Chiffrement, sécurité et libertés

Je suis invité au colloque « chiffrement, sécurité et libertés » organisé par l’Observatoire des Libertés et du Numérique le 21 novembre 2016 à l’assemblée nationale.

J’y suis invité pour exprimer le point de vue d’un expert judiciaire. Comme je suis plutôt réservé et qu’il s’agit d’une table ronde, je risque fort de regarder tout le monde s’exprimer sans prendre d’assaut le micro pour balbutier quelques mots… Je jette donc ici quelques idées pour moi-même. 

Expert judiciaire :

Tout d’abord, je voudrais rappeler la base de ce qu’est un expert judiciaire : il s’agit d’une personne ayant des connaissances dans un domaine et qui les propose à la justice. Si la justice accepte que cette personne l’aide, elle est inscrite dans un annuaire particulier dans lequel les magistrats piochent lorsqu’ils ont besoin d’aide dans un dossier. Le fait d’être inscrit dans cet annuaire vous donne le droit d’utiliser le titre « d’expert judiciaire ».

Il y a des experts en plomberie (C.1.21), en fumisterie (C.1.26), en améliorations foncières (A.1.1), en paléographie (B.1.2), en héraldique (B.3.9), en chimie des résidus de tir (G.3.2)…

Concernant l’informatique, le législateur l’a regroupée avec l’électronique dans les rubriques suivantes :

E.1. Électronique et informatique.

E.1.1. Automatismes.

E.1.2. Internet et multimédia.

E.1.3. Logiciels et matériels.

E.1.4. Systèmes d’information (mise en œuvre).

E.1.5. Télécommunications et grands réseaux.

Pour ma part, je suis inscrit dans les rubriques E.1.2 et E.1.3 pour l’ordre administratif, et uniquement dans la rubrique E.1.3 pour l’ordre judiciaire (suite à une erreur de plume que je n’arriverai pas à faire corriger et dont j’ai fait le deuil).

J’ai une formation assez classique d’ingénieur, un doctorat, et comme beaucoup de monde, je suis passionné par l’informatique en général. Je n’ai aucune formation juridique, aucune connaissance hautement spécialisée en sécurité informatique pointue. Je suis un citoyen lambda ingénieur en informatique.

Je n’ai pas de pouvoir technique particulier, je ne guéris pas les ordinateurs par la pensée, je ne sais pas déchiffrer l’indéchiffrable, je n’écoute pas les communications téléphoniques de mes voisins, je ne mange pas le midi avec Nick Leeder, ni avec Damien Viel

Par contre, à chaque fois que la justice me confie un scellé informatique, j’ai un défi à relever : répondre aux questions qui me sont posées, si possible sans compromettre le scellé. Pour cela, j’utilise des logiciels achetés à mes frais, des freewares, des je-donne-ce-que-je-veux-ware, des conseils glanés sur internet ou auprès de mon réseau d’entraide personnel (des listes de diffusion d’experts judiciaires en informatique) et ma propre expérience. 

Chiffrement :

J’utilise à titre privé assez souvent le chiffrement de données (Gostcrypt, pourquoi ? parce que.), pour sécuriser mes dossiers d’expertise, pour protéger mes données privées ou les échanges confidentiels que je peux avoir. J’utilise également le chiffrement à titre professionnel pour protéger les travaux de recherche des chercheurs de mon école (je suis directeur informatique et technique dans une école d’ingénieurs), pour protéger les sauvegardes ou les données confidentielles de mon entreprise.

Il m’arrive aussi d’être confronté au chiffrement lors de mes expertises judiciaires. J’en ai parlé dans le billet intitulé « face à TrueCrypt« . Extrait :

Que se passe-t-il alors lorsque je tombe sur un scellé qui contient des données chiffrées avec TrueCrypt ?
Réponse : rien. Je ne peux rien faire sans avoir le mot de passe. Et
encore, je peux avoir un mot de passe qui ouvre le container TrueCrypt,
mais pas le container caché. Je n’ai pas de code secret universel, ni de
logiciel spécial me permettant d’accéder aux données.
Je ne dis pas
qu’ils n’existent pas, je dis que je n’y ai pas accès.
Pour autant, je ne baisse pas les bras immédiatement :
– je peux regarder si des données non chiffrées sont présentes et accessibles sur le disque dur (lire le billet intitulé « le disque dur chiffré« ).
– je peux chercher tous les mots de passe de l’utilisateur, mots de
passe stockés sur internet ou sur d’autres ordinateurs non chiffrés.
Sachant que beaucoup de personnes n’utilisent que quelques mots de
passe, la probabilité de trouver des mots de passe ouvrant les
containers TrueCrypt est forte. Lire par exemple ce billet intitulé « Perquisition« .
– je peux passer par l’enquêteur pour qu’il demande les différents mots de passe à l’utilisateur.
– je peux suspecter un fichier d’être un container TrueCrypt (avec TCHunt par exemple).

