La France cherche à affaiblir la messagerie chiffrée

 (reclaimthenet.org)
2 points par GN⁺ 5 시간 전 | 2 commentaires | Partager sur WhatsApp
  • La délégation parlementaire française au renseignement soutient officiellement l’affaiblissement du chiffrement de bout en bout de WhatsApp, Signal et Telegram afin de permettre aux magistrats et aux agents du renseignement d’obtenir un accès ciblé à des messages que même les plateformes ne peuvent actuellement pas lire
  • La délégation qualifie l’impossibilité d’accéder au contenu des communications chiffrées d’« obstacle majeur » pour le travail judiciaire et de renseignement, mais modifier une architecture où les clés de déchiffrement se trouvent sur les appareils des utilisateurs créerait une faille susceptible d’être détournée, divulguée, réquisitionnée ou piratée
  • Les autorités d’enquête disposent déjà du pouvoir RDI, qui permet de compromettre un appareil ciblé pour collecter des données par écoute ou capture à distance, mais la délégation estime que ce moyen de contournement ne suffit pas
  • Le sénateur Cédric Perrin a promu une approche consistant à ajouter aux conversations un participant fantôme, troisième destinataire invisible, tandis que les opposants rappellent qu’il n’existe pas de porte dérobée réservée aux « gentils »
  • Le sénateur Olivier Cadic a obtenu un amendement inscrivant la protection du chiffrement dans le droit français et interdisant d’imposer des portes dérobées aux services de messagerie ; le Sénat l’a adopté en mars 2025, mais le texte est au point mort après son examen à l’Assemblée nationale

Recommandations de la délégation parlementaire au renseignement sur l’accès aux messageries chiffrées

  • La délégation parlementaire française au renseignement soutient officiellement l’affaiblissement du chiffrement de bout en bout qui protège les conversations sur WhatsApp, Signal et Telegram, afin de permettre aux magistrats et aux agents du renseignement d’obtenir un accès ciblé à des messages que même les plateformes ne peuvent actuellement pas lire
  • Cette délégation de huit membres, composée de 4 députés et 4 sénateurs, a publié lundi ses conclusions, qualifiant l’impossibilité d’accéder au contenu des communications chiffrées d’« obstacle majeur » pour les activités judiciaires et de renseignement
  • Avec le chiffrement de bout en bout, les clés de déchiffrement se trouvent sur les appareils des utilisateurs plutôt que sur les serveurs des entreprises, de sorte que les plateformes sont conçues pour ne pas pouvoir lire les messages
  • Supprimer cette propriété créerait une architecture permettant de lire les messages à la demande des enquêteurs, et cette même architecture constituerait une vulnérabilité susceptible d’être détournée, divulguée, réquisitionnée ou piratée
  • La police et les services de renseignement français peuvent déjà intercepter, sur mandat, les appels téléphoniques classiques et les SMS, mais dénoncent depuis longtemps le fait que les plateformes chiffrées contournent cette capacité

Le contournement existant RDI et ses limites

  • La délégation reconnaît que les enquêteurs disposent déjà d’un moyen de contournement appelé RDI
  • Le RDI, pour « recueil de données informatiques », permet de compromettre l’appareil d’une cible afin de collecter en masse le contenu de l’appareil par écoute ou capture à distance
  • Cette méthode donne accès non seulement à des messages précis, mais à l’ensemble du téléphone, ce qui permet aux services de renseignement d’obtenir bien plus de données que les seuls messages qu’ils cherchent à suivre
  • Malgré cela, la délégation estime que le seul RDI n’est pas suffisant

