Depuis l'année dernière et les attentats de Charlie, le gouvernement de la France a réagit fortement, à la hauteur de l’émotion suscitée. Hélas, la réaction n'a pas été d'exiger des services de police et de renseignement une organisation plus efficace mais plutôt renforcer leur pouvoir au détriment des libertés publiques. Il est vraisemblablement plus facile de faire des lois que de veiller à ce qu'elles soient bien utilisées[1].
Le gouvernement a ainsi fait voter la fameuse loi sur le renseignement qui a été pourtant décriée de toutes part, alors que plusieurs lois sécuritaires avait été mise en place les années précédentes. Depuis les attaques du 13 novembre dernier, de nombreuses mesures d'urgence ont été prises et déjà le ministre de l'intérieur pense à nouveau à légiférer pour supprimer encore des libertés sans vraiment savoir si ces mesures sont efficaces[2]. Ainsi dernièrement, il est question de supprimer les accès publics au Wifi, bloquer l'utilisation de Tor[3] ou bien forcer les éditeurs de logiciels de messageries et de téléphone chiffrés, à donner aux agents du gouvernement les moyens de déchiffrer ces communications.
Sur ce dernier point, le gouvernement de la France n'est pas le seul, au Royaume Uni et aux Etats-Unis aussi, il est fait pression sur les éditeurs de logiciel pour qu'ils livrent un moyen de lire les communications chiffrées. Les éditeurs résistent tant que la loi ne les y oblige pas, ils savent que la divulgation de leurs clefs de déchiffrement ou l'installation de portes dérobées (un accès secret au logiciel réservé aux services de renseignements) rendra leur logiciel plus vulnérable et que les clients risquent de se tourner vers d'autres solutions.
Le risque que ces clefs de déchiffrement se retrouvent en de mauvaises main est pris au sérieux, à l'image des clefs «TSA»[4] des bagages, facilitant le travail de la police des frontières américaine et dont les passes sont facile à acquérir par qui veut voler des passagers. Mais les éditeurs ont beau expliquer au gouvernement que cette mesure sera inefficace parce que d'autre logiciels de communication chiffrée passeront sous le radar et que de toutes façons les tueurs du 13 novembre ont envoyé des simples sms sans être détectés, il font face à la même insistance. Le gouvernement ne cherche pas forcément des mesures efficaces mais des mesures marquantes qui montrent qu'ils s'occupent du problème et qui rassurent.
Aux Pays Bas
Qu'en est-il dans le petit royaume batave du nord ? Bien qu'affectés par le les événements en France (l'épisode du Thalys d'Amsterdam leur a montré la proximité du danger), le gouvernement ne semble pas compter sur une modification des lois pour renforcer le sentiment de sécurité. Il se préoccupe néanmoins de l'efficacité de sa police et a présenté à l'automne un projet de loi pour aider les services à lutter contre la criminalité en ligne (computercriminaliteit ou cybercrime). Cette loi devrait donner aux policiers des moyens de hackbevoegdheid, c'est à dire le droit d'utiliser le hacking pour pénétrer les systèmes informatiques tiers sans autorisation préalable. Actuellement cette action est illégale pour quiconque, même pour la police.
Chargé d'examiner ce projet de loi, le parlement se pose la question de l'accès à l'information par des portes dérobées délivrées par les éditeurs de logiciels. La réponse vient être donné hier dans un rapport du ministre de la justice Ard Van der Steur dans une réponse détaillée publiée sur le site de la chambre basse en réponse à une question au gouvernement.
Sa réponse est claire : pas d'accès par portes dérobées aux Pays bas. même si cela ralentit parfois le travail de la police, le risque de fragiliser des logiciels utilisés par de nombreux acteurs économiques dans le pays est un risque trop grand. Le secret des affaires, la vie privée et la sécurité des sites bancaires (par exemple) doivent pouvoir être chiffrés (encryptie) de manière sûre. Ce sont des choses trop importantes pour risquer des les compromettre pour faciliter le travail de la police, alors que celle-ci dispose de suffisamment d'autres moyens. Voilà en substance ce qu'explique le ministre Van der Steur dans son PDF de 5 pages.
Il rappelle que la cryptographie est un élément essentiel aux échanges économiques du pays et que le gouvernement veut s'assurer que cette dernière est développée de manière sérieuse.
On se souvient de l'affaire diginotar où le gouvernement a été victime d'un mauvais acteur de l'industrie de cryptographie et tient à s'assurer que la chaine de la sécurité est la plus solide possible pour assurer un socle sécurisant pour l'économie qui se fait le plus en ligne. Donc non, pas de porte dérobée pour la police ni pour personne.
Notes
[1] Alors que c'est pourtant le rôle de l'exécutif non ?
[2] Il semblerait que les mesures précédentes n'ait servi à rien et que les attentats de janvier ont été facilité par une désorganisation des services de renseignements français.
[3] Un dispositif permettant d'utiliser le web de manière anonyme. Voir Tor sur wikipedia.