On s’y attendait. Mais franchement, pas si tôt. Et pas de manière si violente. Et approximative.

Très classe P. Servent sur #BFMTV : « J'espère que les gens [contre #loirenseignement] n'ont pas d'enfants morts, pour les faire percuter » — Elbrix (@elbrix) 16 Novembre 2015

Non contents de mettre sur le dos des opposants à la surveillance les attentats de vendredi soir (comme cet expert en défense cité plus haut), de nombreux responsables politiques et membres des forces de l’ordre ont trouvé un autre coupable : le chiffrement informatique. Soit un outil qui permet de protéger des regards indiscrets une communication sur Internet. Qui permet de protéger sa vie privée.

Le tout, au motif que certaines cellules terroristes comme l’organisation de l’Etat islamique autoproclamé (EI) utilisent également ces moyens pour dissimuler leurs actes.

Kik, Wickr, Telegram, etc.



Des mots de passe Linux cryptés - Christiaan Colen/Flickr/CC

En effet, les observateurs de l’EI savent, depuis de nombreuses années, que l’organisation est passée experte dans l’art de communiquer sur Internet. Sur les réseaux sociaux bien sûr (on a déjà beaucoup parlé de leur action sur Facebook ou Twitter), mais aussi dans les précautions prises lors de leurs échanges.

A en croire NBC News, qui cite des « experts en antiterrorisme affiliés à l’armée américaine », l’EI aurait même mis sur pied une cellule d’aide ouverte 24 heures sur 24 aux djihadistes soucieux de se former sur Internet.

Interrogé par le site, Aaron F. Brantly, du Combating Terrorism Center (CTC), évoque une communauté d’au moins cinq à six membres, experts en informatique.

De la même manière qu’ils maîtrisent l’art de la communication et des plans flippants dans leurs vidéos de propagande, ou le maniement des armes de guerre, les partisans de Daech utilisent donc des applications web connues pour chiffrer les communications qu’elles hébergent. Plusieurs noms, bien connus des cercles de défense des libertés sur Internet, circulent ; comme ici chez The Dailymail : Kik, Surespot, Wickr, Telegram...

Il n’en fallait pas beaucoup plus pour relancer la psychose autour du chiffrement. Qui, bizarrement, ne prévaut ni pour les caméras, ni pour les armes utilisées par ces mêmes individus.

« Du sang sur les mains »

La communauté du renseignement du monde entier, déjà à fond sur le sujet, est remontée comme un coucou. Ainsi que les autorités en général : le procureur de Paris, François Molins (le même qui suit aujourd’hui les enquêtes), s’était notamment fendu d’une tribune dans le New York Times sur le sujet il y a quelques mois.

Pour tout ce joli monde, l’occasion était visiblement trop belle pour ne pas relancer le combat, qui vise à obtenir un accès (une « backdoor », des clés permettant de révéler le message en clair) à ces informations dissimulées.

Un ancien directeur de la CIA, Michael Morell, a évoqué le sujet sur CBS ; un autre a carrément dit qu’Edward Snowden avait « du sang sur les mains » pour avoir révélé la surveillance américaine, et encouragé l’usage des outils de chiffrement.

Je tiens à m'auto-dénoncer tout de suite : j'utilise également Telegram, et depuis longtemps. https://t.co/8D0yKxqczG — Adrienne CharmetAlix (@AdrienneCharmet) 17 Novembre 2015

Beaucoup de militants acquis à la cause du lanceur d’alerte rappellent qu’eux aussi, comme d’autres internautes soucieux de leur vie privée, utilisent ces outils qui sont, par ailleurs, précieux pour se protéger dans des régimes autoritaires.

Autrement dit, comme bien des outils, ces services ne sont en tant que tels pas néfastes. Tout dépend bien sûr de l’usage qui en est fait. Bref, toujours le même débat.

La technique du FUD

D’autres encore estiment que l’opération actuelle visant à dézinguer le chiffrement des communications relève de la manipulation. Certains évoquent la technique du « FUD » (pour « Fear, incertainty and doubt »), bien connue en sécurité informatique, qui consiste à alimenter les peurs pour faire la promotion d’un outil censé les contrer.

Il faut dire que la précipitation de certains médias sur le sujet n’a pas aidé.

Le New York Times a par exemple publié un article sur le sujet lundi, avant de se rétracter, puis d’associer un autre article au lien en question, où il n’est plus du tout question de chiffrement (une copie de l’article original à lire ici).