La tentative législative de Cédric Perrin et les arguments de l’opposition

  • Le sénateur Cédric Perrin pousse ce dossier depuis plus d’un an et, lors de l’examen d’un projet de loi sur le narcotrafic, il a obtenu un amendement imposant aux plateformes de messagerie de mettre en œuvre les mesures techniques nécessaires pour permettre aux services de renseignement d’accéder au « contenu intelligible » des communications et des données
  • Le texte prévoyait, en cas de refus, des amendes pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial ; il a été adopté par le Sénat, puis supprimé à l’Assemblée nationale face à l’opposition des députés macronistes, de la gauche et du Rassemblement National
  • Perrin affirmait alors qu’il n’existait aucune différence entre les mécanismes appliqués aux SMS et aux e-mails et ceux qui seraient appliqués à WhatsApp, Signal et Telegram, avec le soutien du ministre de l’Intérieur de l’époque Bruno Retailleau et du ministre de la Justice Gérald Darmanin
  • Cette logique traite la messagerie chiffrée comme un simple canal de communication supplémentaire devant rester dans le périmètre d’accès de l’État, tout en ignorant que ces plateformes existent précisément pour créer une catégorie différente de communication
  • Le député RN Aurélien Lopez-Liguori s’y est opposé en faisant valoir que les clés de déchiffrement se situent au niveau des appareils des utilisateurs et ne sont pas centralisées quelque part au sein de la plateforme, ce qui impliquerait d’installer une porte dérobée dans l’ensemble des communications
  • Lopez-Liguori a averti qu’une telle mesure irait bien au-delà de la lutte contre le narcotrafic et permettrait au « premier hacker venu » d’accéder aux communications
  • Sur le plan technique, cela rejoint la conclusion de longue date du monde de la cryptographie : il n’existe pas de « porte dérobée » qui ne puisse être utilisée que par les gentils

L’approche du « participant fantôme » et le débat sur l’accès ciblé

  • Perrin a indiqué que son amendement initial ne visait pas à obtenir les clés de chiffrement, mais à insérer un participant fantôme dans la conversation avant le chiffrement
  • L’approche du participant fantôme consiste pour la plateforme à ajouter discrètement à un échange entre deux personnes un troisième destinataire invisible, c’est-à-dire un agent du renseignement
  • Dans ce modèle, le chiffrement continue techniquement de fonctionner, mais l’un des participants à la conversation devient l’État
  • Perrin rejette l’interprétation selon laquelle cela poserait un problème de libertés publiques, affirmant que les contrôles administratifs et judiciaires prenaient déjà en charge cette protection
  • Le rapport de la délégation conclut qu’un accès ciblé n’est pas techniquement impossible et indique qu’un groupe d’experts réuni par la Commission européenne examine une feuille de route technique pour mettre en œuvre une telle approche
  • Le problème n’est pas seulement la surveillance de masse de tous les messages WhatsApp, mais aussi le fait qu’une infrastructure d’accès ciblé puisse s’étendre des affaires de terrorisme vers la criminalité organisée, la drogue, l’immigration ou la surveillance politique, et qu’un système français d’utilisateur fantôme puisse ensuite être exigé par des gouvernements moins démocratiques

L’opposition législative en France et les voies encore ouvertes

  • Même au sein de la majorité de droite et du centre au Sénat, certains parlementaires ne partagent pas l’orientation de la délégation au renseignement
  • Le sénateur Olivier Cadic, membre de l’Union Centriste, a obtenu dans un autre texte sur la résilience des infrastructures critiques et la cybersécurité un amendement exactement inverse, inscrivant la protection du chiffrement dans le droit français et interdisant d’imposer des portes dérobées aux services de messagerie
  • Le Sénat a adopté cet amendement en mars 2025
  • Le rapport de la délégation au renseignement critique directement cette disposition, estimant qu’elle affaiblit le cadre juridique des techniques de renseignement et d’enquête et entrave leur mise en œuvre
  • Cadic affirme être favorable à la poursuite des criminels, mais qu’il ne faut pas utiliser des outils susceptibles de faire tomber la France et qu’« il ne faut pas créer nos propres vulnérabilités »
  • Son texte est au point mort après un examen en commission à l’Assemblée nationale en septembre
  • Plus tôt cette année, le Premier ministre de l’époque Sébastien Lecornu a chargé le président de la commission des lois de l’Assemblée nationale, le député Florent Boudié, d’examiner les « éventuelles modifications » du cadre juridique existant pour l’accès aux communications chiffrées
  • Le véhicule législatif qui pourrait servir à une nouvelle tentative n’a pas encore été déterminé, et les parlementaires attendraient les conclusions de Boudié tout en restant ouverts, si nécessaire, à une nouvelle proposition de loi
  • Les services de renseignement français disposent déjà du pouvoir RDI pour compromettre des appareils individuels, de la surveillance algorithmique étendue l’année précédente, de capacités d’écoute satellitaire, d’écoutes traditionnelles, d’accès aux métadonnées et de la coopération des opérateurs télécoms français
  • Au cœur de ce nouveau débat se trouve la question de savoir s’il faut reconfigurer une catégorie de communications protégées par les mathématiques et résistantes à l’interception étatique afin de supprimer cette résistance ; la délégation répond oui, mais les prémisses de la cryptographie n’ont pas changé

