Edit : L’amendement vient d’être retiré.

Nathalie Kosciusko-Morizet et ses copains LR (Initiales dont je vous laisse trouver Les Rétrogrades significations…) viennent se pondre un amendement pour la nouvelle loi sur le numérique d’Axelle Lemaire.

Et que trouve-t-on dans ce petit oeuf ? Et bien ceci :

Les constructeurs de matériel doivent prendre en compte dans leurs constructions la nécessité de donner aux forces de l’ordre, dans le cadre d’une enquête judiciaire et après autorisation d’un juge, l’accès aux matériels. Un décret en Conseil d’État fixe les modalités d’application du présent article.

Et voici l’explication de ce texte :

Le présent amendement d’appel a pour objet d’ouvrir le débat sur les voies et les moyens de garantir l’accès aux données pour des raisons de sécurité nationale et dans le cadre d’une enquête judiciaire. Les constructeurs de matériel informatique (téléphones, tablettes, ordinateurs) s’orientent progressivement vers un cryptage individuel des appareils, dans le souci de protéger les données personnelles de leurs utilisateurs. Ce mouvement, vertueux en matière de protection des données personnelles, a néanmoins un inconvénient lorsqu’il est confronté aux nécessités de protection et de sécurité de l’Etat. La France doit prendre l’initiative en obligeant les constructeurs de matériel à prendre en compte l’impératif d’accès des policiers et gendarmes, sous le contrôle d’un juge et uniquement dans le cadre d’une enquête judiciaire, à ces matériels. L’objectif est d’éviter que des systèmes de cryptage individualisés ne retardent la poursuite d’une enquête.

Oui, je sais… Mais avant que vous ne vous excitiez devant votre écran, elle précise quand même que cet amendement a pour objet, je cite, « d’ouvrir le débat sur les voies et les moyens de garantir l’accès aux données pour des raisons de sécurité nationale et dans le cadre d’une enquête judiciaire. »

Donc, pour faire plaiz à N’KM, j’ouvre le débat avec moi-même pour voir ce que j’en pense.

Avant toute chose, il convient de se poser la question suivante : Pourquoi est ce que les constructeurs et les fournisseurs de service proposent de plus en plus du chiffrement pour protéger les données personnelles de leurs utilisateurs ?

C’est simple : Parce que c’est ce que réclament leurs utilisateurs. La demande, l’offre…etc.

Et pourquoi est ce que les utilisateurs réclament de plus en plus de chiffrement ? La raison qui vient immédiatement à l’esprit c’est la cybercriminalité. Même si je ne doute pas qu’elle soit en expansion ces dernières années, je doute que cette raison soit le facteur principal. Ce que j’ai pu observer, c’est que c’est uniquement depuis que Snowden a tout balancé, que l’adoption du chiffrement s’est accélérée.

Grâce à lui et aux autres lanceurs d’alerte, les gens ont pris conscience que toutes leurs communications électroniques pouvaient être lues. Le chiffrement est donc devenu un besoin légitime comme celui de pouvoir fermer sa maison ou sa voiture à clé. D’ailleurs, si des vendeurs de portes d’entrée vendaient des portes qu’on ne peut pas fermer, je ne suis pas certain qu’ils survivraient longtemps. C’est pareil avec le numérique… Si les gens confient des données personnelles à des tiers (ou des appareils) qu’ils estiment de confiance, ce n’est pas pour que ces tiers consultent ces données ou donnent leurs clés au premier venu.

La récupération de nos données par un cybercriminel était et est encore considérée maintenant comme un incident… Quelque chose de ponctuel qui arrive par malfaisance et négligence.

La récupération de nos données par des agences comme la NSA ou d’autres au nom plus français n’est pas un incident. C’est quelque chose de permanent avec lequel on doit vivre. Et la réponse à cet état permanent est le chiffrement systématique de toutes nos communications électroniques. C’est donc parce que les gouvernements (américain en tête) ont abusé de la confiance et de la naïveté des gens, que nous sommes en plein dans cette vague d’adoption du chiffrement.

Maintenant aux yeux de plus en plus de gens, un service ou un appareil qui ne propose pas de chiffrement, est un service ou un appareil en qui on ne peut avoir confiance. Et mine de rien, la confiance, que ce soit en amitié, en amour ou en acte d’achat, ça pèse lourd. Évidemment tous les chiffrements ne se valent pas… Mais les gens ne sont pas cons, ils veulent le meilleur. Et le meilleur c’est un chiffrement qu’on ne peut pas péter en 3 secondes.

