Accueil Confidentialité des données Chiffrement : la CNIL se prononce contre les portes dérobées

Chiffrement : la CNIL se prononce contre les portes dérobées

Cnil

Dans son rapport annuel, la Commission nationale de l’informatique et des libertés s’est prononcée contre l’utilisation dans les procédures judiciaires de portes dérobées (backdoors) ou d’une clé maitre permettant d’accéder à des données contenues dans un système protégé par une solution de chiffrement. Pour la Cnil, le chiffrement est un élément de la sécurité du patrimoine informationnel.

Apple s’est trouvé au cœur d’une bataille juridique sur les portes dérobées après qu’une juge américaine a exigé qu’il aide la police fédérale (FBI) à accéder au contenu crypté de l’iPhone d’un des auteurs de la fusillade de San Bernardino, qui avait fait 14 morts début décembre en Californie. En France, le procureur de Paris François Molins a fait part à plusieurs reprises des préoccupations des enquêteurs pour pouvoir accéder aux contenus de smartphones cryptés dans des affaires terroristes. « Tous les smartphones qu’on essaie d’exploiter sont verrouillés et cryptés. Si la personne ne veut pas donner le code d’accès on ne peut plus rentrer dans le téléphone. On a toujours un téléphone dans l’affaire Ghlam [mis en examen pour un attentat avorté à Villejuif, ndlr] dans lequel on n’a pas pu pénétrer. L’an dernier on a eu 8 smartphones qui n’ont pas pu être pénétrés« , a-t-il expliqué.

Une série de dispositifs dédiés déjà en place

« La puissance publique a à sa disposition, dans un cadre parfaitement clair et légal, accès à des données mais autoriser en plus l’usage de backdoors ou portes dérobées n’est pas une bonne solution« , a indiqué la présidente de la CNIL à l’occasion de la présentation de son rapport annuel. “L’idée qu’au nom de cet impératif de sécurité il faille mettre en place des backdoors pour, dans tous les cas, permettre aux services de police d’accéder à une information qui sera le cas échéant cryptée et non décryptable, cette solution n’est pas une bonne solution« , a-t-elle ajouté.

Pour la Cnil, un tel dispositif créerait un risque collectif tendant à affaiblir le niveau de sécurité des personnes face à l’ampleur du phénomène cybercriminel, alors qu’il n’empêcherait pas, techniquement, des personnes malveillantes de continuer à utiliser des solutions de chiffrement à titre individuel pour protéger la confidentialité de leurs communications et de leurs données stockées. La commision soutient également qu’il serait vraisemblablement peu robuste dans le temps, face aux attaques des États ou du crime organisé, d’autant plus qu’il serait nécessaire d’échanger entre autorités le secret ou les clés. Enfin, il serait très complexe à mettre en œuvre, de manière sûre, alors que les applications sont globalisées et mondialisées

Pour Isabelle Falque-Pierrotin, s’il pourrait y avoir un bénéfice sur un cas en particulier, « les effets systémiques collectifs d’un dispositif de ce type seraient extrêmement négatifs en termes de fragilisation de cette infrastructure informatique« . La Cnil juge en effet que le chiffrement « est un élément clef de la robustesse des systèmes » notamment au vu de la multiplication des attaques informatiques. Mais il y a déjà « toute une série de dispositifs dédiés permettant l’accès aux données, réquisitions, captations de données informatiques, techniques de collectes mises en place par la loi renseignement« , a-t-elle rappelé”.

 

Auteur : La rédaction avec AFP