De plus en plus de politiques exigent que les fabricants et développeurs informatiques conçoivent des « portes dérobées » (backdoor) afin de garantir l’accès aux données. S’ils y voient un avantage évident en matière policière ou judiciaire, ils ont malheureusement tendance à oublier toute une série d’effets pervers. En réalité, le remède est sans doute pire que le mal.

Du FBI à l’État français : haro sur le chiffrement privé ?

Un bras de fer sur la question du chiffrement et de la cryptographie a lieu depuis de nombreux mois entre l’État américain et ses agences d’un côté et les fabricants et développeurs informatiques de l’autre. Une affaire récente a, en particulier, cristallisé ce débat : quand, en février 2016, le FBI a exigé qu’Apple donne la clé permettant de décrypter l’iPhone des terroristes de l’attaque de San Bernardino. Puisque le contenu du précieux smartphone est chiffré (encrypted), sans clé, il est impossible – même pour le FBI – d’accéder à son contenu dans un temps raisonnable.

De plus en plus d’autorités politiques et gouvernementales – des Etats-Unis à l’Europe – exigent dès lors que les fabricants et développeurs informatiques conçoivent de manière systématique une porte dérobée (backdoor) dans leurs outils. Une porte d’accès qui permettrait de contourner le chiffrement – quelle que soit son origine, privée ou non – grâce à un accès direct.

C’est dans ce contexte que le 13 avril 2016, deux sénateurs américains – Richard Burr et Dianne Feinstein – ont déposé un nouveau projet de loi qui accorderait aux tribunaux le pouvoir d’ordonner aux entreprises de technologie comme Apple ou Facebook d’aider les autorités à décrypter les données stockées par leurs produits ou services. Techniquement, le projet n’interdit pas à ces entreprises de chiffrer les données mais, dans le cadre d’un mandat judiciaire, il les oblige à remettre les données aux autorités dans un “format intelligible”.

En France, les discussions récentes autour du projet de loi de lutte contre le crime organisé et le terrorisme ont elles aussi ranimé ce débat.

Ouvrir à quelques-uns, c’est ouvrir à tous

Si ces projets n’ont pas pour objectif d’abolir la possibilité de chiffrer un contenu, ils auraient néanmoins pour effet de rendre le chiffrage systématiquement inefficace.

Dans la mesure où les constructeurs et développeurs informatiques devraient toujours être en mesure de décrypter les données si un tribunal en faisait la demande, ils devraient donc construire systématiquement, d’une manière ou d’une autre, une “porte dérobée”. Et comme tout système de protection, une forteresse n’est pas plus impénétrable que son élément le plus fragile. Donc, s’il existe une porte, aussi petite soit-elle, qui permet de rentrer et sortir à l’envie, rien ne garantit que seules des personnes bien intentionnées pourront l’emprunter.

Si l’abolition du chiffrage intégral permet aux gouvernements d’accéder à certains contenus – dans des cas de terrorisme par exemple -, il amoindrit aussi la sécurité de tous les utilisateurs envers les actions malveillantes. Et c’est donc toutes nos informations qui deviennent plus vulnérables aux cyber-attaques.

Et ce qui est “simplement embêtant” dans un contexte privé (qui a envie qu’un petit malin vienne consulter ses données personnelles ?) peut devenir franchement problématique dans un contexte financier (quid de mes données de carte de crédit ?) ou crucial dans un contexte d’entreprise. Si, demain, toutes les entreprises utilisent un service ou un appareil à la merci des hackers de tous poils, plus rien ne les protège de l’espionnage industriel ou tout simplement d’actes de malveillance.

Au-delà des enjeux d’intelligence économique entre entreprises, c’est d’ailleurs le rapport de force entre les états qui est menacé. Des programmes de surveillance comme Prism mettraient, par exemple, les entreprises européennes à la merci de leurs concurrentes américaines. Dans le cadre d’une législation obligeant les fournisseurs de technologie à collaborer, l’État américain pourrait en effet exiger que les entreprises américaines lui cède les données qui concernent n’importe lequel de ses clients ou utilisateurs. Et dans un contexte où l’État se mêle de plus en plus de protéger ses intérêts économique, on peut comprendre que les entreprises non-américaines voient d’un mauvais œil que leurs données ne puissent même plus être chiffrées de façon fiable. Si même cette protection n’est plus possible, c’est leur système de défense contre l’intelligence économique qui est mis à nu.

La porte dérobée : un remède pire que le mal

Si ce projet de loi américain était voté, les entreprises européennes se verraient donc dans l’obligation d’abandonner l’usage des appareils et services informatiques des fournisseurs américains. Et ce serait donc un coup majeur porté à la compétitivité des États-Unis, qui verrait leurs clients se tourner vers les services chiffrés offerts par entreprises non soumises à ces contraintes…

Logiquement, ce projet de loi a d’ores et déjà fait l’objet de vives critiques de la part des entreprises technologiques ainsi que de certains parlementaires américains. Alors que les révélations d’Edward Snowden, notamment sur le programme Prism, ont à peine fini de faire parler d’elles, il est difficile d’imaginer que ce texte puisse être adopté dans sa forme actuelle, tant il porterait un coup fatal à l’économie américaine par une diminution de son activité internationale.

Et, de notre côté de l’Atlantique, à l’heure où nos parlementaires débattent de cette idée, il faut donc que nous soyons nous aussi vigilants à ne pas reproduire les erreurs que nos amis américains sont tentés de faire…

Par Pauline Glikman et Nicolas Glady, respectivement étudiante à l’Essec et professeur titulaire de la chaire Accenture Strategic Business Analytics de l’Essec.

A lire aussi, les précédentes tribunes de N. Glady :

Pourquoi il est nécessaire de repenser le contrat de travail

Que valent vraiment vos données personnelles ?

Machine Learning contre statistiques « classiques » : qui remportera le match ?

Crédit photo : BeeBright / Shutterstock