Faut-il affaiblir le chiffrement pour lutter contre le crime organisé ? Le projet de loi contre le narcotrafic, actuellement en discussion à l'Assemblée nationale, ravive les tensions autour de cette question sensible. Si le ministre de l’Intérieur réclame plus d’accès aux communications sécurisées, de nombreux députés alertent sur les risques pour la vie privée.
Catégorie
🗞
NewsTranscription
00:00C'est le rendez-vous cyber de Smartech, on va commenter l'actu aujourd'hui avec Christian D'Avio, bonjour, bienvenue, vous êtes senior advisor au Cybercerc, président fondateur du cabinet de conseil CD Strat, vous avez été pendant 10 ans conseiller spécial auprès du directeur général de l'ANSI, l'agence nationale de sécurité des systèmes d'information.
00:23A côté de vous, Benoît Gruneval, bonjour Benoît, directeur des affaires publiques chez ESET, entreprise européenne de la cybersécurité, vous accompagnez depuis une vingtaine d'années les particuliers, les entreprises et les états aussi sur ces enjeux cyber.
00:36Alors je voulais vous faire commenter déjà ce happy end sur le chiffrement puisque finalement l'assemblée nationale n'a pas voté cet article 8 terres qui posait problème visiblement à l'ensemble de l'écosystème cyber,
00:51j'ai en tout cas l'impression que j'en ai eu, qui était dans la loi contre le narcotrafic et qui prévoyait de permettre aux services de renseignement d'accéder au contenu intelligible des correspondances et données qui transitent sur les messageries proposant un chiffrage dit de bout en bout des communications.
01:10Donc autrement dit, installer des portes dérobées. Comment est-ce que vous avez suivi cette histoire Christian ?
01:18Je l'ai suivi avec une certaine dramaturgie. D'abord c'est qu'une victoire temporaire puisque régulièrement le ministère de l'Intérieur revient sur ce sujet-là année après année, ministre après ministre.
01:31On avait l'impression que là c'était fini et pas c'est revenu.
01:33Non non non, ça reviendra. Les services régulièrement enfument leur ministre et lui font prendre des positions qui à la fois ridiculisent le ministre et finissent comme vient de finir cette histoire.
01:43Enfumer, le terme est fort quand même.
01:45Il a été repris, oui je l'assume, et il a été utilisé par une députée en séance lors des débats à l'Assemblée.
01:53Mais pourquoi vous dites ça ? Expliquez-nous alors. Il est où l'enfumage ?
01:57D'abord les services n'ont pas donné au ministre le vocabulaire ad hoc. On continue à parler de cryptage de données, on a parlé de chiffrage, ce qui est une hérésie, on parle évidemment de chiffrement.
02:10Deuxième point, on a donné au ministre deux exemples d'applications, celui d'Apple et celui du Online Safety Bill anglais, qui ont été abandonnés à la fois par Apple et par les anglais.
02:21Qui remontaient à 2016 si je ne me trompe pas.
02:2321 et 23, l'abandon en tout cas.
02:25L'abandon oui, mais l'idée de départ.
02:28Donc on a mis le ministre en difficulté, et puis on lui a fait croire que techniquement c'était faisable, avec cette idée absurde de dire il y a un chiffrement de bout en bout, on n'y touche pas.
02:39Mais on va passer par un point C, un intercuteur C, ce qui est une aberration d'un point de vue chiffrement, etc.
02:45Donc on a vendu, sans doute avec beaucoup de convictions, mais une technique, une solution inefficace, au point qu'on a fait dire au ministre que ce serait une fonctionnalité supplémentaire à ajouter.
02:59Et pour ça on a pris une fonctionnalité de WhatsApp, qui est de signer un message inconvenant, ce qui est complètement aberrant dans une conversation chiffrée, etc.
03:08Benoît, comment vous avez suivi cette affaire ? Vous vous êtes dit là on a encore raté l'éducation, la pédagogie auprès de nos politiques ?
03:15Oui, certainement, et pour faire beaucoup de pédagogie je pense qu'il faut encore remettre un niveau de pédagogie supplémentaire.
03:21Et puis moi je me suis aussi mis du côté des utilisateurs.
03:25C'est-à-dire que celui à qui on va dire maintenant signale WhatsApp, ou tous ceux qui ne souhaitent pas se conformer à cela vont se retrouver sur des stores alternatifs.
