un affaiblissement global du niveau de sécurité pour tous les utilisateurs, pas seulement les criminels. "Le chiffrement marche soit pour tout le monde, soit pour personne. C'est un fait mathématique", lâche Meredith Whittaker, présidente de Signal, à Politico.

Ce type de dispositif représente une opportunité en or pour des acteurs malintentionnés, comme des pirates informatiques. En 2017, le logiciel malveillant Wannacry avait fait plusieurs centaines de milliers de victimes à travers le monde en exploitant une faille découverte par la NSA, l'agence américaine de renseignement, qui avait ensuite été victime d'une fuite de documents internes.

"Des régimes totalitaires pourraient en abuser"

"Si les plateformes acceptent (ce qui ne sera pas le cas), tous les pays voudront cette capacité, alerte pour sa part sur X Baptiste Robert, spécialiste en cybersécurité. Des régimes totalitaires pourraient abuser de cette capacité pour intercepter les messages d'avocats, activistes et opposants politiques."

Mais les dictatures ne sont pas les seules à représenter en danger, expliquent certains spécialistes. "Les révélations de messieurs Snowden et Assange ont malheureusement déjà amplement démontré la tentation des démocraties libérales à utiliser largement les techniques numériques pour espionner massivement, avec le risque de glisser insensiblement sur une pente illibérale", rappellent ainsi des scientifiques et des élus dans une tribune publiée dans Le Monde contre le texte.

Depuis l'adoption de cet amendement au Sénat, les critiques pleuvent. "Si nous avions le choix entre se conformer à une injonction de créer une porte dérobée pour le chiffrement de Signal ou cesser notre activité dans une région, nous préférerions être bannis plutôt que de revenir sur nos promesses", a averti auprès de Politico Meredith Whittaker. Même opposition du côté de WhatsApp, ou encore d'Olvid, la messagerie chiffrée recommandée pour les ministres. Thomas Baignères, un des fondateurs, assure à Politico qu'il "ne mettra jamais de 'backdoors' dans [ses] systèmes" et rappelle ses "convictions fortes sur le chiffrement".

Le syndicat d'entreprises de la tech Numeum, qui compte 2 500 entreprises, dont des géants français et mondiaux (Meta, IBM, Capgemini, Atos, Docaposte…), s'inquiète de cette disposition, selon une note interne consultée par le média L'Informé. De même que nombre d'autres collectifs, toujours selon le site d'investigation, comme l'Association française des correspondants à la protection des données à caractère personnel ou l'association La Quadrature du net…

Le gouvernement divisé

Même la ministre déléguée chargée de l'Intelligence artificielle et du Numérique, Clara Chappaz, s'est élevée contre le texte. "Sans garanties suffisantes, il pourrait fragiliser des principes essentiels : libertés publiques, secret des correspondances, et surtout cybersécurité, a-t-elle écrit lundi sur X. Une faille créée pour les uns profite toujours aux autres." "Affaiblir le chiffrement ne pénaliserait pas seulement les criminels. Cela exposerait aussi nos citoyens, nos entreprises et nos infrastructures aux cyberattaques. (...) Je souhaite que cet article soit retravaillé à l'Assemblée", ajoute l'ancienne directrice de la mission French Tech. 

De son côté, le ministre de l'Intérieur a assuré, lors des débats en commission des lois, mardi, qu'"il n'y a pas de faille, (...) il n'y a pas de 'backdoor', il n'y a pas d'affaiblissement du chiffrement". "Vous avez une plateforme qui est capable de chiffrer une communication d'un individu A à un individu B. (...) On ne va pas s'introduire au milieu de cette communication, on va demander à la plateforme de faire [un autre flux] de A à C", à savoir les enquêteurs, explique le ministre de l'Intérieur.

"Ces gangs criminels utilisent les techniques les plus modernes. Il faut rehausser notre système de défense sur les techniques qu'ils emploient."

Bruno Retailleau, ministre de l'Intérieur

en commission des lois à l'Assemblée nationale

L'argument ne convainc pas les opposants. "L'article ne vise pas à créer une 'backdoor' (...) mais la proposition est pire : ajouter les forces de l'ordre comme destinataire supplémentaire dans une conversation sans en informer les participants", souligne sur X Baptiste Robert. "La technique du correspondant fantôme (un peu comme pour les interceptions téléphoniques, consistant à passer en téléconférence la cible) revient en pratique à affaiblir la protection du chiffrement. Y compris pour les services enquêteurs", explique sur le même réseau social Alexandre Archambault, avocat spécialiste du numérique.

Le député Les Démocrates Philippe Latombe partage cet avis. Dans son message publié mercredi sur X, il ajoute que l'article s'avère "inopérant car les messageries chiffrées répondant aux exigences françaises ne seront plus utilisées par les criminels. C'est aussi une atteinte grave à nos valeurs".

La technique présentée par Bruno Retailleau "nécessite un débat technique poussé, notamment avec les acteurs qui seraient chargés de la mettre en oeuvre, afin de déterminer si elle peut constituer un équilibre acceptable", juge auprès de franceinfo l'entourage de la ministre déléguée Clara Chappaz. Celle-ci "appelle à explorer toutes les solutions possibles pour renforcer la capacité des autorités à exercer leurs missions légitimes, dans le respect de la vie privée, du secret des correspondances et de la sécurité des moyens de communication numérique."

Un article supprimé en commission

Au moment de son dépôt, cet amendement avait déjà reçu un avis défavorable des rapporteurs de la proposition de loi. Le sénateur Jérôme Durain (Parti socialiste) avait trouvé "surprenant qu'un amendement d'une telle portée" et aux conséquences "si lourdes" "soit proposé par la voie parlementaire et non par le gouvernement", sans qu'"aucune audition [n'ait] été menée" ni "aucune étude d'impact (...) réalisée". Mais il avait reçu l'aval de Bruno Retailleau, qui martelait que "les opérateurs doivent pouvoir donner aux services d'enquête les clés de chiffrement sans opposer de clauses contractuelles".

Pour autant, le ministre de l'Intérieur ne se fait "pas d'illusion", a-t-il concédé en commission. En effet, plusieurs amendements déposés par les députés et jugés recevables réclament la suppression pure et simple de l'article. Ils sont portés tant par la gauche et le centre que par le Rassemblement national. Presque tous ont justement été adoptés en commission des Lois. La proposition de loi doit être débattue en séance publique le 17 mars.

les mots-clés associés à cet article

Commentaires

Connectez-vous ou créez votre espace franceinfo pour commenter.