La guerre du chiffrement

Bonjour à tous !

Ça va peut-être vous paraître bizarre, mais je pense qu'il est grand temps de reparler de chiffrement, un dada chez moi me direz-vous. En effet, ça fait depuis mi-novembre (à cause des attentats du 13, en fait) que les choses ont commencé à s'agiter,

Revenons sur l'actualité récente. Depuis dix jours, Apple s'est relancé dans la guerre pour le chiffrement, face au FBI et à la NSA. Suivit par le PDG de Whatsapp (et Mark Zucherberg) et celui de Google.

Si on s'arrête un moment, il est très curieux que ce soient des entreprises qui défendent des droits des utilisateurs — en l'occurrence celui d'avoir une vie privée — contre leur gouvernement. On s'attent plus typiquement au schéma inverse, mais là, non.

why

Si l'on se replonge dans l'actualité moins récente, ce n'est pas la première fois que ce débat prend une si grande importance dans les médias. Je pourrais citer des dizaines d'articles, mais ce qui me paraît essentiel, c'est de partir de la source, c'est-à-dire qu'il s'agit-là d'une demi-victoire pour Edward Snowden. En effet, cela fait trois ans (juin 2013, mais Edward Snowden était prêt depuis 6 mois, le temps que Glenn Greewald prenne en main Tails et des moyens pour communiquer avec du chiffrement fort, GPG, OTR et via Tor) que Snowden veut que nous ayons ce débat. Demi-victoire, puisque l'autre aspect important est le respect de la vie privée, pour lequel le chiffrement est nécessaire, mais pas suffisant, mais c'est un autre débat.

Du coup, cela fait depuis mi-novembre, comme je vous disais, que beaucoup d'articles prennent position en faveur ou contre le chiffrement. Au hasard celui-ci (et ) où le directeur de la NSA ment en affirmant que sans le chiffrement, les attentats de novembres auraient pu être évités (cf. ceci, téléphone non chiffré, communication via SMS), ou celui-là sur lequel je suis tombé récemment --- et dont on va reparler.

Ce qu'il y a de remarquable, c'est leur tonalité. Ils ne sont pas objectifs, puisqu'ils refusent d'aborder toutes les parties du débat. Du coup je vais me faire "avocat de la défense", vu qu'il y a déjà beaucoup de "procureurs" ayant fait des réquisitoires contre.

L'article titre "Un Terroriste est-il un client Apple comme les autres ?", à laquelle la réponse évidente semble être "non". Mais l'article aurait tout aussi bien pu titrer : "Faut-il forcer Apple à fournir une backdoor au gouvernement états-unien, au risque que la Chine en demande une, et s'en serve contre des dissidents de Hong-Kong ?", un titre un peu long, mais au moins aussi pertinent.

En effet, il y a deux côtés à cette histoire. Le fait qu'effectivement, le chiffrement permet de cacher de l'information. Et le fait qu'il est parfois nécessaire de cacher de l'information. Soit parce que c'est votre droit (comme par exemple celui de ne pas participer à sa propre incrimination) soit parce que votre pays a un régime fort au pouvoir. En effet, la notion de terroriste est très arbitraire. Il faut se rappeler que les résistants au régime de Vichy étaient appelés terroristes (aussi là).

Du coup pourquoi cette bataille a-t-elle lieu ? Deux arguments me font penser qu'il s'agit d'abord d'une bataille juridique, et d'une façon de faciliter le renseignement pour le FBI ensuite (& la NSA, mais elle a plus de moyens).

  • Premièrement, les services de renseignement de la Grande-Bretagne (leur GCHQ), l'Allemagne, et les États-Unis (via le PATRIOT ACT) ont le droit de créer des malwares et autres chevaux de troie pour accéder aux ordinateurs de suspects de crimes graves (au moins terrorisme, peut-être pédophilie, mais je ne sais pas), la France en fabrique aussi, mais je ne sais pas si elle le fait déjà dans les affaires de terrorisme. Du coup, ces pays ont les moyens d'accéder a des iPhones, tant qu'ils ne s'y prennent pas mal.
  • Deuxièmement, la NSA a été forcée de supprimer une base de données de conversations téléphoniques concernant des appels intra-États-Unis. D'où la nécessité pour eux d'obtenir un base de droit (jurisprudence ou autre) sur laquelle reposer.
  • L'obtention d'une backdoor pour exploitation est donc importante, mais secondaire à mon avis.

L'enjeu est de taille comme je l'ai souligné un peu rudement tout à l'heure en proposant un autre titre à l'article contre le chiffrement. Si le gouvernement états-unien obtient une backdoor dans l'iPhone, il y a tout d'abord un problème de sécurité, celui de la garder inexploitable pour quiconque, mais il est aussi clair que d'autres gouvernements vont faire pression pour obtenir des backdoors dans iOS. Clairement, je vois bien la France, la Chine, l'Iran, l'Allemagne en obtenir. Ça pose deux problèmes.

  • Premièrement on peut imaginer que plusieurs gouvernements distincts aient accès au téléphones d'une seule personne. En ce qui me concerne, déjà que je n'ai pas très envie que le gouvernement français mette ses pattes dans mon smartphone, vous imaginez un gouvernement moins tolérant.
  • Deuxièmement, il faut se mettre en tête que ce ne sera pas la faute d'Apple si un ressortissant de Hong Kong se fait dézinguer par le gouvernement chinois (au hasard) pour résistance. Parce qu'Apple aura fait son possible pour fournir du chiffrement.

Les autres aspects sont des questions de principe. Le vulgum pecus a-t-il le droit à du chiffrement de haute qualité ? C'est important parce que le chiffrement ne sert pas seulement à cacher des données, il comporte une partie authentification très importante. Par exemple votre navigateur reçoit des scripts JavaScript qu'il exécute. Il s'agit donc de code distant exécuté sur votre ordinateur. Il faut faire vraiment confiance à un tiers pour le laisser exécuter un programme dans votre ordinateur. Parce qu'il pourrait l'endommager, supprimer vos fichier, mettre un malware etc. Du coup le HTTPS des sites webs empêchent la modification d'une page web lors du trajet vers votre ordinateur, en authentifiant la page. Ainsi sans chiffrement fort, on se retrouve à poil.

Le dernier argument est celui de la prospective : le chiffrement fort sur un système GNU/Linux est plus facile que sous Android/iOS à mon avis (même si j'utilise APG, qu'il y a CyanogenMod, etc., mais ce n'est pas très répandu), du coup savoir si la majorité a droit au chiffrement sur mobile est une décision importante maintenant, mais sur le long terme, je doute que l'interdiction du chiffrement soit viable, tout simplement parce que beaucoup d'algorithmes de chiffrement sont librement disponibles et améliorable sur internet.

On vit dans un monde avec du chiffrement. Le refuser ne peut donc qu'être une solution temporaire, qui nuirait pas mal à l'utilisateur.

Sur ce, je vous laisse méditer, mettre des questions ou remarques en commentaire, et aller vous faire votre propre opinion sur ce débat. Il me paraît essentiel qu'on ait ce débat, et qu'on n'ait pas la naïveté de cette image :

try

parce que si on ne fait rien, une décision sera prise, sans nous.

Bonne journée !

Motius

 

PS : toute dernière remarque : Apple peut vouloir viser un marché aimant avoir de la vie privée, au contraire de ce que Microsoft fait actuellement...

PPS : merci à Nyx qui m'a fourni l'image de couverture !