Meredith Whittaker, présidente de Signal, a annoncé que son application pourrait se retirer du marché français si la loi contre le narcotrafic actuellement discutée à l'Assemblée nationale était adoptée avec ses dispositions sur le chiffrement. L'ancien directeur de l'ANSSI, Guillaume Poupard, a également critiqué ces mesures.

Est-ce que la loi narcotrafic va faire déguerpir Signal du marché français ? - © Michele Ursi / Shutterstock
Est-ce que la loi narcotrafic va faire déguerpir Signal du marché français ? - © Michele Ursi / Shutterstock

Le ministre de l'Intérieur, Bruno Retailleau, tente de faire passer un article controversé dans la loi Narcotrafic en discussion cette semaine à l'Assemblée nationale. Cet article obligerait les messageries chiffrées comme Signal, WhatsApp et Olvid à intégrer un mécanisme permettant aux autorités d'accéder aux conversations privées. La patronne de la fondation Signal, Meredith Whittaker, s'est fendue d'un long message sur son compte X.com ce 19 mars. Elle qualifie les arguments des défenseurs de cette loi « d'aussi ennuyeux que désuets et ridicules ».

Cette proposition de loi prévoit la technique dite « du fantôme », qui permettrait d'ajouter un participant invisible dans les conversations chiffrées. On vous le disait sur Clubic, le texte avait été rejeté une première fois par les députés en commission. Des amendements ont été déposés pour tenter de faire passer une version modifiée du dispositif. La ministre du numérique, Clara Chappaz, a proposé « d'explorer la faisabilité de solutions techniques » permettant de cibler des communications sans compromettre la sécurité globale.

L'ancien patron de l'ANSSI explique pourquoi cette loi représente un danger pour la sécurité numérique

Si ce que critique Meredith Whittaker au sujet de la loi Narcotrafic vous rappelle quelque chose ou quelqu'un, ça n'est pas un hasard. Guillaume Poupard, ancien directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et actuel directeur général adjoint de Docaposte, a publié une analyse critique de cette initiative sur LinkedIn le 17 mars. Il explique que la méthode envisagée consiste à « introduire sur réquisition dans les conversations un participant fantôme, invisible mais destinataire des échanges ».

L'expert en cybersécurité rejette catégoriquement les tentatives de présenter cette technique comme différente d'une backdoor. « La question de savoir s'il s'agit ou pas de backdoors est stérile. Modifier des fonctions de sécurité de manière cachée afin de contrevenir à leur raison d'être, c'est introduire une porte dérobée. Point », affirme-t-il sans détours.

Il alerte sur les dangers inhérents à cette approche : « Modifier les mécanismes de sécurité, les protocoles comme leur implémentation, qui plus est de manière cachée, c'est la garantie de multiplier les erreurs et vulnérabilités involontaires, qui pourront ensuite être exploitées par les cybercriminels ». Guillaume Poupard s'inquiète également de la dimension internationale du problème : « Comment les opérateurs pourront-ils alors refuser des interceptions de VIP français, si une requête 'officielle' est réalisée 'dans les formes' par un pays tiers ? ».

La proposition avait déjà été poussée en 2018 par le renseignement cyber britannique (GCHQ) et « les dangers et l'inefficacité avaient alors été largement démontrés », rappelle l'ancien patron de l'ANSSI. Il qualifie ce mécanisme « d'irréaliste, dangereux et inefficace ».

La patronne de Signal avait déjà prévenu de quitter la France - © Martin Kraft (photo.martinkraft.com) Licence : CC BY-SA 4.0 via Wikimedia Commons
La patronne de Signal avait déjà prévenu de quitter la France - © Martin Kraft (photo.martinkraft.com) Licence : CC BY-SA 4.0 via Wikimedia Commons

Signal et d'autres messageries refusent toute compromission sur le chiffrement et menacent de quitter la France

On ne pourra pas dire que Meredith Whittaker n'avait pas prévenu qu'elle quitterait la France si la loi Narcotrafic entrait en vigueur en l'état. Elle s'en était ouverte en février dernier auprès du journal suédois SVT Nyheter.

Cette fois, c'est sur son compte X.com qu'elle bat le rappel. Dans son message, Meredith Whittaker rappelle les bases du chiffrement de bout en bout : il « ne doit avoir que deux 'extrémités' : l'expéditeur et le(s) destinataire(s). Sinon, il est protégé par une porte dérobée ». Elle souligne qu'en 2019, « la proposition de participation fantôme a été vivement critiquée (voire humiliée) lors de sa première proposition au Royaume-Uni. La communauté technique était unie, et elle n'a jamais été mise en œuvre ».

La présidente de Signal pose un ultimatum clair : « Signal quitterait le marché français avant de se conformer à cette loi telle qu'elle est rédigée ». Elle explique que les communications ne restent pas dans les frontières d'un pays. « Une faille créée en France devient donc un vecteur pour quiconque souhaite saper les solides garanties de confidentialité de Signal, où qu'il soit », argumente-t-elle.

Meredith Whittaker soulève par ailleurs un autre lièvre : le risque qu'une telle faiblesse puisse être exploitée sans passer par les voies officielles. « Au lieu de se contenter de calculs indéchiffrables, il leur suffit de compromettre un employé du gouvernement français ou le logiciel fourni par le fournisseur utilisé pour introduire des agents gouvernementaux dans vos conversations privées », détaille-t-elle.

Quoi qu'il en soit, Clara Chappaz, ministre déléguée chargée de l'Intelligence artificielle et du Numérique a indiqué avoir entamé des discussions techniques avec certaines messageries, dont Meta (WhatsApp), Google (Messages), Apple (iMessage), Olvid et Telegram. Signal n'est pas mentionné parmi ces participants.

Les débats sur cette proposition de loi continueront jusqu'au 21 mars à l'Assemblée.

Signal
  • Riche en fonctionnalités
  • Open source
  • Sécurisée
8 / 10
Télécharger

Source : Meredith Whittaker sur X.com