03:35Et bien c'est la porte grande ouverte à ce qu'il y ait des arnaques, à ce qu'il y ait également des versions qui soient modifiées.
03:43On a vu assez récemment des différentes versions, notamment des fausses versions de Telegram, des fausses versions de WhatsApp, des fausses versions de Signal.
03:51Signal étant en open source, en plus on peut assez facilement en créer des nouvelles.
03:55Et ces versions-là amenaient les utilisateurs, lorsqu'ils s'inscrivaient, à ajouter dans leurs conversations finalement ce que la loi d'arco au trafic voulait,
04:05mais pour des tiers qui eux étaient bien plus malveillants que les faits escomptés.
04:10Alors pour autant, ça repose quand même la question de quelles armes on donne au service de renseignement ?
04:17Le ministre l'a dit également, il y a une technique plus intrusive qui est de piéger les équipements.
04:21Et bien ça, ça marche très bien, continuons, faisons plus de piégeages d'équipements.
04:25Moi ça me va bien s'il y a le juge, etc. ou la CNCR.
04:29Si on est dans le cadre d'une enquête ?
04:30Exactement, tout à fait.
04:31Donc utilisons cette technique qui fonctionne, qui est limitée ponctuellement, qui n'ouvre pas la porte à tout un tas d'espions ou de hackers.
04:38Et voilà, c'est très bien.
04:39Il y a les outils, ils existent.
04:41Et leur donner les moyens également, pourquoi pas, de créer des faux terminaux, ou en tout cas des vrais terminaux sécurisés,
04:46mais sécurisés par les forces de l'ordre.
04:48Il y a déjà un certain nombre de criminels qui se sont fait piéger par ces techniques.
04:52On pense à un crochet notamment.
04:54Ça demande des moyens, mais ça fonctionne.
04:56Oui, mais moi j'ai même entendu les messageries dire,
04:58mais nous on est prêts à travailler en fait avec les services de renseignement pour trouver des solutions ensemble.
05:05Parce qu'on a entendu aussi, oh là là, c'est le lobby des messageries qui est en action contre ce texte.
05:13Oui, on est même allé assez loin, puisqu'Olivier Marlex a parlé de corruption.
05:17Il n'a pas employé le terme, mais il a dit qu'il consulterait les financements des élus auprès de l'haute autorité qui gère ces sujets-là.
05:25Donc lui a parlé de corruption en fait, sans donner le mot.
05:28Donc on est allé très loin.
05:29Non, il ne s'agit pas de ça.
05:30Les messageries ont dit, c'était le cas pour le Ville, c'est le coupeur-signal,
05:33WhatsApp je n'ai pas vu, mais qu'elles ne fourniraient plus leurs services en France,
05:37et en tout cas qu'elles ne toucheraient pas à leur chiffrement.
05:40Et c'est un premier d'ailleurs signal, sans faire de jeu de mots,
05:43qu'avait donné Apple en Angleterre, en décidant justement de retirer la fonctionnalité de protection.
05:49Alors, il y a une autre façon en fait d'obtenir des renseignements,
05:53c'est de mettre une tierce personne dans la conversation.
05:56Je fais référence évidemment au Signal Gate, à l'affaire aux Etats-Unis,
06:01où un journaliste de The Atlantic, le rédacteur en chef en l'occurrence,
06:05s'est retrouvé intégré dans une conversation où l'on préparait l'opération militaire américaine
06:11contre les outils au Yémen.
06:14Donc Jeffrey Goldberg a raconté toute cette histoire de manière assez transparente.
06:19Au début, il a pensé qu'il était victime d'un fake, peut-être même d'un piège, de désinformation.
06:25Il s'avère que non, tout était bien vrai.
06:28Comment est-ce possible ça aujourd'hui déjà ?
06:31Et je voulais vous interroger aussi sur l'utilisation pertinente ou non d'une messagerie comme Signal,
06:36qui est une messagerie ultra sécurisée.
06:39Est-ce que c'est pertinent de l'utiliser ?
06:41Est-ce que c'est dangereux de l'utiliser quand on est à ce niveau décisif de l'État ?
06:46D'expérience, ce qui est frappant, c'est que quand un élu arrive au gouvernement,
06:52la première chose qu'il veut éviter, c'est d'être espionné par les services de ses administrations.