Chiffrement, sécurité et libertés :

J’ai répondu sur ce sujet aux questions d’Amaelle Guiton, journaliste au pôle Futurs du journal Libération, sur le sujet du chiffrement, de la vie privée, de la police, de la justice et de l’État. Extrait :

AG: Que pensez-vous de l’argument selon lequel le chiffrement freine
ou bloque les enquêtes? Est-il légitime (ou jusqu’à quel point est-il
légitime) ?

Lorsqu’un enquêteur, ou un expert judiciaire, doit analyser un
ordinateur ou un téléphone et que les données sont correctement
chiffrées, il est bien évidemment bloqué. Si son enquête ne repose que
sur cet élément, il est définitivement bloqué, ce qui est regrettable.
Mais dans les dossiers que j’ai eu à traiter, ce cas de figure n’est
jamais arrivé : un dossier ne repose jamais uniquement sur le contenu
chiffré d’un ordinateur ou d’un téléphone. Il y a toujours d’autres
éléments dans le dossier, et il s’agit d’ajouter encore des éléments de
preuve (à charge ou à décharge) pour le compléter. L’argument ne me
semble pas légitime, sauf dans le sens où le chiffrement complique la
recherche de preuve et donc alourdit la facture de l’enquête, ce qui est
déjà un problème dans notre pays où le budget de la justice est
anormalement bas. Il ne faut pas oublier aussi que si les données sont
chiffrées, il faut aussi qu’à un moment elles soient déchiffrées pour
être utilisées par leur destinataire. L’enquêteur peut intervenir à ce
moment-là.

Pour conclure, je reprendrai ma position de l’époque :

AG: Et enfin, comment vous positionnez-vous dans ce débat : en tant
qu’informaticien, en tant qu’expert judiciaire, en tant que citoyen (ou
les trois à la fois!).

Il m’est difficile de dissocier les trois : je suis un citoyen
informaticien expert judiciaire. J’ai l’expérience de ces trois
casquettes, expérience dont je fais part sur mon blog (ce qui m’est
assez reproché). Ma position personnelle est de placer au-dessus de tout
la protection de la vie privée individuelle. Tous les échanges et tous
les stockages de données devraient être chiffrés de manière à ce que
chacun puisse protéger ses données. Je préférerais d’ailleurs que l’on
parle de « vie intime » plutôt que de « vie privée », car ce dernier
terme prête à confusion dans un monde où beaucoup de citoyens échangent
l’accès à une partie de leur vie privée avec un droit d’usage gratuit à
certains services (proposés par les GAFAM). Tous les citoyens doivent
pouvoir utiliser des outils garantissant leurs données contre les
oreilles de l’État. Les malfaiteurs les utilisent depuis longtemps, sans
que cela ne gêne trop l’État, il est temps que les honnêtes citoyens
puissent les utiliser en masse. Les enquêteurs disposent d’autres moyens
de poursuivre les malfaiteurs sans que l’État n’oblige tous ses
citoyens à se mettre à nu. Je refuse d’être obligé de mettre une caméra
dans ma chambre à coucher sous le prétexte d’une meilleure sécurité, par
exemple pour une lutte soit disant plus efficace contre le terrorisme
ou contre les pédophiles. Je ne crois pas en la réalité d’un État
bienveillant qui surveille en masse ces citoyens pour le bien de tous.
L’Histoire a plutôt démontré que ce type d’État dérive toujours très
vite vers des abus en tout genre.

Quis custodiet ipsos custodes ?

Et comme tout le monde, j’attends avec effroi les premiers piratages de la base de données TES concernant les 60 millions de français créée, semble-t-il, pour supprimer 1300 postes dans les préfectures

Pourquoi avec effroi ? Tout simplement parce que je me souviens bien du film Brazil