Le prochain gouvernement allemand entend se prononcer plus fermement en faveur du chiffrement de bout en bout et contre l'introduction de portes dérobées, a déclaré l'expert en politique numérique des sociaux-démocrates (en allemand : Sozialdemokratische Partei Deutschlands, abrégé en SPD) qui a co-négocié le chapitre de l'accord de coalition sur la numérisation.
Depuis des années, le chiffrement est au cœur des débats politiques de nombreux pays. Aux États-Unis, ce débat a été alimenté par des épisodes comme le bras de fer opposant le FBI à Apple sur l’affaire San Bernardino. En Russie, les autorités ont mis en place un cadre juridique dans lequel les entreprises technologiques seraient contraintes d’ajouter des portes dérobées sur le chiffrement de leurs services. En France, les parlementaires et ministres ont déjà envisagé de modifier la législation en vigueur, notamment pour rendre obligatoires les portes dérobées. Quel que soit le pays, le leitmotiv évoqué reste le même : renforcer les mesures antiterroristes, aussi bien dans la prévention que pour le bon déroulement des enquêtes.
Cette fois-ci, pour lutter contre la maltraitance des enfants, des discussions sont actuellement en cours au niveau de l'UE pour affaiblir le chiffrement et introduire des «*portes dérobées*», qui sont le plus souvent utilisées pour sécuriser l'accès à distance à un ordinateur. Les services de messagerie comme WhatsApp ou Telegram, jusqu'à présent protégés par un chiffrement de bout en bout, pourraient ainsi être fouillés à la recherche de contenus pédopornographiques.
Contexte sur la scène européenne
En 2015, le Gouvernement allemand d'Angela Merkel a signé une charte contenant des plans pour devenir le « site de cryptage numéro un ». Cependant, peu de temps après la signature de cette charte, le Gouvernement allemand dirigé par le parti conservateur CDU a changé de cap et s'est aligné sur les autres nations européennes pour demander un « accès légal aux données chiffrées ». Au niveau national, le Gouvernement a dû faire face à une forte opposition, y compris au Parlement.
En août 2017, le ministre français de l’Intérieur et son homologue allemand ont présenté une initiative franco-allemande sur la sécurité intérieure en Europe, dans le but de renforcer la lutte contre le terrorisme. La question du chiffrement était l’une des plus importantes, alors que les deux ministres ont appelé à prendre des mesures contre la généralisation du chiffrement des communications, de sorte qu’elle ne fasse pas obstacle au bon déroulement des enquêtes judiciaires.
Dans leur déclaration conjointe, ils invitent implicitement Bruxelles à trouver des moyens de contourner le chiffrement des communications par voie électronique lors des enquêtes judiciaires et administratives, « tout en garantissant la fiabilité des systèmes hautement sécurisés ».
« La lutte contre le terrorisme requiert de donner les moyens juridiques aux autorités européennes afin de tenir compte de la généralisation du chiffrement des communications par voie électronique lors d'enquêtes judiciaires et administratives », avaient-ils écrit dans un document adressé à Bruxelles. « La Commission européenne doit veiller à ce que des travaux juridiques et techniques soient menés dès maintenant pour étudier la possibilité de définir de nouvelles règles à la charge des prestataires de services de communication par voie électronique tout en garantissant la fiabilité des systèmes hautement sécurisés », ajoutent-ils.
En 2018, le FDP (le Parti libéral-démocrate), a appelé à un « droit au chiffrement ». Le groupe parlementaire FDP a demandé au gouvernement allemand de soutenir le droit au chiffrement. Un tel droit permettrait d'accroître « l'acceptation et l'utilisation généralisée des technologies de chiffrement au sein de la population, de l'économie et des institutions publiques. Le même droit qui est nécessaire dans le monde analogique est également nécessaire dans le monde numérique. »
Au lieu de cela, le gouvernement allemand s'est aligné avec plusieurs autres nations pour lancer l'idée d'une rétrocession du chiffrement via le Conseil européen. Le plan était de faire passer cette idée au niveau européen également en raison de la forte opposition civile et politique au niveau national.
Le précédent gouvernement allemand, qui était dirigé par des conservateurs, s'est joint à d'autres nations européennes pour demander un « accès légal aux données chiffrées. » En 2020, le Conseil européen dirigé par l'Allemagne a approuvé une résolution intitulée « La sécurité par le chiffrement et la sécurité malgré le chiffrement. » La résolution ne proscrit pas le chiffrement, mais soutient l'utilisation de portes dérobées à des fins d'application de la loi.
La direction allemande
Selon Jens Zimmermann, les négociations de la coalition allemande avaient indiqué « assez clairement » que le nouveau gouvernement des sociaux-démocrates (SPD), des Verts et du parti libéral-démocrate (en allemand : Freie Demokratische Partei, abrégé en FDP) favorable aux entreprises rejetterait « l'affaiblissement du chiffrement, qui est tenté sous l'apparence de la lutte contre la maltraitance des enfants » par les partenaires de la coalition.
De telles réglementations, qui sont déjà inscrites dans la solution provisoire du règlement ePrivacy, par exemple, « contredisent diamétralement le caractère de l'accord de coalition » car un chiffrement sécurisé de bout en bout y est garanti, a déclaré Zimmermann. L'introduction de portes dérobées saperait cet objectif de l'accord de coalition, a-t-il ajouté.
« Ce qui est parfois proposé dans le règlement ePrivacy va bien au-delà de ce que nous envisageons en termes de gestion des vulnérabilités », a déclaré Zimmermann, ajoutant que la mise en œuvre « signifierait la création active de vulnérabilités ».