06:57Donc je ne suis pas très étonné que, dans l'entourage d'un président,
07:02on fasse appel à Signal, qui est un open source,
07:05ça veut dire qu'on peut faire confiance dans l'open source au passage,
07:07et donc d'utiliser cette technologie-là, cette messagerie-là, qui est très sécurisée.
07:11Plutôt que d'utiliser les services qu'on nous donne ?
07:15Oui, parce qu'on imagine que probablement ils sont écoutés par les services
07:18et on n'a pas forcément envie qu'une fuite passe.
07:22Donc ça peut être une manière de contrer d'éventuels espions internes
07:25que de passer par un logiciel tiers.
07:28Donc ça, vous dites, pourquoi pas, finalement ? Benoît ?
07:30Oui, ou tout simplement d'utiliser des messageries dans lesquelles on a confiance,
07:33des outils comme Tchap, par exemple.
07:36Moi, je ne vois pas le GIGN monter une opération et discuter...
07:40Alors Tchap, c'est la messagerie qui a été, open source aussi d'ailleurs,
07:44qui a été conçue pour l'État, pour les services...
07:48Et il y a un élément important sur Tchap et d'autres,
07:51c'est qu'elle repose sur un annuaire.
07:53Ce qui veut dire que vous ne pouvez pas joindre Tchap, déjà, sans être autorisé.
07:57On n'aurait pas pu inviter Jeffrey Goldberg dans la conversation ?
08:00Alors, sauf s'il était sur Tchap ou sur une messagerie de ce type-là,
08:04mais déjà approuvé.
08:06Et puis ensuite, il y a un vrai problème d'utilisation pro et perso,
08:10une différenciation.
08:12On a même plusieurs niveaux, normalement, d'équipements
08:15qui devraient être utilisés en fonction de vos discussions secret-défense
08:19ou des discussions avec les journalistes, des terminaux différents.
08:23Une certaine hygiène, je dirais, basique à appliquer
08:26et qui fait que ce type de manipulation ne devrait pas arriver.
08:29Et en fait, c'est quoi ?
08:31C'est parce qu'on veut aller vite et qu'on veut faire simple
08:34que ce genre de choses arrivent ?
08:36En France, vous imaginez que ce serait possible, ça ?
08:39En France, ça se passe tous les jours.
08:41On a su au début du quinquennat d'Emmanuel Macron
08:45que la sphère utilisait WhatsApp, par exemple,
08:48alors qu'il existait des solutions...
08:50Oui, c'est vrai qu'on a vu des ministres se faire piéger sur Signal,
08:53avec usurpation d'identité.
08:55Alors, il y a Olvid maintenant qui est largement utilisé,
08:58c'est très bien parce que c'est souverain,
09:00mais on a vu les déviances de ce côté-là.
09:03Et encore une fois, je pense que de la part des gens du gouvernement
09:06ou des hauts fonctionnaires, c'est la peur d'être écouté
09:09par ses propres services, qui est absolument aberrant.
09:12Troisième actus que je voulais vous faire commenter,
09:15c'est la nouvelle présidence au campus cyber.
09:18C'est Geoffrey Célestin-Urbain qui a été choisi.
09:21Au bout du compte, il était chef du service de l'information stratégique
09:25et de la sécurité à Bercy.
09:27En fait, il était chargé de l'intelligence économique,
09:30de la protection des actifs, la question de la souveraineté.
09:34Comment est-ce que vous percevez l'arrivée de ce profil
09:38qu'on a reçu dans Smartech ?
09:40On a fait une grande interview avec Geoffrey.
09:43Comment vous percevez ce profil spécifique
09:45qui ne vient pas du tout de la cybersécurité,
09:47qui n'est pas un profil non plus politique ?
09:50Déjà, je le félicite et je lui souhaite de réussir
09:54parce que s'il réussit, il réussit pour la filière,
09:57pour notre cybersécurité.
09:59Donc, c'est un bon élément.
10:02Et puis, pour avoir animé notamment une série de tables rondes
10:07pour une journée qui s'appelle SECNUMECO,
10:09organisée par l'Annecy et la CCI.
10:11Le matin, c'était très technique, entre guillemets,
10:14cybersécurité.
10:15L'après-midi, c'était protection de l'entreprise
10:17sous l'angle économique.
