Cybercriminalité : comment l'Europe veut contourner la confidentialité des communications

Le Conseil de l'Europe et la Commission européenne viennent de publier deux rapports sur la lutte contre la cybercriminalité qui éclairent les orientations futures en matière de surveillance et de sécurité informatique sur le vieux continent. Les méthodes et partenariats publics-privés pour notamment contourner la confidentialité des communications chiffrées y sont centraux. La cybersécurité européenne veut-elle marcher dans les pas de celle des Etats-Unis ?
Image
Crypto
Partager8 minutes de lecture
La vague d'attentats qui a touché l'Europe depuis 2015 — tout comme l'attaque informatique à l'encontre de TV5Monde — ont mené à de nombreuses modifications des lois touchant à la surveillance ou la censure d'Internet, particulièrement en France. La cybercriminalité — terme général pouvant toucher à des sujets aussi variés que la pédopornographie, l'escroquerie financière, les attaques informatiques, dénis de service, "vols de données", espionnage industriel ou organisation d'actions terroristes — est donc devenue aujourd'hui un enjeu européen de première importance.

Depuis cet été, les gouvernements de l'Union ont décidé de "prendre le taureau par les cornes numériques" sur le sujet et veulent créer une collaboration policière pour lutter contre cette cybercriminalité, et ce autour de méthodes et de "pratiques policières numériques" communes.

Comment empêcher des attentats organisés via Internet ? Surveiller et réprimer les criminels en ligne ? Récupérer des indices ou preuves numériques dans des délais raisonnables ? Ce sont autant de sujets qui sont sur la table depuis plusieurs mois et ont fait l'objet de deux rapports. L'un de la Commission européenne, l'autre du Conseil de l'Europe. La compatibilité du droit européen en matière de respect de la vie privée et de la confidentialité des communications est-elle pleine et entière avec les préconisations inscrites dans ces deux rapports, et quelles conséquences peuvent-elles avoir en termes de libertés et de changement de société ?

Protéger la confidentialité des communications et des données, mais…


Le préambule du chapitre XI du rapport du Conseil de l'Europe, intitulé "Rapport final sur la septième série d'évaluations mutuelles sur la mise en œuvre pratique et le fonctionnement des politiques européennes en matière de prévention de la cybercriminalité et de lutte contre celle-ci" établit la nécessité de plus en plus grande du chiffrement (systèmes informatiques de cryptographie empêchant la lecture "en clair" des données en transit sur le réseau, rendant illisible toute information numérique pour des tiers non autorisés, ndlr) : 


La disponibilité et l'utilisation croissantes de technologies de chiffrement sûres et fiables garantit la sécurité, la transmission sécurisée et la confidentialité des données informatiques et, par conséquent, la protection de la vie privée des citoyens ainsi que la protection effective des données dans le cyberespace.

Ce constat, partagé par les spécialistes en sécurité informatique comme les défenseurs des droits de l'homme et des libertés publiques suit une réflexion européenne — abandonnée depuis — d'imposer aux constructeurs informatiques l'installation de "portes dérobées" sur leurs matériels ou logiciels réservées aux services de police. Une levée de boucliers d'associations, de professionnels est survenue après l'annonce de cette possibilité de "piratage" légal des communications : comment à la fois défendre la sécurité des données et des communications numériques tout en demandant de l'affaiblir par le biais de systèmes de piratage camouflés dans les produits informatiques mis sur le marché ? C'est ainsi que le rapport déclare aujourd'hui que le chiffrement est indispensable, mais avec un… "mais" :


Néanmoins, le recours grandissant au chiffrement aussi bien dans le cadre du stockage des données que des communications sur Internet, au moyen de techniques toujours plus sophistiquées, rend le déchiffrement sans cesse plus difficile, voire presque impossible, ce qui pose de plus en plus problème dans l'ensemble des États membres. Le chiffrement est souvent utilisé par les malfaiteurs pour protéger le matériel illégal en leur possession ainsi que leurs communications et complique les enquêtes portant sur les infractions informatiques.

Pour les rapporteurs du Conseil de l'Europe, le chiffrement est donc une bonne chose et est indispensable, mais gêne les forces de l'ordre et le travail d'investigation.



Casser le chiffrement en lui-même est vraiment compliqué, voire souvent quasi impossible avec les ressource dont on dispose aujourd'huiJef Mathiot, spécialiste en cryptographie et sécurité informatique

En résumé : la confidentialité des communications et le droit à la vie privée doivent être protégés mais devraient pouvoir être contournés ou "cassés", dans le cadre des  cyber-investigations criminelles.…

Casser ou contourner le chiffrement des communications ?

L'utilisation du chiffrement par des criminels, tout comme par des journalistes, des entreprises, ou des activistes, des militants, est en augmentation pour plusieurs raisons. Si l'on peut facilement comprendre pourquoi les criminels veulent rendre leurs données illisibles par ceux qui les traquent et empêcher que l'on intercepte et écoute leurs communications sur Internet, les autres acteurs concernés ont autant besoin  de confidentialité et de protection de leurs données grâce au chiffrement. Particulièrement depuis 2013 et les révélations de la surveillance illégale et généralisée de l'agence de sécurité américaine, la NSA, ou depuis que des groupes très performants de pirates sévissent à grande échelle de manière quasi industrielle sur la planète.

