Données personnelles : Ces « portes dérobées » que des autorités veulent intégrer aux messageries chiffrées

CYBERSECURITE Les autorités de plusieurs pays souhaiteraient que les messageries chiffrées intègrent volontairement des failles à leur système, des « backdoors », afin d’accéder aux messages d’utilisateurs dans le cadre d’enquêtes.

Marie De Fournas

— 

Une
Une — Pixabay / KRiemer
  • Des failles de sécurité cachées volontairement dans les codes des messageries chiffrées faciliteraient le travail des enquêteurs pour accéder aux messages privés de trafiquants ou terroristes par exemple.
  • Ces « backdoors » pourraient aussi entraîner des dérives de surveillance de masse dans certains pays selon les experts.
  • Enfin, elles affaibliraient l’ensemble du système de sécurité des messageries chiffrées, justement apprécié des utilisateurs.

Mais c’est quoi cette « porte dérobée » ? La semaine dernière WhatsApp attaquait en justice l’entreprise NSO, accusée d’avoir participé au piratage du logiciel victime d'une faille, à des fins d’espionnages. Ce fâcheux événement a donné à l’entreprise un argument de taille pour ne pas céder à la pression des autorités de plusieurs pays. Certains gouvernements, dont les Etats-Unis souhaitent accéder aux messages d’utilisateurs, officiellement dans le cadre d’enquêtes, via des « backdoors » ou « portes dérobées » en français.

Les backdoors, sont des failles de sécurité cachées dans le code d’un logiciel. Elles peuvent avoir été oubliées au moment de la conception ou bien avoir été intégrées volontairement. Dans le second cas, elles permettent d’accéder à distance au logiciel. « La présence d’une backdoor n’est d’aucune utilité pour un utilisateur, puisqu’il a déjà accès à ses propres données. Elle peut en revanche permettre à une autre personne d’accéder à ses données personnelles sans qu’il ne s’en rende compte », explique Jérôme Notin, Directeur général du  Dispositif national d’assistance aux victimes de cybermalveillance. C’est comme si le logiciel était une maison, avec une porte d’entrée bien visible et fermée à double tour, mais qu’à l’arrière de l’habitation, il y avait une petite porte cachée plus facile à ouvrir.

« Accéder à ce qu’écrivent des personnes malveillantes »

Aujourd’hui, les messageries de communication telles que Telegram, WhatsApp ou Signal permettent l’envoi de messages chiffrés de bout en bout. « C’est comme s’ils étaient envoyés dans un tunnel reliant deux appareils possédant le logiciel et que seuls les utilisateurs de ses deux appareils y avaient accès, donne comme image Jérôme Notin. Pour intercepter ces messages, on peut tenter de déchiffrer l’algorithme de chiffrement, mais c’est très dur car ces derniers sont de plus en plus complexes. Ou alors on peut entrer par une backdoor si le logiciel en possède une. A ce moment-là, on accède au logiciel et donc à tous ses tunnels. »

« Il y a une forte demande des forces de l’ordre pour avoir ce dispositif sur des messageries chiffrées, car au fil des années, les moyens de sécurisation des réseaux de communication que l’on utilise ont augmenté, détaille Gérôme Billois, expert en cybersécurité au cabinet Wavestone. Les textes de lois permettent d’intercepter les textos et appels, mais nos moyens de communication immigrent sur des sociétés privées situées dans des pays où ne se trouvent pas les utilisateurs. Toute la question porte sur l’interception des communications et accéder à ce qu’écrivent des personnes malveillantes. »

« Ce genre de système peut très bien permettre de la surveillance de masse »

L’argument de taille mis en avant par les autorités est clair : simplifier l’accès à ces communications faciliterait grandement le travail des enquêteurs. « En passant par un processus judiciaire classique, les démarches sont lourdes et longues. Cela peut prendre plusieurs mois et ce n’est par exemple pas envisageable dans la lutte contre le terrorisme », poursuit Gérôme Billois. « Les défenseurs des backdoors disent que ces messageries chiffrées sont utilisées par des trafiquants de drogue, d’armes et des terroristes, dont il faut pouvoir intercepter les communications. Au départ, on peut se dire que c’est une bonne idée », admet David Boucher, responsable du pôle d’expertise cybersécurité chez Adista. L’installation de ce type d’accès caché, qui ne serait communiqué qu’à la police, n’est toutefois pas sans risques.

« Nous vivons en France dans un pays en démocratie, mais que se passera-t-il si demain nous avons un changement politique important avec un parti politique tenté d’utiliser ce moyen à d’autres fins que l’objectif initial ? Ce genre de système peut très bien permettre de la surveillance de masse », lance David Boucher, suggérant que dans certains pays, cette pratique pourrait déjà aujourd’hui être appliquée si les messageries laissaient des backdoors dans le code de leur logiciel.

« Une porte dérobée c’est aussi la porte ouverte à des problèmes de sécurité »

Second problème : la mise en péril du système de sécurité. « Pour nous, la présence d’une porte dérobée c’est aussi la porte ouverte à des problèmes de sécurité », assure Jérôme Notin, dont le dispositif national d’assistance aux victimes de cybermalveillance favorise au contraire le chiffrement des communications. « Le fait que cette vulnérabilité existe fait que tôt ou tard quelqu’un va la découvrir. Tout simplement parce qu’il y a des gens qui passent leurs journées à les chercher : des chercheurs en sécurité mais aussi des groupes plus rapides et moins bien intentionnés. Et ce n’est pas un secret que dans le domaine de la cybercriminalité, il a des gens très compétents », souligne David Boucher.

« C’est compliqué de dire que pour une petite communauté de criminels on va porter atteinte à la sécurité des messages privés de l’ensemble des utilisateurs », conclut l’expert d’Adista.