À lire aussi

2 commentaires

 
crawler 1 시간 전

Une version inversée des Misérables, c’est quoi ça ? MDR
 
GN⁺ 5 시간 전
Commentaires sur Hacker News

  • L’article traite d’une situation bien plus nuancée que ce qui est généralement discuté dans le titre ou les commentaires. En France aussi, la classe politique est divisée, et jusqu’ici le camp du « gardons le chiffrement et protégeons-le par la loi » garde une courte avance
    « Le sénateur centriste Olivier Cadic a obtenu un amendement de sens exactement opposé dans un autre projet de loi sur la résilience des infrastructures critiques et la cybersécurité. Cet amendement inscrit la protection du chiffrement dans le droit français et interdit d’imposer des backdoors aux services de messagerie. Le Sénat l’a adopté en mars 2025 »

    • Ce projet de loi a été examiné en commission de l’Assemblée nationale en septembre, puis est resté bloqué depuis

  • Cet article place Telegram sur le même plan que WhatsApp et Signal, en laissant entendre à tort qu’il s’agit aussi de chiffrement de bout en bout
    Telegram n’essaie même pas de proposer du chiffrement de bout en bout par défaut. WhatsApp affirme en proposer, mais n’est pas open source, tandis que Signal, lui, est chiffré de bout en bout

    • Même pour Signal, l’open source n’aide pas beaucoup sans builds reproductibles. Je me demande aussi qui vérifie chaque release
      Seuls des builds comme Molly n’incluent pas les binary blobs de Google, et personnellement je pense que ces blobs pourraient au moins servir à extraire une partie des métadonnées. Cela dit, l’OS reste un facteur de risque, y compris avec Molly ou un client Matrix. Même avec de la transparence sur les appareils liés, peu de gens remarqueraient probablement un appareil discrètement connecté. La méthode la plus simple reste au final l’ingénierie sociale, et c’est ce qui s’est passé récemment dans des attaques organisées visant Signal Messenger chez des responsables politiques allemands. Pour ce type de personnes, il devrait exister une version officielle de Signal qui ne prend pas en charge les appareils liés
      [1] https://news.ycombinator.com/item?id=46081855
      [2] https://www.politico.eu/article/hackers-attack-phone-of-germ...
    • WhatsApp affirme proposer du chiffrement de bout en bout, mais n’est pas open source et n’encrypte explicitement pas les métadonnées
      De hauts responsables de la NSA ont déjà déclaré publiquement : « We kill people based on metadata »
    • Oui. Les chats secrets de Telegram sont vraiment peu pratiques. Pour l’échange de clés, les deux personnes doivent être en ligne en même temps, et cela ne fonctionne que sur un seul appareil chacune
      Je ne connais personne qui s’en serve. J’ai essayé d’envoyer des réinitialisations de mot de passe à quelques personnes par ce biais, mais la moitié n’a pas compris. La fonction de chat secret existe, mais en pratique elle n’est pas très utile
    • Telegram n’est pas chiffré de bout en bout par défaut, mais il prend en charge le chiffrement de bout en bout. En lisant généreusement, on peut comprendre que ce que l’article vise, c’est l’idée de devoir casser ce chiffrement même lorsqu’il est utilisé
      Donc je ne lis pas l’article comme affirmant que tout Telegram est chiffré de bout en bout, mais plutôt comme disant qu’il prend en charge cette fonctionnalité

