Journal d'investigation en ligne et d'information‑hacking
par Jef Mathiot

Déclaration d'amour au chiffrement, DGSE-style

Le point de vue priceless du directeur technique de la DGSE sur la question

Lors de la conférence de clôture du SSTIC, un symposium sur la sécurité informatique, Patrick Pailloux proposait de tordre « le cou à une idée que l'on entend trop souvent »… Pour finir par la soutenir.

CC0 Public Domain

À quelle idée le directeur technique de la DGSE (Direction Générale de la Sécurité Extérieure), Patrick Pailloux, lors d'une de ses rares prises de parole publiques, le 15 juin, faisait-il allusion ?

« Celle selon laquelle les services de sécurité, les services de police et de renseignement, seraient contre le développement de la sécurité ou contre le développement de la cryptologie. »

Et de rabattre le caquet aux imbéciles qui auraient pu avoir cette pensée saugrenue :

« Alors pardonnez-moi mais, est-ce bien sérieux, quand même, de penser ça. Notre travail, mon travail, c'est de protéger les français. Et donc nous on serait pour que les réseaux soient ouverts, que tout soit accessible, que n'importe qui puisse accéder aux données ? (...) Par ailleurs, et je ne vais pas délivrer un secret en vous disant qu'aujourd'hui l'avantage il est très largement à l'attaquant. (...) Et donc, quand on est en situation de faiblesse, la première chose qu'on ne fait pas c'est d'abaisser nos protections. C'est pas du tout sérieux. Last, but not least, on est quand même dans une démocratie, les agents de la DGSE sont des français, des gens qui vivent dans la démocratie, et le développement de la sécurité il a une conséquence. C'est que les données elles sont de plus en plus difficiles à obtenir. Par le développement du chiffrement, tout ce qu'on a dit… »

Nous voilà rassurés, Mr Pailloux semble être un ardent défenseur du chiffrement. Par ailleurs, comme tout bon défenseur de la surveillance des réseaux, il ne peut, en passant, s'empêcher de resservir ce délicat argument, entendu des dizaines de fois, notamment lors les débats sur la loi renseignement :

« Elles sont plus difficiles à obtenir, à part celles que vous fournissez aux régies publicitaires ou aux grands acteurs de l'Internet. Mais ça c'est une autre histoire, pour une autre conférence une autre fois. »

Voilà. Les services sont gentils, les GAFAM sont méchants. Alors les défenseurs des libertés, vous êtes trop zinjustes avec les services. Reprenons :

« C'est plus difficile d'accéder aux informations. (...) Ça veut dire qu'en fait pour accéder à ces informations, il faut faire un effort. Les services de renseignement doivent faire un effort pour accéder à ces informations. Ils doivent investir, ils doivent dépenser de l'argent, il doivent monter des opérations, ils doivent prendre des risques. Donc on ne le fait que si ça sert à quelque chose. (...) Ça veut dire que d'une certaine façon, les gens qui n'ont rien à se reprocher, les services ils ne vont pas aller regarder leurs informations. »

« Regarder les informations », peut-être pas, mais quand on sait que les autorisations d'interceptions pour la surveillance internationale sont accordées, non sur des cibles particulières, mais pays par pays et que la DGSE avale goulûment ce qui transite sur les réseaux, notamment sur les câbles sous-marins, que les informations des « gens » soient collectées, c'est beaucoup plus probable. La surveillance de Schrödinger chère aux services de renseignement, en somme : comme les agents ne « regardent » pas tout ce que leurs équipements ont intercepté et analysé, ce n'est pas de la surveillance de masse. CQFD. On notera par ailleurs que les régimes de surveillance nationale et internationale viennent d'être accouplés par le Parlement dans le cadre de la nouvelle loi de programmation militaire.

Mais revenons donc au chiffrement. Mr Pailloux, c'est heureux, semble complètement opposé à l'affaiblissement du chiffrement par le biais de « portes dérobées » :

« Pourquoi ces polémiques, en fait, entre les services qui voudraient qu'il n'y ait pas de cryptologie, qu'on mette des backdoors dans les outils ? Enfin, quelle idée d'aller mettre des backdoors dans les outils !? Et puis les défenseurs des libertés qui disent "il faut absolument tout protéger" ? Qu'on nous oppose comme ça ? »

Ben oui, c'est vrai ça, pourquoi on oppose les défenseurs des libertés aux services dans cette vilaine « polémique » ? Tout comme Patrick Pailloux, nous, on brûle de le savoir !

« Moi, mon avis sur la question c'est que c'est une mauvaise opposition parce que sécurité ne veut pas dire impossibilité pour les services de sécurité d'accéder aux communications. Il suffit juste de le prévoir et de mettre en place les mécanismes de sécurité, de chiffrement, d'autorité indépendante de contrôle, enfin tout ce qu'on veut. Et alors je vais pas parler des différents modèles, il y a plein d'idées qui ont circulé, il y a plein de méthodes… »

Dites nous, Mr Pailloux, des idées et des méthodes pour ?

« C'est pas l'objet ici… »

Ah ben si, quand même un peu, non ?

« … mais vous qui êtes experts de la cybersécurité vous savez qu'on sait faire de la sécurité forte, avec plusieurs tiers, etc. Et que donc on peut mettre en place des mécanismes de réquisition qui ne sont pas une ouverture open bar à n'importe quel service pour aller piquer des données, mais qui permettent, quand il y a une réquisition judiciaire, policière ou en tout cas légale au regard du droit des pays, en tout cas des pays démocratiques, on puisse accéder. »

Ah ben voilà, il l'a crachée, sa pastille ! Là ça devient tout de suite plus clair. Finalement, ce que rêve de faire Mr Pailloux, c'est nous réinventer le séquestre de clés, ou key escrow. Il s'agit d'un modèle qui consiste à ce que que les clés de chiffrement soient placées auprès d'une autorité de séquestre qui les mettra à disposition des services en cas de réquisition.

Vous l'avez ? Ce qu'envisage le directeur technique de la DGSE n'est pas de mettre en place des « portes dérobées », mais d'avoir à portée de main tout le trousseau de clés.

Nuance.

3 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée