Faut-il vraiment se laisser attendrir par le patron du FBI qui déplore les conséquences pour la police des techniques d’encodage proposées par les géants du web à leurs utilisateurs ?

Atlantico : Cela peut sembler étonnant d'entendre un policier affirmer qu'un cryptage est trop important à une époque où les vols massifs de données sont de plus fréquents. Qu'en est-il ?

François-Bernard Huyghe : Il faut tout de même dire qu'il s'agit d'une simple proposition, la formulation était assez prudente. Premièrement, cette affaire est un vieux serpent de mer, cela fait depuis les années Clinton qu'on se demande s'il ne faut pas que l'Etat ait les moyens de pouvoir briser tout système de cryptologie. Il y a eu plusieurs tentatives, dans un certain nombre de pays d'ailleurs, de législation empêchant l'in-écoutabilité ou l'in-intercéptabilité des communications par la loi. Par ailleurs, on sait que le job de la NSA est de travailler toute la journée à casser les systèmes de cryptage. En 2013, les révélations d'Edward Snowden ont mis en lumière des actions de la NSA pour limiter les capacités de cryptage des particuliers, et notamment des entreprises, par des conseils, ou plutôt "d'amicales pressions", aux grands de la Silicon Valley. Ce n'est pas quelque chose de nouveau. Rappelons aussi qu'en France, il y a eu un moment où la cryptologie était limitée, un peu à la manière des armes, c'est Lionel Jospin qui a levé cette limitation.

Je suis très sceptique sur cette proposition. D'abord, je ne suis pas du tout sûr que ce soit efficace. Le prétexte utilisé est la lutte contre le terrorisme, or on sait très bien qu'avant le 11 septembre 2001, il y a eu une disproportion monstrueuse des moyens dont se dote la NSA (10 milliards de budget actuellement), et le nombre d'attentats réellement évités. D'ailleurs, il n'y a pas de réels exemples où des catastrophes aient été empêchées uniquement par de l'interception. On a l'impression qu'il s'agit d'un prétexte, d'autant plus troublant que les révélations WikiLeaks nous confirment l'énorme activité d'espionnage industriel des Etats-Unis. Or, si toutes les clefs de cryptologie sont à leur portée ou si, pire encore, on introduit chez le fabricant une "porte de derrière", qui garantirait que dans certaines conditions l'Etat pourrait toujours avoir accès aux données, il est évident que cela ne contribuera pas à la confiance entre Etats et entreprises. Ce n'est pas très crédible. Deuxièmement, s'il y a un défaut dans les systèmes de cryptologie, rien ne garantit que ce sont uniquement les "gentils" du FBI, agissant conformément à la loi, qui s'en serviront et non pas les hackers, les espions, d'autres puissances. Il y a encore eu 2 millions den données volées récemment. Cela fragiliserait le système. Troisièmement, comment peut-on expliquer aux entreprises, qui ont dû compenser des millions de dollars de pertes après l'affaire PRISM pour convaincre leurs clients de la fiabilité des communications, que le FBI aura toujours accès à leurs données cryptées ? L'interception totale est un vieux fantasme qui ressort, mais je ne pense pas que cela arrivera, et je ne le souhaite pas.

Sur le plan technique, quels sont les systèmes de cryptage utilisés par les entreprises concernés ? A quoi servent-ils ?

Le FBI voudrait empêcher les systèmes dits "end-to-end", c’est-à-dire les systèmes de cryptologie qui ne peuvent être cassés même par la société qui les produit, qui les a donnés aux utilisateurs. C'est un peu comme si on fabriquait un coffre-fort dont on donnait toutes les clefs aux clients. Ce sont ces système-là qui seraient visés. Par ailleurs, cela va contre une tendance économique en hausse, car les chefs d'entreprise lisent aussi les journaux, tendant davantage de sécurité dans les connexions.

Ces systèmes protègent dans une entreprise une multitude de données confidentielles : ce qui ressort en recherche et développement, les propositions pour répondre aux appels d'offre, les contrats, tout ce qui donnerait un avantage à un concurrent. Il y a énormément de données qui peuvent aider à prévoir la stratégie future d'une entreprise, et tout cela  a une valeur commerciale. D'ailleurs, il faut noter que c'est sans rapport avec le prétexte initial : la lutte contre les terroristes. Or ces derniers utilisent des applications de messagerie telles que What's App, qui s'est récemment dotée d'une cryptologie plus forte. Par ailleurs, les djihadistes ne sont pas stupides, certains documents leur donnent des conseils pour ne pas se faire géolocaliser, utiliser le réseau TOR etc. Cela fait partie des conseils de base donnés par les chefs.

Cette idée de législation s'intéresse donc à des systèmes privés de cryptage qu'une entreprise ou qu'un particulier lambda pourrait acheter. C'est un peu contradictoire, comme demander à des fabricants de coffres forts qu'ils affirment qu'on peut les ouvrir. A mon avis, cela n'ira pas très loin bien que l'idée revienne régulièrement. A côté de cela, il se passe des choses inquiétantes, en ce moment un texte est discuté au Sénat américain  qui obligerait les fournisseurs de plateformes de messagerie à transmettre d'eux-mêmes les évènements qui paraissent être liés au terrorisme.

A partir de ces déclarations quel équilibre peut-on trouver entre la sécurité et le respect de la vie privée ?

Il s'agit de la vieille lutte de la balance et du glaive. Je pense que c'est la capacité de cryptologie qui l'emportera sur la surveillance pour une raison simple : il y a énormément de cerveaux très motivés qui  cherchent dans ce domaine. Par ailleurs, de plus en plus de gens qui rentrent dans ce système, même certains de mes étudiants avec lesquels je corresponds me donnent leur clef de cryptologie asymétrique comme s'ils étaient des espions ! (tout en faisant des choses normales et innocentes). Il y a une demande du public dans ce sens. Après, si on met tous les moyens pour casser un code on y parvient toujours. Il y aura aussi toujours moyen, pour ceux qui en ont l'énergie et le temps, d'avoir une assez forte intimité, mais en faisant beaucoup d'efforts pour cela.

Par ailleurs, en matière de lutte contre le terrorisme, le problème n'est pas d'avoir de superbes outils de renseignement, mais aussi d'intervenir. Si l'on ne décide pas d'intervenir, on n'empêche rien du tout. Pour des gens comme Merah, les Kouachi, Coulibaly, on aurait pu intervenir.