http://3.bp.blogspot.com/--ZrgktN4P...

L’interview est un exercice délicat, tant pour le journaliste que pour la personne interrogée. Et, on l’oublie souvent, l’interview est également protégée par le droit d’auteur. En effet, si on la considère comme une œuvre de collaboration, les droits du journaliste sont les mêmes que ceux de la personne interviewée.

C’est donc avec plaisir que j’ai demandé à Amaelle Guiton, journaliste au pôle Futurs du journal Libération, l’autorisation de reproduire ici l’intégralité de l’échange que nous avons eu lors de la préparation de son article paru dans Libération le 13 septembre 2015 : "Cryptographie, la justice cherche la clé ", que je vous invite à lire à titre liminaire. Amaelle m’ayant donné son autorisation (avec la complicité de sa hiérarchie ;-), je vous livre donc l’intégralité de notre échange.

— oOo—

Bonjour Amaelle,

Je reprends vos questions dans l’ordre, mais gardez à l’esprit que je ne suis qu’un petit expert judiciaire de province, et que je ne dispose pas nécessairement de l’estime de mes confrères (et réciproquement). Je parle donc en mon nom propre.

AG : Le procureur de Paris François Molins a cosigné une tribune dans le NY Times pour protester à son tour contre le chiffrement des données sur les smartphones équipés d’iOS et Android. Est-ce que, dans votre activité d’expert judiciaire, vous avez le sentiment que la cryptographie préoccupe de plus en plus la police et la justice ? Ce sont des discours que vous entendez ?

C’est un sujet qui préoccupe de plus en plus de monde, car la cryptographie « pour tous » va potentiellement gêner de nombreux dossiers où les enquêteurs avaient pris l’habitude d’accéder facilement à toutes les données. Sur les listes de diffusion sur lesquelles je suis inscrit, réservées aux enquêteurs et aux experts judiciaires, je vois passer pas mal de messages sur la cryptographie, sur l’impact qu’elle a sur les réponses qu’il est possible d’apporter aux magistrats. Mais ce phénomène est ancien. Les policiers se plaignaient de ne pas avoir assez de voitures puissantes pour poursuivre les malfaiteurs. Jusqu’au moment où ils se sont mis à les attendre aux péages d’autoroute. C’est toujours une course entre le chat et la souris, et les malfaiteurs utilisent depuis longtemps les outils technologiques, et en particulier la cryptographie. Certains sont en avance sur la police, beaucoup non.

AG : Que pensez-vous de l’argument selon lequel le chiffrement freine ou bloque les enquêtes ? Est-il légitime (ou jusqu’à quel point est-il légitime) ?

Lorsqu’un enquêteur, ou un expert judiciaire, doit analyser un ordinateur ou un téléphone et que les données sont correctement chiffrées, il est bien évidemment bloqué. Si son enquête ne repose que sur cet élément, il est définitivement bloqué, ce qui est regrettable. Mais dans les dossiers que j’ai eu à traiter, ce cas de figure n’est jamais arrivé : un dossier ne repose jamais uniquement sur le contenu chiffré d’un ordinateur ou d’un téléphone. Il y a toujours d’autres éléments dans le dossier, et il s’agit d’ajouter encore des éléments de preuve (à charge ou à décharge) pour le compléter. L’argument ne me semble pas légitime, sauf dans le sens où le chiffrement complique la recherche de preuve et donc alourdit la facture de l’enquête, ce qui est déjà un problème dans notre pays où le budget de la justice est anormalement bas. Il ne faut pas oublier aussi que si les données sont chiffrées, il faut aussi qu’à un moment elles soient déchiffrées pour être utilisées par leur destinataire. L’enquêteur peut intervenir à ce moment-là.

AG : De quels moyens disposent les enquêteurs et les experts confrontés à des contenus chiffrés ?

Nous disposons des mêmes outils que les cambrioleurs de données : si le système de chiffrement possède une faiblesse (bug, porte dérobée, etc.), elle peut être exploitée. Par exemple, le système de gestion des mots de passe sous Windows 7 peut facilement être cracké avec l’outil Ophcrack en téléchargement libre. Je donne plusieurs exemples dans le billet de mon blog intitulé « Cracker les mots de passe ». De tout temps, les administrateurs informatiques ont développé des outils qui leur permettent de tester la viabilité des protections qu’ils mettent en place sur leurs réseaux. Il existe même un métier pour cela : pentester. Tous ces outils peuvent être utilisés par les enquêteurs pour essayer d’accéder légalement à des données (mal) protégées. Si les données sont bien protégées (par exemple des emails chiffrés correctement avec GPG, ou des données stockées dans des containers TrueCrypt), il n’est pas possible de les déchiffrer sans connaître la clef privée du destinataire. Mais si vous avez accès à l’ordinateur où est stockée la clef privée, tout redevient possible. J’aborde ces sujets dans le billet de mon blog intitulé « Fâce à TrueCrypt ». Je précise que je n’ai jamais eu accès aux moyens de l’État en matière de cryptologie. Je ne connais pas leurs possibilités, et je doute fort qu’ils puissent déchiffrer GPG ou TrueCrypt. Mais je me souviens de mon service militaire au service technique de l’électronique et de l’informatique des armées (je vous parle du millénaire précédent ;-) où certains ordinateurs étaient protégés par des cages de Faraday pour éviter l’interception à distance des données s’affichant sur les écrans. Je suppose que les techniques ont dû évoluer, mais je pense que l’État dispose encore d’outils permettant l’accès distant aux données (et de s’en protéger) par des voies non conventionnelles. Dans le même esprit, je pense que le plus simple pour écouter une conversation utilisant un téléphone chiffré (tel que Teorem de Thales) est encore de placer (légalement) un micro dans la pièce ou dans la voiture… On peut donc toujours surveiller quelqu’un de manière ciblée sans mettre toute la population sur écoute.

AG : Et enfin, comment vous positionnez-vous dans ce débat : en tant qu’informaticien, en tant qu’expert judiciaire, en tant que citoyen (ou les trois à la fois !).

Il m’est difficile de dissocier les trois : je suis un citoyen informaticien expert judiciaire. J’ai l’expérience de ces trois casquettes, expérience dont je fais part sur mon blog (ce qui m’est assez reproché). Ma position personnelle est de placer au-dessus de tout la protection de la vie privée individuelle. Tous les échanges et tous les stockages de données devraient être chiffrés de manière à ce que chacun puisse protéger ses données. Je préférerais d’ailleurs que l’on parle de « vie intime » plutôt que de « vie privée », car ce dernier terme prête à confusion dans un monde où beaucoup de citoyens échangent l’accès à une partie de leur vie privée avec un droit d’usage gratuit à certains services (proposés par les GAFAM). Tous les citoyens doivent pouvoir utiliser des outils garantissant leurs données contre les oreilles de l’État. Les malfaiteurs les utilisent depuis longtemps, sans que cela ne gêne trop l’État, il est temps que les honnêtes citoyens puissent les utiliser en masse. Les enquêteurs disposent d’autres moyens de poursuivre les malfaiteurs sans que l’État n’oblige tous ses citoyens à se mettre à nu. Je refuse d’être obligé de mettre une caméra dans ma chambre à coucher sous le prétexte d’une meilleure sécurité, par exemple pour une lutte soit disant plus efficace contre le terrorisme ou contre les pédophiles. Je ne crois pas en la réalité d’un État bienveillant qui surveille en masse ces citoyens pour le bien de tous. L’Histoire a plutôt démontré que ce type d’État dérive toujours très vite vers des abus en tout genre.

Quis custodiet ipsos custodes ?