Faut-il ou non chiffrer (et donc sécuriser) les informations personnelles en ligne ?
Du point de vue de la cybersécurité, il n’y a aucune ambiguïté : le chiffrement des données est une solution très efficace qui est notamment recommandée par les organismes officiels comme l’ANSSI (l’Agence y consacre notamment une partie de son MOOC sur la sécurité numérique).
En revanche, le recours aux logiciels de cryptage a été récemment critiqué, car améliorer la sécurité des données pourrait compliquer la lutte contre les fameuses “fake news” ou contre le terrorisme.
Pourtant, cette polémique n’a pas vraiment de raison d’être en France ! Voici quelques explications pour y voir plus clair.
Qu’est-ce qu’un logiciel de chiffrement ?
Prenons l’exemple de KrypkKey Mail, un service de gestion d’e-mail sécurisé (il inclus le chiffrement + une infrastructure dédiée) développé par MDK Solutions.
Concrètement, un utilisateur de KryptKey Mail peut envoyer et recevoir des emails sécurisés depuis n’importe quel ordinateur (PC ou Mac). Les e-mails et les pièces jointes sont chiffrés avant envoi, localement, et déchiffrés à la réception. S’ils sont interceptés, ils seront donc illisibles par le hacker puisqu’il ne disposera pas de la clé de chiffrement.
De plus, les emails envoyés ou reçus via KryptKey Mail circulent au travers d’un VPN dédié (Virtual Private Network = un réseau virtuel privé) et ils ne sont pas stockés sur les serveurs de MDK Solutions.
La confidentialité des données et leur cybersécurité est donc optimale.
Le chiffrement favorise-t-il vraiment la désinformation ?
Il ne faut pas se tromper : la plupart des polémiques autour du chiffrement tendent surtout à trouver un bouc émissaire simpliste au problème complexe de la désinformation ou même de la sécurité des personnes.
Tout l’enjeu est de trouver le bon équilibre entre la confidentialité de la data (pour protéger la vie privée des individus ou le secret des affaires) et la sécurité nationale.
Pour commencer il est donc important de séparer :
– les informations relevant de la sphère privée
Le chiffrement est accusé, dans certains cas, de ralentir voire bloquer la progression de certaines enquêtes. Par exemple, selon les Five Eyes (l’alliance des services de renseignement des Etats-Unis, de l’Australie, du Canada , de la Nouvelle-Zélande et du Royaume-Uni), les mécanismes de protection liés au chiffrement ne doivent pas être supprimés ou amoindris, mais ils ne doivent pas non plus permettre une protection absolue de la vie privée et des data. En effet, certains individus utilisent ces techniques pour mener à bien des activités terroristes et criminelles (y compris en propageant des fake news). Les Five Eyes cibleraient notamment certains réseaux sociaux comme WhatsApp (source).
Il faut toutefois noter que cette focalisation sur le chiffrement aboutit parfois à des situations ubuesques : ainsi, le département de la justice aux Etats-Unis a demandé à Facebook de retirer le chiffrement de bout en bout de ses appels téléphoniques sur Messenger… alors que cette fonctionnalité n’existe que pour les messages écrits ! (source)
– les informations relevant de la vie professionnelle
Les entreprises ont l’obligation d’optimiser la sécurité des données, donc le recours à un logiciel de chiffrement est vivement recommandé. Les débats récents autour des demandes pour affaiblir le chiffrement ne portent pas pour l’instant directement sur son utilisation à un niveau professionnel.
Le cas particulier de la France
La France n’est pas les Etats-Unis ! La protection offerte par n’importe quel logiciel de chiffrement n’est jamais absolue vis-à-vis de la justice.
Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende.
Dans ce contexte, pourquoi depuis 3 ans le procureur de Paris, mais aussi trois de ses homologues (au Maroc, en Espagne et en Belgique) considèrent que le chiffrement des communications est un obstacle à la résolution de certaines enquêtes (source) ?
En fait, ce débat est vieux comme le monde, seule la technologie change. Il est toujours tentant pour les autorités judiciaires (ce qui peut d’ailleurs se comprendre) de faire fi en permanence de la vie privée des individus pour accélérer les investigations. Mais il ne faut pas perdre de vue la recherche d’un juste équilibre et surtout le rapport bénéfices/risques. Si la sécurité informatique est affaiblie, combien de hackers ou d’escrocs s’engouffreront dans la brèche pour profiter à fond de cette faille ?
L’avis de Laurent Brault de MDK Solutions
Il y a deux types d’échanges d’informations qu’il convient de bien distinguer : certains sont effectués via des supports de type “réseau sociaux” tandis que les autres utilisent des systèmes dédiés à des échanges “one to one” et sont complètement séparés des environnements “Réseaux Sociaux”.
Ce n’est pas du tout la même chose ! Bien sûr, un service d’échange d’emails chiffrés n’est pas à l’abri d’être utilisé contre la sécurité des personnes. Toutefois, vendre un système de cryptologie en France ne s’improvise pas : il faut avoir déposé un dossier à l’ANSSI et être prêt à fournir les clés de chiffrement sur demande. Autant dire que si le risque zéro n’existe pas, il est considérablement réduit concernant les logiciels de chiffrement.