Pas de backdoor dans le chiffrement : l’Enisa persiste et signe

Pour l’Enisa, agence européenne de cybersécurité, l’utilisation de portes dérobées n’est pas une solution, car elle expose tous les publics, gouvernements et utilisateurs légitimes inclus.

Après s’être prononcée, en début d’année, pour la libre utilisation par les citoyens européens d’outils de chiffrement, l’Enisa (European Union Agency for Network and Information Security) réaffirme aujourd’hui les raisons pour lesquelles le contournement du chiffrement n’est pas la bonne solution, selon elle. Dans un avis récent, l’Enisa explique que les vulnérabilités créées par des backdoors (portes dérobées) sont une menace pour tous. Y compris donc pour les utilisateurs légitimes. L’agence européenne de cybersécurité observe, par ailleurs, que les pirates peuvent aussi développer et utiliser leurs propres outils de chiffrement.

« Il est légitime de protéger les communications entre individus, ainsi que les communications entre particuliers, administrations et entreprises. Le chiffrement fournit l’équivalent électronique de l’enveloppe, du cachet ou du sceau, et de la signature », rappele l’Enisa dans son avis. « À la suite d’attaques terroristes et face au crime organisé, la police et les services de renseignement ont demandé à être dotés des moyens légaux pour contourner ces mesures de protection. Si l’objectif [ndlr : la lutte contre le terrorisme] est légitime, il reste que limiter l’utilisation d’outils de chiffrement va créer des vulnérabilités qui pourront être utilisées par les terroristes et les criminels eux-mêmes ».

« Options techniques  » alternatives

D’autres options, comme le séquestre des clés par un tiers, ne sont pas non plus considérées comme une alternative fiable.  Par  ailleurs, l’Enisa pense que passer par la loi pour réduire la portée du chiffrement n’est pas l’idéal non plus. Cela pourrait augmenter la défiance des citoyens en Europe et impacter négativement l’industrie et la société civile dans l’Union européenne.  Que faire, alors ?

L’autorité de cybersécurité européenne travaille avec Europol pour trouver des « options techniques  » alternatives permettant de répondre aux besoins de la police tout en maintenant une cryptographie forte. Un groupe de travail dédié à « l’impact de la cryptographie sur les forces en charge de l’application de la loi » doit prochainement rendre les premiers fruits de ses travaux.

L’Enisa n’est pas la seule organisation à promouvoir le chiffrement fort à l’échelle européenne.  C’est notamment aussi le cas du groupe des Cnil européennes, le G29. Ce dernier a publié cet été un plaidoyer en faveur du chiffrement de bout en bout.

Lire aussi :

L’Enisa très critique sur les contournements du chiffrement
Des trappes dans plusieurs millions de clés de chiffrement
Une IA est capable de concevoir son propre chiffrement