La cryptologie sécurise-t-elle la vie privée ?

La cryptologie sécurise-t-elle la vie privée ?

Le débat sur le cryptage des données fait de nouveau rage, avec un concert de positions contradictoires de la part des spécialistes techniques, juridiques, économiques et politiques. L’affaire qui a opposé Apple au FBI, et plus récemment l’utilisation de la messagerie cryptée Telegram par des terroristes, ont montré combien le sujet fait polémique. Mais n’est-ce pas une tempête dans un verre d’eau ?

Une très vieille histoire

C’est depuis l’Irak que Daesh a pu recommander à ses adeptes d’utiliser des moyens de communication cryptés pour échapper à la surveillance des gouvernements. Ironiquement, le premier cryptage connu remonte à 37 siècles auparavant, sur une tablette d’argile d’un potier … irakien ! Depuis, toute l’histoire de l’humanité est constellée de batailles de plus en plus homériques entre chiffreurs et déchiffreurs, qui ont finalement fondée l’informatique. 

La cryptologie moderne repose sur des mathématiques et du logiciel. Il faut donc s’allier des mathématiciens pour mener la course en tête, qu’il s’agisse de cryptage ou de décryptage. De puissantes organisations criminelles ou terroristes, ainsi que des états voyous, peuvent donc débaucher des petits génies, dans des pays où le rapport entre la qualité des scientifiques et le pouvoir d’achat est favorable. Il en est de même des gouvernements démocratiques, dont les plus riches peuvent de surcroit accéder à des puissances de calcul toujours plus grandes, ce qui donne l’avantage aux déchiffreurs, pour un temps limité. 

Un débat inextricable

Le grand public tout comme les entreprises et les états affectionnent de protéger leurs secrets. Certains considèrent que les Etats ont toujours eu le droit voire le devoir de pouvoir intercepter les messages et donc qu’il faut imposer des backdoors aux cryptages utilisés par des applications transitant par des appareils et des réseaux soumis aux lois. D’autres répondent que l’existence même de telles clefs fragilise considérablement la crédibilité d’un cryptage durablement robuste, donc de la vie privée. Enfin, les plus astucieux et les politiques eux-mêmes s’échinent à trouver des solutions intermédiaires où la clef de déchiffrage serait aux seules mains des opérateurs d’applications ou de réseaux et ne serait utilisée qu’à la demande expresse d’un pouvoir légitime (en France, les magistrats judiciaires ou la CNCTR, voire la DGSE), avec moult coffres-forts numériques, authentification des accès, traçabilité, certifications, etc.  Ce débat très technique cache à peine le désarroi philosophique de nos sociétés qui ne savent plus comment arbitrer entre la sécurité et les libertés. Et c’est peine perdue puisque les études et consultations aboutissant à des projets de loi normées à portée nécessairement internationale prennent beaucoup plus de temps que la course de la technologie et de l’ingéniosité humaine. Sans oublier la surpuissance de l’économie car si les GAFA et autres marchands pouvaient être systématiquement soupçonnés d’informer des Etats ou des cyber-mercenaires, ils saborderaient leurs propres fonds de commerce.

L’arbre qui cache la forêt

Mais en vérité, le cryptage est-il le meilleur rempart contre le viol de la vie privée ? Je ne le crois pas, parce qu’il cherche essentiellement à empêcher l’interception du contenu des conversations. Pendant que le sage montre la lune, l’imbécile regarde le doigt, en ignorant l’incroyable puissance des métadonnées, ces données de connexion à travers la toile et les réseaux de communication qui en disent parfois beaucoup plus : qui se trouve où et quand et avec qui, qui échange avec qui, qui consulte quels sites, qui achète quoi, etc.  Avec les capacités actuelles et futures de collection et de traitement de données (que certains appellent à tort le big data), nos traces en disent infiniment plus sur nos vies privées que nos conversations. Il a été démontré qu’un simple smartphone remonte vers de serveurs lointains une quantité effrayante de métadonnées sans que l’on puisse vraiment le contrôler. Google et Apple en savent potentiellement beaucoup plus sur nous que tous nos administrations, nos entreprises, nos fournisseurs et même nos familles et nos amis. Et pour la seule donnée de géolocalisation, elle peut être acquise à travers une myriade de capteurs.

Mais ces vulnérabilités latentes sont aussi de formidables armes pour la sécurité des citoyens, puisque l’analyse de ces métadonnées permet désormais de mieux confondre les criminels et les terroristes, voire de prévenir leurs passages à l’acte, par exemple par le traitement et le rapprochement des géoprofils d’un ou plusieurs individus, et ce dans un cadre parfaitement légal permis par les récentes et nécessaires évolutions des lois. Car ce sont moins les messages échangés qui tuent mais les actes barbares commis dans le monde réel.

Face à l’horreur du terrorisme et aux richesses confisquées par la grande criminalité, peu de citoyens s’élèvent contre l’utilisation vertueuse et régalienne de ces techniques. Ce qu’ils craignent, en revanche, c’est que leurs vies privées soient mises à jour par d’autres puissances commerciales ou non sans pouvoir l’empêcher. 

Légiférer ou ubériser la confiance ?

Fort heureusement, le nouveau règlement général pour la protection des données (RGPD) européen va enfin entrer en vigueur en 2018. Il remplace ou complète considérablement la loi Informatique et libertés de 1978 et ses équivalentes européennes pour interdire et sanctionner lourdement la collecte, l’exploitation et l’échange non légitimes de données personnelles concernant des citoyens européens, même si ces traitements sont effectués au bout du monde. Une véritable arme de protection massive sur le champ de bataille économique mondial. La barre est placée beaucoup plus haut, y compris pour les européens eux-mêmes, de telle sorte que les recours se multiplieront. Mais le plus important, c’est que ce nouveau cadre juridique impose le privacy by design, l’auto-évaluation des conséquences de la collecte de données et des traitements, et la co-responsabilité des acteurs de toute la chaîne, cherchant ainsi à mettre fin aux hypocrisies et à leurs conséquences pénibles ou dangereuses dans nos vies de tous les jours. Les citoyens eux-mêmes, avec notamment les progrès de l’identité électronique, pourront eux-mêmes adopter des comportements plus sains, s’appuyer sur l’usage de procédés tels que le blockchain ou inventer d’autres formes de crowdtrusting

 

1. Etudes Mobilitics de la CNIL et de l’INRIA

2. Profilage des individus par l’étude de leurs géolocalisations dans le temps et l’espace


PrécédentAccueilSuivantPartager