  • J’ai l’impression qu’il va falloir laisser le camp anti-chiffrement obtenir ce qu’il veut, puis attendre que cela tourne très mal. Quel que soit le nombre d’avis d’experts, ils ne seront probablement pas convaincus avant de voir directement les conséquences négatives d’un chiffrement affaibli
    Ce n’est qu’après cela, quand surviendra une catastrophe très médiatisée — comme l’enlèvement d’un enfant ou un scandale sexuel politique impliquant une personnalité connue — que le grand public comprendra enfin qu’un chiffrement affaibli n’est en réalité plus du chiffrement du tout
    Entre-temps, les criminels adopteront d’abord des moyens de communication plus sophistiqués, comme la stéganographie

    • Ce serait bien, mais les politiciens se créeront leurs propres clauses d’exception, ou utiliseront des canaux de messagerie « non autorisés » sans jamais être sanctionnés. Pour les politiciens, c’est toujours « des règles pour vous, pas pour moi »
    • J’ai rarement vu des conséquences du point de vue des législateurs
      Si quelqu’un mène un piratage suffisamment spectaculaire, cela servira seulement de prétexte pour justifier plus de lois et davantage de pouvoirs pour la police
    • Quand je pense à l’accélérationnisme comme solution à une tendance inquiétante de ce genre, ma réaction ressemble généralement à cette BD
      https://thebad.website/comic/accelerationism
    • À mon avis, ce type de loi est irréversible. Ce qui est perdu est perdu. En France, de nombreuses bases de données publiques ont récemment fuité, et cela ne peut pas être annulé
    • L’idée de « laisser la bande anti-chiffrement obtenir ce qu’elle veut jusqu’à ce que ça tourne très mal » a déjà eu lieu, on l’a déjà vu
      C’est comme cela que le Pakistan a fini par obtenir la bombe nucléaire. La France, elle, se contentait de se faire des amis

  • En France, on ne pourra même plus envoyer à un ami un charabia textuel que seuls vous deux comprenez ? On va aussi interdire la capacité de créer une nouvelle langue comprise seulement entre amis ? On va interdire de chuchoter ?

    • Ou bien on interdira aussi de chiffrer avec un outil comme https://github.com/filosottile/age, d’encoder le texte, puis de le glisser dans un chat non chiffré
      echo "Am I doing something illegal, France?" | age -e -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p -a -

      -----BEGIN AGE ENCRYPTED FILE-----
      YWdlLWVuY3J5cHRpb24ub3JnL3YxCi0+IFgyNTUxOSBjTVQ5VTdMaTlnRkEyT1BY
      MHZPc0lncHFvbS9FMTlDa2FkK3JQZy9sQnprClRFN3lNQUtnNzJWK0RxQVlYNE1q
      NCtlNFJTUWpwZExJSDMvSGlRL2VHc1EKLS0tIC95bEErRU9NNERJRVVuYlMwUFg4
      WUx1R0IyTHd1d2dxQTdqU0NJWlF0MXMKL1x9fz+ZVObYrn3bY/IdVBsd4KYxn78P
      aWePVjaRUityGTkndNSy6gg1meVky22iv4rxd9MZ4XYnsGJDfRUmkVZhQcCxag==
      -----END AGE ENCRYPTED FILE-----

    • J’en ai déjà parlé avec un haut responsable de la police française à propos de ce sujet. Il s’occupe surtout des infractions sexuelles visant les enfants, donc la discussion s’est placée sous cet angle
      Si j’ai bien compris, ils savent très clairement que même si une telle loi était adoptée, une part importante de l’activité criminelle se déplacerait vers d’autres options plus sûres. Mais le criminel moyen n’est pas techniquement compétent. Aujourd’hui, le fait que WhatsApp fournisse par défaut du chiffrement de bout en bout a rendu l’accès aux contenus d’exploitation sexuelle d’enfants très facile. Le but serait qu’en supprimant ces moyens simples de chiffrement de bout en bout, on augmente la barrière à l’entrée et qu’on réduise le nombre de personnes qui y accèdent
      Ce qui inquiète, c’est que toute personne utilisant le chiffrement devienne suspecte. Cela inclut les pédocriminels et les trafiquants de drogue, mais aussi les militants
      S’il s’agit uniquement de cibler les réseaux d’exploitation sexuelle d’enfants, une méthode me vient à l’esprit. La plupart de ces images sont déjà connues et circulent depuis longtemps ; ne pourrait-on pas hasher les images transmises et comparer leurs sommes de contrôle à celles d’images connues, afin de signaler facilement les expéditeurs suspects et d’accéder au téléphone de ces utilisateurs ? Je me demande si c’est faisable, ou s’il y a quelque chose qui m’échappe