Quelles solutions propose le rapport du Conseil de l'Europe en matière de  de lutte contre la cyberciminalité liée au chiffrement ? Aucune en particulier, puisque le constat technique du rapport est sans ambiguité : 


Il n'existe de solution standard ni pour les données chiffrées ni pour les communications chiffrées. Après examen de chaque cas particulier, des mesures ciblées, telles que des mesures spéciales de surveillance des télécommunications ou des mesures de déchiffrement, peuvent être utilisées.

Les possibilités de casser un chiffrement sont abordées, mais avec les précautions d'usage : puissance de calcul et délais pour y parvenir sont énormes dans ce domaine. Le spécialiste en cryptographie et sécurité informatique, Jef Mathiot, du site d'investigation Reflets.info, explique cette quasi impossibilité de casser un algorithme de chiffrement grâce au calcul informatique : "Toute la cryptographie moderne est basée sur des fonctions mathématiques qui sont faciles à faire fonctionner dans un sens, quand on possède la clef pour produire du contenu chiffré, mais qui sont extrêment coûteux en temps et en ressources, donc en puissance de calcul, à jouer à l'envers, donc partir du contenu chiffré [sans la clef] afin d'obtenir le texte en clair. Cela étant dit ça ne reste pas impossible, en fonction de la qualité des secrets utilisés, c'est pour ça que le rapport évoque la force brute, c'est-à-dire essayer un très très grand nombre de mots de passe. Mais casser le chiffrement en lui-même est vraiment compliqué, voire souvent quasi impossible avec les ressource dont on dispose aujourd'hui. Donc les possibilités pour casser du chiffrement évoquées dans le rapport sont plus adapatées pour des chiffrements avec des algorithmes faibles ou des algorithmes forts mais combinées avec des algorithmes faibles."

Restent les méthodes plus humaines : ingénierie sociale et psychologique pour trouver les mots de passe des clés de chiffrement/déchiffrement, interrogatoires pour récupérer les accès des criminels, infiltration dans les espaces de communications… Mais ces approches très formelles et connues ne semblent pas être suffisantes pour les services européens de répressions de la cybercriminalité. D'où la volonté affichée dans le rapport de créer des partenariats publics/privés à des fins de "contournement" du chiffrement. Contourner le chiffrement ? Avec l'aide d'entreprises pivées ? Que cela signifie-t-il ?



Google, Facebook ou autres pourraient affaiblir de manière ciblée ou plus large la sécurité des terminaux ou des logiciels de certaines personnes

Failles et logiciels malveillants informatiques à vendre

Les partenariats public-privé dans le cas du contournement du chiffrement des communications sont, pour Jef Mathiot, dans le cadre de la sécurité informatique, une voie vers le piratage légal : "Si l'on veut contourner le chiffrement au lieu d'essayer de le casser, le plus simple est de pirater les terminaux, puisque l'on accède à ce moment là aux données en clair. Il y a deux catégories d'entreprises dans ce domaine. La première catégorie a comme métier de pirater légalement des serveurs ou des appareils. Ce sont en général des sociétés qui acquièrent des vulnérabilités informatiques par de la recherche interne ou en les achetant pour ensuite casser la sécurité des appareils ou des logiciels. C'est ce qu'on a vu avec le FBI et Apple, ou finalement, le FBI s'est tourné vers une société privée pour accéder à l'Iphone du tueur de San Bernadino. La deuxième catégorie qui pourrait collaborer avec les forces de l'ordre, ce ne sont pas des entreprises spécialisées en sécurité informatique ou en piratage, ce sont des fournisseurs de services, type Google, Facebook ou autres qui pourraient affaiblir de manière ciblée ou plus large la sécurité des terminaux ou des logiciels de certaines personnes."

Le chiffrement est un lien collectif, pas un bien individuel et égoïste comme certains de ses détracteurs le présentent.

L'Europe est en passe de vouloir réaliser une opération très contradictoire qui pourrait poser de nombreux problèmes à plusieurs niveaux. Vouloir préserver, voire renforcer la sécurité des données circulant sur Internet par le chiffrement et dans le même temps affaiblir cette garantie de confidentialité via une industrialisation du piratage par des entreprises spécialisées est parfaitement dichotomique et dangereux pour le spécialiste en sécurité informatique : "Le risque que des gouvernements par le biais de leurs forces de l'ordre disposent de moyens extrêment étendus pour écouter les échanges professionnels, personnels des citoyens, ouvre la porte à des abus en tout genre, que ce soit dans des régimes démocratiques ou un peu plus autoritaires. Il y a un  risque sur les libertés individuelles, et pas seulement pour les professions protégées, cela touche tout un chacun, comme les activistes, syndicalistes, lanceurs d'alerte, etc. Mais il y a aussi un risque auquel on pense moins facilement qui est celui de la relation de confiance qui pèse sur les fournisseurs de service et leurs utilisateurs. Le fait de contourner facilement le chiffrement en impliquant des opérateurs privés avec les forces de police risque de briser la confiance les utilisateurs envers ces opérateurs et de les inciter à se tourner vers d'autres services, qui seront paradoxalement moins sécurisés."


La lutte contre la cybercriminalité en Europe, en passant par le contournement de la sécurité obtenue par le chiffrement semble glisser vers la surveillance légale des communications, avec un biais que Jef Mathiot souligne en conclusion : "Le chiffrement est souvent présenté comme quelque chose de tourné vers l'individu, or la confidentialité des échanges c'est aussi et surtout pouvoir choisir avec qui je vais pouvoir discuter et de quel sujet, c'est de ce point de vue là avant tout une liberté collective. Le chiffrement est un lien collectif, pas un bien individuel et égoïste comme certains de ses  détracteurs le présentent."