Une autre rumeur, dont nous vous parlions ces derniers jours, laissait entendre que les assaillants de Paris avaient utilisé une console PlayStation 4 pour communiquer. Sauf que les propos du ministre de l’Intérieur belge qui étayaient cette affirmation dataient d’avant les attentats. Et qu’aucune preuve ne permettait de lier les actes de vendredi soir à une éventuelle communication sur console, comme l’a lui-même reconnu, après coup, un contributeur de Forbes qui a couvert l’affaire.

Tout est cassable

Notons par ailleurs, une nouvelle fois, que les services de renseignement disposent de tout un tas d’autres outils pour suivre à la trace les personnes qui les intéressent. Et que toute protection est cassable : pas pour rien que les services du monde entier sont dotés de grosses plateformes de déchiffrement – ainsi, la controversée PNCD de la DGSE (Direction générale de la sécurité extérieure).

De plus, une majorité des services visés par les autorités sont soit des sites qui collaborent déjà activement avec les services de renseignement (souvenez-vous, Google, Apple and Co ont été largement soupçonnés d’étroitement collaborer avec les agences américaines), soit des outils tout simplement évités par les terroristes.

En mai, l’expert du CTC Aaron F. Brantly détaillait [PDF] en ce sens le contenu d’une quarantaine de discussions observées sur des forums djihadistes :

« Des questions sur la sécurité de plateformes populaires, comme Skype, Google, Gmail, WhatsApp, Tor Mail, [y] sont posées. Des individus au niveau de compétence plus élevé alertent régulièrement ceux qui s’inquiètent des produits communément utilisés, indiquant leur manque de sécurité et la prévalence de la surveillance des Etats sur ces plateformes. »

Une solution made in EI ?

Reste donc l’hypothèse d’une solution de chiffrement développée en interne par l’EI. Le scénario a d’ailleurs été largement relayé ces derniers jours, sans que là encore, des preuves soient disponibles.

Si tel est le cas, beaucoup (comme Jef Mathiot, qui avait brillamment expliqué les différentes manières de chiffrer un e-mail sur Internet) font valoir que l’EI ne se pliera de toute façon pas aux exigences des Etats en matière de chiffrement. Et qu’au final, seules des personnes soucieuses de protéger leur vie privée se verront pénalisées.

D’autres, comme Christopher Soghoian (chargé des questions technologiques à l’association américaine Aclu), disent qu’un tel outil made in EI ne serait par ailleurs pas sécurisé. Et donc, facile à percer pour les services.

If ISIS is using « their own encryption software », 1. it isn't secure and 2. it can't be regulated. (h/t @dcuthbert) pic.twitter.com/sdrlARZWK6 — Christopher Soghoian (@csoghoian) 15 Novembre 2015

Faire face aux moyens cryptés

Reste à savoir comment la France se distinguera dans ce brouhaha anti-crypto.

Ce mardi 17 novembre sur France Info, le ministre de l’Intérieur a fait savoir :

« Je veux absolument […] investir également dans les équipements et moyens numériques et informatiques, pour faire en sorte que, face à des acteurs terroristes qui dissimulent la commission de leurs actes en utilisant des moyens cryptés, sur Internet ou dans l’espace numérique, nous soyons au meilleur niveau d’efficacité. »

Contactés, l’Elysée, ainsi que les différents ministères concernés, ne nous ont pour le moment pas éclairés sur la teneur et l’ampleur de ces « équipements et moyens ». Impossible, aussi, de savoir si des mesures en ce sens seront versées au projet de loi présenté ce mercredi au Conseil des ministres.

Difficile de savoir, ces derniers temps, ce que le gouvernement veut vraiment faire du chiffrement.

Le 16 octobre, Manuel Valls avait évoqué des moyens de « cryptologie légale », alors même que le directeur de l’agence en charge de la cybersécurité du pays, l’Anssi, nous rappelait dans la foulée que le chiffrement dans son intégralité était « légal, depuis vingt ans ».

Face à notre trouble, la secrétaire d’Etat au Numérique Axelle Lemaire nous a assurés que la question était un non-sujet. Dans un long entretien à Rue89, elle affirmait :

« Il n’y a pas de volonté de lutter contre le chiffrement en France. »

C’était une semaine pile avant les attentats.