Pire, les plus éduqués de ces utilisateurs ne veulent même plus que la société chez qui ils achètent leur matériel ou chez qui ils s’inscrivent ait elle-même accès à leurs données. C’est pour ça que le chiffrement de bout en bout (end-to-end) a le vent en poupe. Le seul qui peut consulter ses données c’est l’utilisateur lui-même…

Alors évidemment, si celui-ci ne coopère pas avec la police, ce n’est pas simple. Et je peux comprendre ça.

Mais est-ce qu’exiger via une loi, un accès aux données de tous les citoyens français, auprès du constructeur ou du fournisseur de service est quelque chose qui est mentalement sain ?

Je pense que non, et cela pour plusieurs raisons….

Bon, déjà, la backdoor (porte dérobée) c’est un truc à oublier directement. Ça consisterait à donner un genre de Konami Code à la police pour qu’elle puisse rentrer dans n’importe quel appareil ou n’importe quel service pour faire son taf, sans avoir besoin de s’adresser directement à la société concernée. À mon sens, ce n’est pas vraiment réalisable et lorsque ce « passage secret » sera découvert par quelqu’un d’autre (car oui, ça arrivera… Regardez ce qui se passe en ce moment avec Juniper et Fortinet), cela exposera la sécurité des utilisateurs, favorisera la cybercriminalité et fera passer un très sale quart d’heure à la société qui aura accepté d’implémenter un tel truc.

Donc pour moi, la backdoor c’est LE truc à éviter avant tout le reste.

Reste ensuite, à forcer les sociétés qui proposent des solutions technologiques, à garder un double des clés pour, sur ordre d’un juge, pouvoir ouvrir les portes à la police en cas de besoin. OK pourquoi pas ? C’est parfaitement faisable. Mais que croyez-vous qu’il va se passer ?

Et bien déjà, ça va créer une distorsion de la concurrence… Un genre d’inégalité des chances… Les sociétés soumises à cette loi (donc j’imagine uniquement les boites françaises dans un premier temps) perdront tous leurs arguments technologiques : « On a un super service, mais c’est tout en clair pour les flics ». Imaginez un peu ce gros coup de pute fait à la French Tech si cet amendement était adopté ! Ils pourront toujours courir pour être pris au sérieux à l’international les gars.

Personnellement, je serai le premier à aller voir ailleurs si cela devait arriver. En tant que société, si je cherche une solution technologique pour chiffrer mes secrets industriels, en aucun cas je ne prendrai le risque de choisir celle dont un double des clés se balade on ne sait où. Même réflexe en tant que particulier… Ça craint trop.

Ensuite si NKM ou d’autres imaginent dans leurs rêves les plus humides que Apple, Google ou d’autres boites étrangères vont introduire des méthodes de chiffrement open-bar pour la police française, ils se fourrent le doigt dans l’oeil. Et même s’ils arrivaient à les contraindre par je ne sais quel tour de magie, la réaction des gens restera la même : Si le produit n’est pas fiable, je vais voir ailleurs.

Si je ne peux plus chiffrer mon smartphone correctement parce que je l’ai acheté sur le sol français, ce n’est pas grave, j’irai l’acheter à l’étranger ou je lui collerais une ROM qui permet de faire ce que je veux… Après on peut aussi interdire aux Français de chiffrer leurs trucs en mode costaud. Mais bon, dans ce cas, on se trompe de cible, car celui qui a prévu de violer la loi ne s’embêtera pas à respecter celle-ci. Si ça fonctionnait vraiment comme ça, j’imagine que les terroristes de tous poils chercheraient des armes qu’on peut utiliser légalement pour tuer des gens. Ça n’a aucun sens.

Mais alors, comment faire pour permettre à la police de faire son travail quand tout est chiffré ?

Et bien je pense qu’on ne peut pas, sauf à leur donner plus de moyens techniques pour casser ou contourner les chiffrements qui peuvent l’être. C’est sûr que ce n’est pas la solution la plus simple, mais croire que les criminels vont adopter des technologies made in France complètement ouvertes à la police, c’est la solution la plus simpliste.

Après si l’objectif c’est de pouvoir espionner tous ceux qui sont trop cons pour choisir des solutions technologiques avec un chiffrement qui tient la route, ce sera possible. Mais quand on voit ce que fait la NSA en mode hardcore, je me dis que vouloir se hisser à leur niveau avec un petit amendement de merde, c’est vraiment une preuve de manque d’ambition.