La Grande-Bretagne va bannir le chiffrement indéchiffrable

Présentée ce mercredi par le gouvernement britannique, l’Investigatory Powers Bill obligerait les éditeurs d’applications à conserver les moyens de déchiffrer les communications qu’ils facilitent, pour coopérer efficacement avec la police ou les services de renseignement en cas de besoin.

La mesure avait été annoncée avant l’été par le Premier ministre David Cameron, et devrait être confirmée ce mercredi lors de la présentation de l’Investigatory Powers Bill, un projet de loi sur l’extension des pouvoirs d’enquête des policiers. Selon le Telegraph qui a pu prendre connaissance des grandes lignes du texte, le gouvernement britannique imposera dans cette loi que les entreprises conservent les moyens de déchiffrer les communications, lorsqu’ils fournissent des outils de communication chiffrée aux utilisateurs.

« Des mesures présentes dans l’Investigatory Powers Bill feront peser sur les entreprises technologiques et les fournisseurs de services une obligation d’être en capacité de fournir des communications déchiffrées à la police ou aux agences d’espionnage, si c’est demandé à travers un mandat », rapporte le Telegraph.

Haro sur le chiffrement vraiment privé

Le chiffrement ne sera pas interdit, même de très haut niveau, mais il sera alors imposé en pratique aux prestataires de conserver les clés qui permettent de déchiffrer le contenu des échanges interceptés, ou de prévoir des failles dans l’implémentation des protocoles de chiffrement, pour être capable de les déchiffrer sur demande.

La mesure est ardemment souhaitée par les services de renseignement et par la police judiciaire, qui s’agacent de ce qu’Apple ou Google se placent désormais techniquement dans une position totalement extérieure aux communications chiffrées de leurs clients, et soient ainsi incapables d’aider les services lorsqu’ils le demandent. L’été dernier, le chiffrement du contenu des mobiles avait fait l’objet d’une lettre ouverte dans le New York Times co-signée par le procureur de Paris François Molins, qui estimait cette mesure irresponsable.

C’est aussi et surtout le chiffrement de bout en bout demandé par les eurodéputés et mis en place par un nombre croissant de messageries qui inquiètent les enquêteurs et les services de renseignement, qui se retrouvent incapables de comprendre le contenu des messages sans y mettre d’importants moyens de décryptement. Avec la loi britannique, fournir de tels outils incontrôlables deviendrait illégal.

en France, une obligation de coopérer au déchiffrement

Mais la portée pratique de la loi reste sujette à caution, alors qu’un grand nombre des messageries sécurisées sont des solutions open-source qui n’ont pas d’éditeur à poursuivre en justice.

En France, l’article 30 de la loi pour la confiance dans l’économie numérique (LCEN) affirme depuis 2004 que « l’utilisation des moyens de cryptologie est libre ». Il n’existe aucune obligation de permettre l’écoute en clair des communications, sauf pour les opérateurs de communication électroniques déclarés comme tel (d’où notamment les procédures contre Skype pour l’obliger à adopter ce statut en France).

En revanche, si l’éditeur d’une solution de communication chiffrée dispose d’une clé de déchiffrement, l’article 434-15-2 du code pénal l’oblige à coopérer avec les autorités judiciaires pour déchiffrer un message sur requête. Le refus de fournir la clé ou de déchiffrer soi-même est puni de 3 ans de prison et 45 000 euros d’amende, et la peine est portée à 5 ans de prison et 75 000 euros d’amende « si le refus est opposé alors que la remise ou la mise en oeuvre de la convention [secrète de déchiffrement] aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets ».

Crédit photo de la une : CC Jon’s Pics