Alors que plusieurs acteurs IT comme Facebook, Google, Snapchat viennent d’annoncer la volonté de chiffrer les conversations de leurs utilisateurs, le débat autour du chiffrement reprend de plus belle. Est-il prudent de miser sur une technologie inviolable que les criminels peuvent utiliser contre nous ? Le point de vue de Tanguy de Coatpont, directeur général de Kaspersky Lab France et Afrique du Nord.
Longtemps connu de quelques seuls initiés, le chiffrement a gagné en notoriété avec les révélations d’Edward Snowden en 2013, présenté alors comme le dernier vrai rempart face aux cyberintrusions. Plus récemment, l’enquête menée suite aux attaques terroristes en France et la bataille entre Apple et le FBI aux Etats-Unis ont amené des interrogations sur le bienfondé de cette technologie. Est-il prudent de miser sur une technologie inviolable que les criminels peuvent utiliser contre nous ?
Chiffrement, confiance et réalité des enjeux
Dans les faits, le chiffrement est le processus de transformation de données ouvertes et accessibles en données dites « fermées ». En d’autres termes, il permet de verrouiller des données qui ne peuvent ensuite être lues qu’à l’aide d’une clé ou d’un jeu de clés.
Si l’on en croit les autorités de certains pays, le chiffrement aurait le pouvoir de faire du Web une zone de non-droit en rendant les informations illisibles, et donc incontrôlables. Sur ce point, elles ont partiellement raison car le chiffrement rend toute donnée inaccessible à celui qui n’est pas autorisé à les consulter. C’est vrai pour les espions, les criminels et la police mais également pour le propriétaire des données lui-même s’il oublie le code de déchiffrement par exemple. Cela ne veut pas dire pour autant que les autorités sont impuissantes.
Prenons l’exemple d’un téléphone crypté. Sans clé, son contenu et la teneur des messages envoyés ou reçus sont inaccessibles. Mais il reste possible de savoir grâce aux données dont disposent les opérateurs avec quels numéros de téléphone il correspond, à quelles bornes il s’est connecté, voire les sites qui ont été consultés. Si le détenteur du téléphone utilise un compte Google ou un réseau social, les données qu’il est possible de récupérer restent nombreuses.
En outre, chacun doit se demander : contraindre les éditeurs et constructeurs à fournir une clé générique de déchiffrement permet-il d’arrêter le financement du terrorisme et l’endoctrinement ? Quid des conséquences si ces clés tombent entre de mauvaises mains ?
Une véritable arme contre les cybercriminels
Du côté des utilisateurs, il peut sembler excessif d’avoir recours au chiffrement automatique pour protéger des informations le plus souvent anodines mais la technologie fait de plus en plus d’adeptes. Pour des entreprises comme Apple ou Sony, c’est le moyen le plus simple d’offrir à leurs millions de clients une protection homogène répondant à leurs exigences. Quant aux entreprises, elles sont de moins en moins nombreuses à pouvoir s’en passer, quand on sait que plus de la moitié d’entre elle a été victime d’au moins une cyberattaque en 2015. Bien sûr, le chiffrement n’empêche pas les vols de données, mais il permet au moins de prévenir leur exploitation et de ralentir le travail des cybercriminels.
Dans la pratique, si le temps nécessaire au déchiffrement est excessivement long pour les cybercriminels, le jeu n’en vaut pas la chandelle. N’oublions pas que les cybercriminels modernes sont en réalité des hommes d’affaires qui veulent avoir un retour sur investissement le plus rapide possible. Malheureusement pour eux, les données peuvent perdre de leur valeur rapidement une fois volées. Au fil du temps, certaines informations ne valent plus grand-chose, voire plus rien du tout. C’est par exemple le cas de plans stratégiques valables pour une période donnée ou encore de mots de passe qui sont changés régulièrement.
Ainsi, le chiffrement est une barrière de sécurité légitime loin d’être superflue qui permet de protéger aussi bien nos photos de vacances et relevés de comptes que les innovations de nos grandes entreprises. Affaiblir sa force, notamment avec des backdoors, c’est l’affaiblir aussi pour tous les individus et leur vie privée, les entreprises voire les infrastructures critiques et leurs données stratégiques. En d’autres termes, généraliser le chiffrement c’est faire en sorte que le crime ne paie plus.