Le plombier aussi quand il est venu chez moi remplacer le lavabo, m’a assuré qu’il n’y aurait pas de fuite…
Selon le directeur technique du service de renseignement, Patrick Pailloux, des communications sûres peuvent être accessibles par les autorités, avec des tiers de confiance. Il dénonce par ailleurs l’opposition des autorités et des défenseurs des libertés numériques.
Ancien directeur de l’agence de cybersécurité française, l’ANSSI, Patrick Pailloux est directeur technique de la DGSE depuis 2014. Ses interventions publiques se sont raréfiées. Le 15 juin à Rennes, il clôturait pourtant le Symposium sur la sécurité des technologies de l’information et des communications (SSTIC), un événement prisé des chercheurs en sécurité les plus techniciens.
En ligne depuis quelques jours, ce discours a été l’occasion pour lui de féliciter le travail des chercheurs en sécurité, tout en répétant le besoin de l’institution de recruter des spécialistes, quitte à enfiler un hoodie pour une séance de questions-réponses. Le tout entrecoupé de quelques blagues. Patrick Pailloux a surtout voulu « tordre le cou à une idée qu’on entend souvent » : que les forces de l’ordre et services de renseignement sont contre le chiffrement.
Le chiffrement du stockage des smartphones et des communications de bout en bout (via des applications comme Signal, WhatsApp ou Wire) est une entrave qui inquiète les enquêteurs, selon le ministère de l’Intérieur. Patrick Pailloux assure pourtant qu’une solution existe pour concilier cryptologie et enquêtes.
« Notre travail est de protéger les Français »« Pardonnez-moi, mais est-ce bien sérieux de penser ça ? Notre travail, mon travail, est de protéger les Français. Donc on serait pour que les réseaux soient ouverts, que tout soit accessible ? Un monde sans sécurité, ce ne serait pas raisonnable » lance ainsi le directeur technique de la DGSE.
Il estime même avoir l’avantage, en tant qu’attaquant, face à ceux qui défendent les systèmes comme l’ANSSI. « L’attaquant doit trouver un endroit pour entrer. Le défenseur doit protéger absolument partout. » Il serait donc ridicule pour les services de renseignement de s’attaquer aux défenses du pays.
« Le contexte agit dans les deux sens pour nous. D’un côté, la généralisation du numérique et des moyens de communication, c’est top pour nous. Tout est numérisé, il y a de l’informatique partout, des réseaux… Donc plein d’opportunités d’aller piquer de l’information. D’un autre côté, ce qui est peut-être moins sympa, est que la sécurité augmente très sérieusement grâce à votre travail, en termes de cryptologie, de gestion des protocoles… » lance le directeur technique aux participants du SSTIC, avec une pointe de flagornerie.
Il répète donc un double argument habituel. D’un côté, il dit que les données sont plus difficiles à obtenir, « sauf celles que vous fournissez aux régies de publicité ou aux géants de l’Internet ». De l’autre, il assure que le renseignement ne s’intéresse pas aux personnes n’ayant rien à se reprocher, d’autant plus que récupérer les données des cibles demande désormais un effort supplémentaire, voire des opérations spécifiques.
Une méthode simple pour obtenir des contenus chiffrésSurtout, il demande pourquoi ces services sont ainsi opposés aux défenseurs des libertés numériques. « Quelle idée de mettre des portes dérobées dans les outils ? » lance ainsi Pailloux, les yeux au ciel, avec une incrédulité surjouée.
« Sécurité ne veut pas dire impossibilité pour les services de sécurité d’accéder aux communications » assure le responsable. Il suffirait de prévoir les bons mécanismes « de sécurité, de chiffrement, d’autorité indépendante de contrôle, enfin tout ce qu’on veut… » pour concilier les deux.
Il refuse tout de même de fournir des méthodes spécifiques, évoquant simplement « de la sécurité forte avec plusieurs tiers » et des mécanismes de réquisition légale contrôlés. Le discours est proche de celui de Christopher Wray, directeur du FBI. Début mars, il prenait l’exemple de la messagerie bancaire chiffrée Symphony, qui conserve une copie en clair des communications chez un tiers. Des copies des clés de chiffrement sont conservées chez des tiers.
Pour Reflets, Patrick Pailloux fait référence aux autorités de séquestre, qui gardent effectivement des copies des clés de chiffrement pour les requêtes légales. Notons l’évidence : un tel système créerait une clé accessible par des tiers, sans contrôle de l’internaute.
Cela demanderait surtout un changement technique aux systèmes sur smartphones et aux services de messagerie populaires, qui chiffrent pour beaucoup les contenus et messages de bout en bout, en conservant les clés localement. Depuis les attentats de 2015, le ministère de l’Intérieur est en contact régulier avec les grandes plateformes, via un groupe dédié.
Comme nous l’expliquait la gendarmerie, aucune grande plateforme étrangère ne fournit les contenus sur simple demande, réclamant une commission rogatoire internationale. Un processus long et complexe. Certaines livrent tout de même les métadonnées des communications face à une requête légale valide. En octobre dernier, la Commission européenne proposait un large renforcement des capacités des forces de l’ordre sur les enquêtes numériques, y compris en capacités de décryptage.
Les fuites de la CIA et de la NSA en questionLe directeur technique de la DGSE est aussi revenu sur les révélations post-Snowden, à savoir les fuites d’armes numériques de la CIA et de la NSA, notamment via le dossier Vault 7. Il pointe ainsi le considérable arsenal dont disposent les États-Unis, décrits comme alliés. « En voyant le nombre de zero-day que la CIA avait sur Android, on pleure quand même… En tous cas nous ! »
Ces révélations interrogent sur la responsabilité des services de renseignement, qui gardent pour eux la majeure partie des vulnérabilités découvertes. Interrogé par le journaliste Martin Untersinger (Le Monde), Patrick Pailloux refuse de détailler la politique de divulgation des failles collectées par la DGSE. Il déclare simplement qu’elle répond au besoin de protéger les Français.
Cette intervention s’inscrit dans la construction d’une façade visible pour le service de renseignement extérieur. « On a besoin de parler parce qu’on a vraiment besoin de recruter » a lancé Pailloux en introduction de son discours.
Il y a pile un an, l’armée était présente en force à la Nuit du hack pour attirer de jeunes talents, assumant son inspiration de l’ANSSI, présente depuis quelques années (voir notre analyse). Cette année, la DGSE disposait de son propre stand à VivaTech, une révolution. Fin mai, plusieurs anciens responsables participaient à une soirée de Mediapart, avec un discours proche de celui de Patrick Pailloux.