    • Bien sûr, ce sera pour protéger les enfants

    • Si l’État n’est pas capable de comprendre le charabia entre toi et tes amis, tu continueras tranquillement à faire l’objet d’une enquête pour organisation criminelle préparatoire. Parce que toi et tes amis pourriez être en train de commettre des « crimes de pensée »

    • Ils ont déjà interdit la liberté religieuse et culturelle, alors pourquoi s’arrêteraient-ils là

  • J’en ai déjà parlé avec un haut responsable de la police française à propos de ce sujet. Il s’occupe surtout des infractions sexuelles visant les enfants, donc je vais parler depuis cette perspective
    Si j’ai bien compris, ils savent très clairement que même si une telle loi était adoptée, une part importante de l’activité criminelle se déplacerait vers d’autres options plus sûres. Mais le criminel moyen n’est pas techniquement compétent. Aujourd’hui, le fait que WhatsApp fournisse par défaut du chiffrement de bout en bout a rendu l’accès aux contenus d’exploitation sexuelle d’enfants très facile. Le but serait qu’en supprimant ces moyens simples de chiffrement de bout en bout, on augmente la barrière à l’entrée et qu’on réduise le nombre de personnes qui accèdent à ces réseaux
    Bien sûr, ce qui inquiète, c’est que toute personne utilisant le chiffrement devienne suspecte. Cela inclut les pédocriminels et les trafiquants de drogue, mais aussi les militants, entre autres
    S’il s’agit uniquement de cibler les réseaux d’exploitation sexuelle d’enfants, une méthode me vient à l’esprit. La plupart de ces images sont déjà connues et circulent depuis longtemps ; ne pourrait-on pas hasher les images transmises et comparer leurs sommes de contrôle à celles d’images connues, afin de signaler facilement les expéditeurs suspects et d’accéder au téléphone de ces utilisateurs ? Je me demande si c’est faisable, ou s’il y a quelque chose qui m’échappe

    • N’est-ce pas la description de la forme initiale de chat control proposée par l’UE ?
      https://www.eff.org/deeplinks/2025/09/chat-control-back-menu...

