En janvier dernier, Europol et Eurojust ont fait paraître leur premier rapport sur le cryptage en sécurité informatique, le First report of the observatory function on encryption. Dans le cadre des mesures annoncées par la Commission européenne dans l’Eleventh progress report, les deux agences ont établi un observatoire conjoint pour analyser les difficultés, les opportunités et le futur du cryptage en matière d’enquête criminelle.

Le rapport fait une brève introduction des concepts, produits et services[1] d’usage générique en cryptage. Puis, à partir de l’expérience des membres de l’European Cybercrime Centre (EC3), il traite des défis pour les forces de sécurité et les systèmes de justice dans le déroulement de l’enquête et de la persécution des infractions.

À ce propos, on constate, en premier lieu, un cadre légal spécifique déficient qui n’aide pas les agences de sécurité et les autorités judiciaires à surmonter ou attaquer le cryptage. Malgré l’équilibre difficile entre le droit à la confidentialité et les droits des victimes, le rapport met l’accent sur la nécessité d’une réglementation contemplant, entre autres, l’obligation légale de la part des entreprises et/ou services[2] de fournir le code ou l’information chiffrée et des provisions spécifiques dans l’utilisation d’outils pour attaquer le cryptage[3].

Au-delà des aspects légaux, le rapport souligne le besoin de renforcer les questions de coordination opérationnelle, les ressources techniques et technologiques et les ressources humaines. D’après l’observatoire, du point de vue opérationnel, une meilleure coordination des différentes forces de sécurité et des agences européennes Europol et Eurojust est nécessaire. De même, il est essentiel d’investir en puissance informatique afin de lancer des attaques visant à trouver les codes d’accès à l’information chiffrée. Néanmoins, en complément à la technologie, la formation et la présence de juristes experts en la matière deviennent indispensables[4].

Face à ladite problématique d’opposer les droits à la confidentialité et la nécessité de lutter contre la criminalité, European Digital Rights (EDRi) indique que trouver le code ou le découvrir en exploitant des vulnérabilités est une bonne manière d’y répondre. C’est dans ce sens que, d’après le rapport, l’effort doit être dirigé face au défi du cryptage.

Finalement, le rapport met sur la table de nouveaux défis du futur. L’observatoire en relève au moins trois : l’informatique quantique, l’intelligence artificielle et l’arrivée de la 5G. Jusqu’ici, aucune de ces technologies n’ont entraîné un changement radical en cryptage mais laissent augurer de grands progrès et certains risques, dont la Quantum Key Distribution pour ce qui est de l’informatique quantique ou l’International Mobile Subscriber Identity-IMSI[5] pour la 5G.

En somme, le rapport pose un dilemme. Bien que le cryptage soit nécessaire, en termes de sécurité, pour les administrations publiques et les entreprises privées, il est aussi mis à profit pour des activités illicites par le crime organisé. La question de fond est donc de doter les services publics d’un cadre légal et de capacité opérationnelle pour aller au-devant de ce nouvel environnement technologique. En serons-nous capables, alors que le rapport lui-même souligne que ce sont les entreprises privées qui mènent l’initiative ?

Liens—————————————————————————————————————-

https://www.europol.europa.eu/ à Europol

http://www.eurojust.europa.eu/Pages/home.aspx –> Eurojust

https://www.europol.europa.eu/publications-documents/first-report-of-observatory-function-encryption à Informe a la web d’Europol.

Bas de page 1.

• https://www.torproject.org/index.html.en –> The Onion Router – Tor (logiciel libre)
• https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742566(v=technet.10) Virtual Private Networks.
• https://signal.org/ Signal
• https://www.silentcircle.com/ Silent Circle.
• https://www.techopedia.com/definition/13623/full-disk-encryption-fde Définition de Full Disk Encryption

https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3 European Cybercrime Centre. EC3

https://www.techopedia.com/definition/5067/international-mobile-subscriber-identity-imsi – IMSI

[1] Par exemple, pour ce qui est des navigateurs, l’utilisation de The Onion Router (Tor), un logiciel libre qui, en empruntant diverses adresses IP, créé des nœuds et des connexions aléatoires avec leurs couches de cryptage respectives, ce qui rend la traçabilité de l’IP originale difficile. Ou les Virtual Private Networks qui protègent la connexion entre le terminal et le serveur. Dans les communications par voix, on a, par exemple, les services de cryptage de Signal ou, moins connu, de Silent Circle.

[2] Cette législation spécifique n’est pas généralisée car cela pourrait signifier une violation du droit de ne pas s’auto-incriminer dans un crime. Malgré cela, là où il existe cette obligation pour les fournisseurs de services, ces derniers, dans de nombreux cas, ne peuvent pas répondre à cette exigence parce qu’ils n’ont pas les données de chiffrement de bout à bout (end-to-end encryption – E2EE).

[3] Le rapport souligne que, même si la législation en vigueur suffit, une concrétisation des outils de déchiffrement utilisés, bien que pas forcément très descriptive techniquement, pourrait offrir plus de sécurité juridique.

[4] Il y a des outils de chiffrement qui, avec l’actuelle puissance informatique, rendent le décryptage impossible dans un temps raisonnable. C’est pourquoi les experts peuvent apporter des aspects de contexte et d’environnement personnel du suspect en focalisant les ressources dans une direction.

[5] Avec la 5G, un identifiant unique peut être temporairement substitué par un identifiant dynamique, ce qui favorise de nouvelles techniques de manipulation de l’identité et de l’occultation.

_____

Aquest apunt en català / Esta entrada en español / This post in English