Pourtant, les experts en sécurité dans plusieurs pays ont déjà mis en garde sur le fait que les outils utilisés par les entreprises technologiques pour introduire des portes dérobées entraîneraient non seulement d'énormes risques de sécurité, mais porteraient également atteinte de manière disproportionnée à la vie privée des utilisateurs.
Par exemple, Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a soutenu que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité [des] données numériques sensibles ». Pour étayer son affirmation, il rappelle que les échanges couverts par le secret de défense nationale, les données de santé, les données stratégiques des entreprises et les données personnelles des citoyens sont quelques exemples d’éléments auxquels profite le chiffrement. Raison pour laquelle il estime que le développement et l’usage généralisé de ces moyens défensifs doivent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques.
C’est pourquoi l’ANSSI estime que « toute évolution de la législation vers une mesure générale “d’obligation de résultat” visant à garantir la possibilité d’accéder à des informations protégées aura pour effet désastreux d’imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques employés ». Cet affaiblissement est « susceptible d’être exploité par des attaquants aux profils variés ».
De plus, il a rappelé que les technologies robustes de chiffrement sont aujourd’hui largement diffusées et relativement aisées à implémenter. Par conséquent, « le développement de logiciels non contrôlables, faciles à distribuer et offrant un niveau de sécurité très élevé est à la portée de n’importe quelle organisation ». Raison pour laquelle il a pensé « qu’imposer un affaiblissement généralisé des moyens cryptographiques serait attentatoire à la sécurité numérique et aux libertés de l’immense majorité des utilisateurs respectueux des règles tout en étant rapidement inefficace vis-à-vis de la minorité ciblée ».
« Ce n'est bien sûr pas un hasard si, une fois de plus, le véhicule de la lutte contre la maltraitance des enfants est utilisé », a déclaré Zimmermann, notant que, sur le plan émotionnel, c'est « le plus grand levier que vous puissiez tirer ». Les partisans de l'affaiblissement du chiffrement invoquent principalement la lutte contre la maltraitance des enfants comme argument.
C'est la « voie complètement fausse » à prendre pour la nouvelle coalition, a prévenu l'expert du numérique, ajoutant qu'il « suppose déjà que l'Allemagne se positionnera désormais plus clairement ici ».
Politique numérique de l'Allemagne au niveau de l'UE
Zimmermann a également souligné que le prochain gouvernement allemand représenterait ses intérêts beaucoup plus fortement au niveau de l'UE. « Nous voulons faire de la politique numérique européenne un moule unique », a-t-il déclaré.
Lors des négociations de coalition, il a été convenu que « l'Allemagne a eu tendance à adopter une position attentiste sur le thème du numérique en Europe ».
Selon Zimmermann, cela s'applique principalement aux grands dossiers de l'UE comme la loi sur les services numériques ou la loi sur les marchés numériques (DMA), où l'Allemagne n'a pas réussi à s'imposer comme une force motrice et s'est isolée sur certaines questions.
La nouvelle coalition s'est ainsi mise d'accord sur l'objectif de poursuivre « une politique numérique cohérente en Europe », a déclaré le responsable politique du SPD. Le prochain gouvernement veillerait à ce que la réglementation sur le DMA, qui vise à limiter le pouvoir de marché des grandes entreprises numériques, ne soit pas en deçà de la loi sur les restrictions de la concurrence, a également déclaré Zimmermann.
En ce qui concerne la loi sur les services numériques (DSA), la coalition a déclaré qu'elle s'efforcerait de « trouver un nouvel équilibre » entre les droits des citoyens et les intérêts de sécurité.
L'accord de coalition présente les principales priorités du DSA. Il s'agit notamment de plaider pour la protection des libertés de communication, un renforcement des droits des utilisateurs et l'accès aux données des grandes entreprises numériques à des fins de recherche. Les algorithmes utilisés par les entreprises technologiques doivent être rendus plus vérifiables et des règles plus claires en matière de désinformation doivent être créées, indique également l'accord.
Au niveau national
La loi allemande sur l'application des réseaux (NetzDG), qui a une portée similaire à la DSA de l'UE et a servi de modèle, selon Zimmermann, n'est pas sans controverse dans le pays. Le FDP a fait campagne pour son abolition lors de la campagne électorale du Bundestag car, selon le parti libéral, il empiétait trop sur les libertés civiles.
Mais Zimmermann ne pense pas que le parti libéral va traîner de long en large sur le NetzDG dans les discussions sur le DSA de l'UE. « Il ne s'agit plus de remporter des victoires symboliques, mais il faut simplement voir à ce qu'on obtienne un bon règlement au final », a déclaré Zimmermann.
Source : Entretien avec Jens Zimmermann
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
L'alliance franco-allemande contre le chiffrement appelle à une législation européenne, l'Europe va-t-elle affaiblir le chiffrement ?
La plus grande menace de rançongiciels serait le chiffrement des fichiers cloud partagés, selon les chercheurs de Vectra
La cryptanalyse des algorithmes de chiffrement GPRS GEA-1 aurait une faille intentionnellement cachée, selon l'IACR
L'Allemagne est sur le point de modifier sa constitution afin de permettre aux 19 services secrets de pirater n'importe qui à tout moment, pour n'importe quelle raison, en secret
Le nouveau gouvernement allemand promet de prendre en charge le chiffrement de bout en bout et de rejeter les portes dérobées
Le nouveau gouvernement allemand promet de prendre en charge le chiffrement de bout en bout et de rejeter les portes dérobées
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !