08 novembre 2016

Chiffrement, sécurité et libertés

Je suis invité au colloque "chiffrement, sécurité et libertés" organisé par l'Observatoire des Libertés et du Numérique le 21 novembre 2016 à l'assemblée nationale.

J'y suis invité pour exprimer le point de vue d'un expert judiciaire. Comme je suis plutôt réservé et qu'il s'agit d'une table ronde, je risque fort de regarder tout le monde s'exprimer sans prendre d'assaut le micro pour balbutier quelques mots... Je jette donc ici quelques idées pour moi-même. 

Expert judiciaire :

Tout d'abord, je voudrais rappeler la base de ce qu'est un expert judiciaire : il s'agit d'une personne ayant des connaissances dans un domaine et qui les propose à la justice. Si la justice accepte que cette personne l'aide, elle est inscrite dans un annuaire particulier dans lequel les magistrats piochent lorsqu'ils ont besoin d'aide dans un dossier. Le fait d'être inscrit dans cet annuaire vous donne le droit d'utiliser le titre "d'expert judiciaire".

Il y a des experts en plomberie (C.1.21), en fumisterie (C.1.26), en améliorations foncières (A.1.1), en paléographie (B.1.2), en héraldique (B.3.9), en chimie des résidus de tir (G.3.2)...

Concernant l'informatique, le législateur l'a regroupée avec l'électronique dans les rubriques suivantes :

E.1. Électronique et informatique.
E.1.1. Automatismes.
E.1.2. Internet et multimédia.
E.1.3. Logiciels et matériels.
E.1.4. Systèmes d’information (mise en œuvre).
E.1.5. Télécommunications et grands réseaux.

Pour ma part, je suis inscrit dans les rubriques E.1.2 et E.1.3 pour l'ordre administratif, et uniquement dans la rubrique E.1.3 pour l'ordre judiciaire (suite à une erreur de plume que je n'arriverai pas à faire corriger et dont j'ai fait le deuil).

J'ai une formation assez classique d'ingénieur, un doctorat, et comme beaucoup de monde, je suis passionné par l'informatique en général. Je n'ai aucune formation juridique, aucune connaissance hautement spécialisée en sécurité informatique pointue. Je suis un citoyen lambda ingénieur en informatique.

Je n'ai pas de pouvoir technique particulier, je ne guéris pas les ordinateurs par la pensée, je ne sais pas déchiffrer l'indéchiffrable, je n'écoute pas les communications téléphoniques de mes voisins, je ne mange pas le midi avec Nick Leeder, ni avec Damien Viel...

Par contre, à chaque fois que la justice me confie un scellé informatique, j'ai un défi à relever : répondre aux questions qui me sont posées, si possible sans compromettre le scellé. Pour cela, j'utilise des logiciels achetés à mes frais, des freewares, des je-donne-ce-que-je-veux-ware, des conseils glanés sur internet ou auprès de mon réseau d'entraide personnel (des listes de diffusion d'experts judiciaires en informatique) et ma propre expérience. 

Chiffrement :

J'utilise à titre privé assez souvent le chiffrement de données (Gostcrypt, pourquoi ? parce que.), pour sécuriser mes dossiers d'expertise, pour protéger mes données privées ou les échanges confidentiels que je peux avoir. J'utilise également le chiffrement à titre professionnel pour protéger les travaux de recherche des chercheurs de mon école (je suis directeur informatique et technique dans une école d'ingénieurs), pour protéger les sauvegardes ou les données confidentielles de mon entreprise.

Il m'arrive aussi d'être confronté au chiffrement lors de mes expertises judiciaires. J'en ai parlé dans le billet intitulé "face à TrueCrypt". Extrait :
Que se passe-t-il alors lorsque je tombe sur un scellé qui contient des données chiffrées avec TrueCrypt ?
Réponse : rien. Je ne peux rien faire sans avoir le mot de passe. Et encore, je peux avoir un mot de passe qui ouvre le container TrueCrypt, mais pas le container caché. Je n'ai pas de code secret universel, ni de logiciel spécial me permettant d'accéder aux données.
Je ne dis pas qu'ils n'existent pas, je dis que je n'y ai pas accès.
Pour autant, je ne baisse pas les bras immédiatement :
- je peux regarder si des données non chiffrées sont présentes et accessibles sur le disque dur (lire le billet intitulé "le disque dur chiffré").
- je peux chercher tous les mots de passe de l'utilisateur, mots de passe stockés sur internet ou sur d'autres ordinateurs non chiffrés. Sachant que beaucoup de personnes n'utilisent que quelques mots de passe, la probabilité de trouver des mots de passe ouvrant les containers TrueCrypt est forte. Lire par exemple ce billet intitulé "Perquisition".
- je peux passer par l'enquêteur pour qu'il demande les différents mots de passe à l'utilisateur.
- je peux suspecter un fichier d'être un container TrueCrypt (avec TCHunt par exemple).
Chiffrement, sécurité et libertés :