10:18Force est de constater que si on arrive à faire sortir
10:20la cybersécurité de son domaine technique
10:22et qu'on l'emmène beaucoup plus auprès des décideurs
10:25sous un format économique et qu'on leur dit
10:27grâce à ça, on va vous permettre d'être plus performants,
10:29de vous protéger contre les ingérences extérieures
10:32ou toute autre attaque économique,
10:34on aura certainement fait gagner et fait sortir
10:37cette cybersécurité d'un discours peut-être trop technique
10:40vers un discours plus général.
10:42Donc, il faut décloisonner.
10:43Pour vous, c'est vraiment le job premier
10:46que devra réussir Geoffrey Sélestin-Urbain.
10:50On parle aussi, on va se dire, c'est une reprise en main
10:52de l'État, finalement, sur la politique cyber.
10:56Moi, je suis assez sceptique, à vrai dire.
10:58Sur ce que je viens de dire ?
11:00Non, sur la nomination ou le choix.
11:03On avait Michel Van Der Berghe,
11:05qui est un entrepreneur à succès,
11:06qui a réussi sans problème, qui a réussi à monter...
11:08Né d'orange cyber défense, oui.
11:10Avant, il avait lui-même monté.
11:12Donc, quelqu'un qui a réussi à mettre sur pied
11:15ce cyber campus, malgré l'État,
11:17malgré les entreprises, d'une certaine manière.
11:19Il a joué contre et il a réussi.
11:21Peut-être avec des petits excès de temps en temps
11:24sur les coûts, mais peu importe.
11:26Ça a fonctionné.
11:27Là, on a affaire à un haut fonctionnaire
11:29qui ne connaît pas l'entreprise,
11:30qui n'a jamais travaillé en entreprise.
11:32On a vu que des entreprises françaises
11:34sont passées à l'étranger
11:35sans que le CIC ait pu intervenir en quoi que ce soit.
11:38Donc, attendons de voir.
11:39Le CIC est le service que vous dirigez ?
11:40Oui.
11:41Donc, attendons de voir.
11:42On verra, mais je suis un peu perplexe
11:45sur la nomination et le profil
11:47qui a été choisi pour reprendre le relais
11:48de Michel Van Der Berghe.
11:49Vous avez commencé à donner des pistes, Benoît,
11:51sur de quoi on a besoin,
11:53quelle stratégie pour le campus cyber.
11:55Parce qu'on a dit que c'était un grand hub,
11:57qu'on allait justement mettre la recherche
11:59à côté de l'entreprise,
12:01à côté des administrations
12:02pour que tout cela travaille ensemble.
12:04On voit que ce n'est pas si simple.
12:05Il a peut-être manqué des grands projets aussi
12:08autour desquels le campus pouvait travailler ?
12:11Certainement.
12:12Maintenant, le campus est un lieu totem.
12:16Il y a bien entendu le campus parisien,
12:18mais il y a aussi le réseau des campus
12:20qui se trouve en France,
12:22le réseau des CECIRT.
12:23Il y a certainement un écosystème
12:25à faire fonctionner,
12:27sans oublier Cyber Malveillance,
12:29et l'ANSI dans cet écosystème-là.
12:31Pour moi, l'enjeu du campus cyber
12:33est au-delà de simplement
12:35de faire travailler cette plaque parisienne,
12:39pour aller plus loin.
12:41En fait, il ne suffit pas de mettre les gens
12:43les uns à côté des autres pour que ça fonctionne.
12:45On a dit que c'était finalement un projet immobilier.
12:48Oui, mais ce n'est pas de la faute
12:50de Michel Van Der Berghe, en l'occurrence.
12:51Sans parler des directions,
12:53comment on travaille ?
12:55A l'origine, le projet initial
12:57c'était de mettre un CERT
12:59et que l'ANSI mette des opérationnels
13:01de la cybersécurité.
13:03Ce n'est pas ce que l'ANSI a choisi,
13:05et finalement, il n'y a pas eu de CERT à cet endroit-là,
13:07qui aurait été un vrai catalyseur pour les entreprises.
13:09Donc, il y a eu une erreur, une faute de l'État
13:11et de l'ANSI, en l'occurrence, dans ce domaine-là,
13:13pour des raisons qui sont tout à fait explicables par ailleurs.
13:15Pour le campus, c'est ça.