      https://csa-scientist-open-letter.org/FAQ

    • Premièrement, l’État français n’a absolument aucun intérêt à obtenir un tel accès aux messages pour aider les enfants. La preuve, c’est que ni la police française ni les services de renseignement n’enquêtent sur les affaires de maltraitance d’enfants
      La police n’enquête que lorsqu’elle ne peut vraiment pas faire autrement. La maltraitance d’enfants est principalement commise par des personnes qui ont accès aux enfants. La maltraitance d’enfants exige des enfants. Alors qui la commet ? Des enseignants, des professeurs de sport et des entraîneurs, des travailleurs de la protection de l’enfance. En France, les clubs sportifs sont presque entièrement financés par l’État. La majorité des auteurs sont donc, naturellement, des agents publics. Les services de protection de l’enfance enquêtent sur les affaires de maltraitance d’enfants, mais cet accès aux messages ne leur sera pas donné. Donc l’intention de donner cet accès pour les affaires de maltraitance d’enfants est nulle
      Cette logique est vraiment ridicule. On prétend vouloir accéder à ces messages pour enquêter sur la maltraitance d’enfants, mais on demande en réalité à donner accès aux messages de tout le monde aux espions français et aux inspecteurs du fisc. Les enquêteurs spécialisés dans la maltraitance d’enfants, eux, ne sont même pas mentionnés
      Et ce n’est pas tout. La France est connue pour être l’un des rares pays de l’UE en Europe de l’Ouest où l’accès aux mangas dits hentai est légal et où ils sont vendus en kiosque
      Si l’État français voulait vraiment lutter contre les infractions sexuelles visant les enfants, au lieu de dépenser de l’argent pour attraper les criminels, il devrait le consacrer à prendre soin des enfants qu’il est censé « aider ». Or, voici ce qu’il fait réellement
      https://www.rfi.fr/en/france/20250502-french-child-welfare-s...
      Au minimum, il laisse ce genre de choses arriver, et en pratique il recrute même, à des salaires très bas, des personnes prêtes à faire ce travail précisément parce qu’elles peuvent avoir accès à des enfants vulnérables
      Tant que cela n’est pas corrigé en premier, arrêter des criminels ne fera manifestement qu’aggraver encore la situation des enfants. L’État français échoue à cette épreuve
      La situation de l’école en France, la question migratoire et la baisse du niveau des enseignants depuis au moins 30 ans montrent à quel point l’État se soucie de l’avenir des enfants. Là aussi, l’État échoue complètement
      Je n’ai même pas encore parlé de la situation des réfugiés à Paris. Il est évident que cette situation produit de la prostitution infantile à grande échelle. Là encore, l’État montre qu’il ne veut pas aider les enfants. Autrement dit, l’État français ne fait absolument rien pour aider les enfants, ou alors il est au minimum totalement incompétent
      Donc désolé, mais votre proposition passe complètement à côté du sujet

  • Je commence à me dire qu’il faudrait faire du chiffrement une catégorie protégée, et classer les prises de position contre le chiffrement comme discours de haine
    Commençons à envoyer en prison quelques-uns de ces politiciens pour simple stupidité

    • Et sinon, ne pas élire de politiciens stupides ?

  • Comment sauront-ils ce qui est chiffré ? Peut-être que tu aimes juste envoyer des suites d’octets aléatoires sur le réseau

    • Elles n’ont même pas besoin d’être aléatoires. Que se passe-t-il si on envoie une instance d’un format de fichier propriétaire ?
      Le gouvernement va-t-il exiger de l’entreprise qu’elle partage les spécifications et la toolchain pour pouvoir vérifier qu’il ne s’agit pas d’un message chiffré ? Ce sera probablement le cas
    • Le juge va adorer cette explication

  • Cela me rappelle la blague où quelqu’un envoie une plaisanterie à une autre personne en message privé, et Xi Jinping a ri. L’état d’esprit des gouvernements semble le même partout

  • J’ai encore du mal à comprendre l’argument selon lequel, avec le chiffrement de bout en bout, l’entreprise ne peut pas déchiffrer les messages. On ne pourrait pas simplement faire une mise à jour logicielle du genre
    « si user = foo, alors envoyer la clé de l’appareil ailleurs »
    Ou bien, si la clé est dans le TPM, faire une mise à jour logicielle demandant d’envoyer le message déchiffré ?
    Actuellement, un juge ne peut pas ordonner cela, mais cela veut-il dire que si les clés étaient stockées de manière centralisée, il pourrait ordonner le déchiffrement ?

    • Bien sûr, rien n’empêche magiquement une app d’envoyer les clés ou le contenu déchiffré à un tiers
      C’est pourquoi, si l’on prend vraiment le chiffrement de bout en bout au sérieux, il faut installer l’app depuis le code source

  • Certaines personnes n’acceptent tout simplement pas qu’on leur réponde « non ». C’en est presque absurde
    À l’inverse, ce qui m’intéresserait, c’est une explication sur la manière dont la forensique pourrait aider ici. Les messages sont probablement encore sur le téléphone et récupérables. Cela devrait donc suffire pour lutter contre la criminalité. Autrement dit, avec un mandat permettant d’accéder à l’appareil, on peut accéder aux messages, et j’ai l’impression que beaucoup de gens jugeraient cela acceptable