J'ai répondu sur ce sujet aux questions d'Amaelle Guiton, journaliste au pôle Futurs du journal Libération, sur le sujet du chiffrement, de la vie privée, de la police, de la justice et de l’État. Extrait :
AG: Que pensez-vous de l'argument selon lequel le chiffrement freine ou bloque les enquêtes? Est-il légitime (ou jusqu'à quel point est-il légitime) ?
Lorsqu’un enquêteur, ou un expert judiciaire, doit analyser un ordinateur ou un téléphone et que les données sont correctement chiffrées, il est bien évidemment bloqué. Si son enquête ne repose que sur cet élément, il est définitivement bloqué, ce qui est regrettable. Mais dans les dossiers que j’ai eu à traiter, ce cas de figure n’est jamais arrivé : un dossier ne repose jamais uniquement sur le contenu chiffré d’un ordinateur ou d’un téléphone. Il y a toujours d’autres éléments dans le dossier, et il s’agit d’ajouter encore des éléments de preuve (à charge ou à décharge) pour le compléter. L’argument ne me semble pas légitime, sauf dans le sens où le chiffrement complique la recherche de preuve et donc alourdit la facture de l’enquête, ce qui est déjà un problème dans notre pays où le budget de la justice est anormalement bas. Il ne faut pas oublier aussi que si les données sont chiffrées, il faut aussi qu’à un moment elles soient déchiffrées pour être utilisées par leur destinataire. L’enquêteur peut intervenir à ce moment-là.
Pour conclure, je reprendrai ma position de l'époque :
AG: Et enfin, comment vous positionnez-vous dans ce débat : en tant qu'informaticien, en tant qu'expert judiciaire, en tant que citoyen (ou les trois à la fois!).
Il m’est difficile de dissocier les trois : je suis un citoyen informaticien expert judiciaire. J’ai l’expérience de ces trois casquettes, expérience dont je fais part sur mon blog (ce qui m’est assez reproché). Ma position personnelle est de placer au-dessus de tout la protection de la vie privée individuelle. Tous les échanges et tous les stockages de données devraient être chiffrés de manière à ce que chacun puisse protéger ses données. Je préférerais d’ailleurs que l’on parle de « vie intime » plutôt que de « vie privée », car ce dernier terme prête à confusion dans un monde où beaucoup de citoyens échangent l’accès à une partie de leur vie privée avec un droit d’usage gratuit à certains services (proposés par les GAFAM). Tous les citoyens doivent pouvoir utiliser des outils garantissant leurs données contre les oreilles de l’État. Les malfaiteurs les utilisent depuis longtemps, sans que cela ne gêne trop l’État, il est temps que les honnêtes citoyens puissent les utiliser en masse. Les enquêteurs disposent d’autres moyens de poursuivre les malfaiteurs sans que l’État n’oblige tous ses citoyens à se mettre à nu. Je refuse d’être obligé de mettre une caméra dans ma chambre à coucher sous le prétexte d’une meilleure sécurité, par exemple pour une lutte soit disant plus efficace contre le terrorisme ou contre les pédophiles. Je ne crois pas en la réalité d’un État bienveillant qui surveille en masse ces citoyens pour le bien de tous. L’Histoire a plutôt démontré que ce type d’État dérive toujours très vite vers des abus en tout genre.
Quis custodiet ipsos custodes ?
Et comme tout le monde, j'attends avec effroi les premiers piratages de la base de données TES concernant les 60 millions de français créée, semble-t-il, pour supprimer 1300 postes dans les préfectures...

Pourquoi avec effroi ? Tout simplement parce que je me souviens bien du film Brazil...


Aucun commentaire:

Enregistrer un commentaire

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.