13:17Mais le sujet est bien plus vaste.
13:19Il faudrait déjà qu'on ait un ministre du numérique,
13:21ce qui n'est pas le cas aujourd'hui.
13:23Un ministre du numérique, on en a.
13:25Elle n'est pas ministre du numérique,
13:27elle est ministre déléguée,
13:29et elle est à Bercy.
13:31Comment peut-on faire une politique
13:33du numérique interministériel,
13:35quand on est coincé à Bercy,
13:37avec un décret d'attribution qui est creux ?
13:39Il n'y a rien dans son décret d'attribution.
13:41Donc, elle n'a aucun pouvoir.
13:43Et d'ailleurs, quand vous la voyez défendre
13:45les amendements en séance,
13:47on voit bien qu'elle lit son papier.
13:49Elle n'a pas eu les services qui ont travaillé avec elle
13:51pour qu'elle puisse simplement expliquer les sujets.
13:53Donc, on a un vrai problème.
13:55Vous parlez justement du chiffrement.
13:57Oui, peu importe.
13:59À part en intelligence artificielle,
14:01qu'elle domine parfaitement,
14:03pour le reste, c'est plus compliqué.
14:05Mais si déjà, on avait quelqu'un en charge,
14:07une volonté politique et une vision...
14:09Du numérique ou de la cybersécurité ?
14:11On pourrait très bien avoir, par exemple,
14:13un haut-commissaire à la cybersécurité,
14:15qui est la permanence dans le temps,
14:17et un ministre du numérique qui propose une vision.
14:19Là, on n'a pas de stratégie en numérique
14:21pour la cybersécurité.
14:23Il y en a une qui dort dans les tiroirs depuis mai dernier.
14:25Peut-être qu'elle sortira un jour.
14:27Mais aujourd'hui, on n'en a pas, en fait.
14:29On manque aujourd'hui d'une vision politique
14:31sur la cybersécurité.
14:33Vous partagez ce point de vue, Benoît ?
14:35Oui, je partage ce point de vue.
14:37Et ça se ressent aussi sur le terrain.
14:39On a un certain nombre d'entreprises
14:41qui voient arriver, par exemple, Nice 2,
14:43entreprises ou administrations,
14:45et qui se demandent comment elles vont
14:47financer cette nouvelle directive
14:49nécessaire pour augmenter leur service de sécurité.
14:51Là, on a l'ANSI qui est aux commandes sur Nice 2.
14:53L'ANSI qui va délivrer des budgets ?
14:55Ah, peut-être pas délivrer les budgets.
14:57Effectivement, il y a une partie technique,
14:59qui est très forte,
15:01mais une partie peut-être opérationnelle
15:03et financière,
15:05qui va certainement poser problème
15:07à un grand nombre d'entités
15:09qui vont se retrouver face à Nice 2.
15:11Et le campus cyber, là-dedans,
15:13il a un rôle à jouer particulier ?
15:15Les campus cyber au niveau...
15:17Les campus, tout à fait.
15:19Oui, plus que les CSIRT, qui ne sont pas des CSIRT, en fait.
15:21Mais les campus cyber, oui, sans doute.
15:23C'est d'ailleurs un sujet.
15:25Que va-t-on faire pour la proximité ?
15:27L'ANSI est très performante.
15:29C'est une administration centrale.
15:31C'est un service à compétence nationale, mais une administration centrale.
15:33Comment fait-on sur le terrain ?
15:35Les PME, PMI, dans les 15 000
15:37qui seront concernés
15:39par Nice 2, Dora ou Rec,
15:41comment vont-elles faire pour gérer au quotidien
15:43leur cybersécurité ?
15:45C'est ça, le problème.
15:47L'ANSI ne se préoccupe pas de ça, en fait.
15:49Donc, l'enjeu, vous dites, c'est les campus en région, en fait ?
15:51Oui, plutôt.
15:53Merci beaucoup à tous les deux pour vos commentaires
15:55sur cette actus cyber.
15:57C'était notre grand rendez-vous avec Christian Daviau,
15:59qui était avec nous aujourd'hui,
16:01président fondateur de CDStrat,
16:03et Benoît Grünemwald, des affaires publiques
16:05chez ESET.
16:07À suivre, on a un rendez-vous avec le droit de la donnée.
16:09On va parler des actions de groupe.