Cybercriminalité : des gouvernements dans l’erreur

Les gouvernements qui demandent à accéder au contenu privé sur Internet pour lutter contre la criminalité sont complètement dans l’erreur.

Chiffrement : bon ou mauvais ?

lors que les gouvernements réclament d’affaiblir le chiffrement pour lutter contre la criminalité, l’Internet Society se bat afin de préserver le chiffrement sur Internet. Pourquoi?

Jusqu’ici cette question n’a été que dans les mains de spécialistes ou pseudo-spécialistes, car trop technique, peu comprennent de quoi il s’agit.
Pourtant, ce droit au chiffrement est fondamental et nous concerne tous: c’est tout simplement le droit d’utiliser Internet pour du privé. Ne pas respecter ce droit fondamental ne pourrait que favoriser la criminalité, au détriment des honnêtes citoyens, entreprises et gouvernements démocratiques. Explications.

Tout est public sur Internet

Internet n’est rien d’autre qu’un réseau public mondial d’échange de données, tellement public que tout est public sur Internet.
N’importe qui peut envoyer un message pour dire “Hé, je m’appelle Jean Jean”, c’est le problème du spam. N’importe qui peut aussi intercepter les messages circulants sur Internet, pouvant contenir des données de paiement par exemple, voire pire, modifier des messages légitimes pour y modifier la somme et la destination des fonds, par exemple.

Bref, Internet n’a pas été conçu comme un réseau permettant de faire du “privé” : tout est public.

Utilisation privée d’un réseau public

Dans la vie courante, nous avons besoin d’échanger des messages privés sur Internet, que ce soit un ordre d’achat ou de paiement, un photo à sa famille ou amis, ou autre. Comment échanger un message privé sur un réseau complètement public?

C’est très simple: il suffit de chiffrer le message, de le coder de telle manière que seuls l’émetteur et les destinataires légitimes peuvent lire le message. C’est le principe du chiffrement. Et encore mieux: il est même possible grâce au chiffrement de “signer” ces messages, afin de s’assurer qu’ils émanent bien de l’interlocuteur qu’on pense.

Ce principe est abondamment utilisé dans l’e-commerce et vous permet de faire des achats en toute sécurité sur votre site web favori.
Il est par contre sous-utilisé dans la messagerie électronique, raison des nombreux spam, phishing et autres menaces.

Droit d’écoute

De tous temps, généralement dans l’objectif de protéger la nation et les citoyens, les gouvernements ont eu les moyens d’intercepter les communications. Ainsi, certaines lettres pouvaient être ouvertes dans des centres de tri, ou des écoutes téléphoniques mises-en-place. Ce “droit d’écoute” est généralement associé, dans les pays démocratiques, à un contrôle et autorisation par les autorités judiciaires, afin d’éviter des abus.

Aujourd’hui, peu de communications passent par des lettres, et les appels téléphoniques font place à d’autres outils tels que Whatsapp, Viber, Snapchat, Telegram, Signal et quantité d’autres. Il semble donc naturel que les gouvernements souhaitent conserver les mêmes prérogatives que précédemment.

Seulement, il y a une différence fondamentale. Les réseaux postaux ou téléphoniques sont entièrement gérés par un organisme et protégés. Il serait par exemple peu aisé d’intercepter un colis postal pour en voler son contenu et le remplacer par une bombe.

u contraire, Internet est un réseau entièrement public: tout le monde peut accéder à tout, et il est très aisé d’intercepter du contenu, voire de le modifier pour y ajouter par exemple un virus. Dans ce contexte, le droit au privé (chiffrement) est une nécessité fondamentale. Sans cela, pas d’e-commerce, pas de vie privée, ce serait la jungle avec tous ses dangers.

Une (mauvaise) solution: l’interdiction de la vie privée

La demande de nombreux gouvernements, dans le cadre de la lutte contre la criminalité, est d’affaiblir l’objectif d’inviolabilité des communications privées transitant par Internet. En d’autres mots: affaiblir le chiffrement, rendre le “privé” un peu plus “public”, moins protégé.

C’est une très mauvaise idée. Voici deux raisons parmi d’autres.

  1. Tout d’abord parce que, au contraire des réseaux traditionnels (poste, téléphone…), les criminels ont eux aussi accès au réseau Internet, et parfois même plus facilement que certains gouvernements. En affaiblissant le droit au privé sur Internet, cela faciliterait la tâche des criminels pour encore plus facilement intercepter les informations confidentielles des honnêtes citoyens et entreprises et faire du chantage.
  2. Ensuite, soyons clair, les criminels sévissant sur Internet continueront eux d’utiliser du chiffrement très fort, au contraire des citoyens et entreprises qui respecteront la loi. Preuve en est: l’augmentation exponentielle des cas de “ransomware”, ces logiciels malveillants chiffrant toutes vos données, vos photos personnelles ou informations commerciales, et exigeant le paiement d’une rançon afin de donner la clé de chiffrement.

Au final, avec un objectif noble au départ de lutter contre la criminalité, l’effet sera inverse: la renforcer. Seuls les criminels auront droit au privé.

Quelle solution?

La solution au problème d’accès exceptionnel aux données privées n’est pas à trouver au niveau du réseau public Internet, et certainement pas en demandant à rendre les messages privés un peu plus publics. L’erreur est de ne pas comprendre la technologie.

Dans le cas des lettres envoyées par la poste, les interceptions de courriers sur le réseau postal étaient la seule option valable, avec les perquisitions. Avec le téléphone, il est déjà possible de mettre soit le réseau téléphonique sur écoute, soit le téléphone lui-même. Avec Internet, la seule option devrait être de mettre les appareils sur écoute, et non pas le réseau.

Preuve en est: comment les communications radio peuvent être interceptées? Le cas “Enigma” est à ce propos très éloquant. Durant la seconde guerre mondiale, les Nazis échangeaient des informations confidentielles par radio. Tout comme Internet, le réseau radio est entièrement public : tout le monde peut mettre un récepteur radio et entendre les communications échangées. Alors, comment Alan Turing a-t-il fait pour craquer le système Enigma utilisé pendant la seconde guerre mondiale? En demandant aux Nazis d’un peu moins bien chiffrer leurs communications, ou d’envoyer une copie des codes à l’amirauté britanique? Bien sûr que non! Alan Turing s’est attaqué à l’émetteur-récepteur lui-même, la fameuse machine Enigma.

Avec Internet, c’est la même chose: agir au niveau du réseau ou des données échangées sur le réseau public est complètement inapproprié.
Il faudrait au contraire renforcer l’utilisation du chiffrement, notamment pour combattre des fléaux tels que le spam ou le phishing.

C.Q.F.D. (ce qu’il fallait démontrer)

Photo de Matt Seymour sur Unsplash

Leave a Reply

Your email address will not be published.