Pour les défenseurs des libertés citoyennes, la révélation du journal Le Monde de ce week-end a fait l’effet d’une douche froide. Dans une note interne, le ministère de l’Intérieur a listé une série de mesures législatives qu’il souhaiterait faire passer dans les projets de loi en cours. Trois d’entre elles sont directement liées à l’usage de l’Internet. Ainsi, le gouvernement souhaiterait : « interdire et bloquer les communications des réseaux Tor en France » ; « interdire les connexions Wi-Fi libres et partagées » durant l’état d’urgence et supprimer les « connexions Wi-Fi publiques » ; « identifier les applications de VoIP [téléphonie par Internet] et obliger les éditeurs à communiquer aux forces de sécurité les clés de chiffrement ». Mais ces vœux législatifs, sont-ils réalistes sur le plan technique ? Voici quelques éléments de réponse.
Bloquer Tor serait très coûteux
Pour un gouvernement, se débarrasser de Tor n’est pas si simple. Il s’agit en effet d’un réseau mondial totalement décentralisé. Pour éviter que les utilisateurs s’y connectent, il faut nécessairement agir au niveau des fournisseurs d’accès. Le gouvernement peut, par exemple, contraindre des FAI à bloquer la connexion aux nœuds d’accès de Tor, dont les adresses IP sont publiques. Mais il existe une solution de contournement : des nœuds d’accès cachés appelés « bridge relay » qui ne figurent pas sur une liste publique et qui sont communiqués par l’équipe de Tor aux utilisateurs au coup par coup (par email par exemple). Le censeur devrait donc partir à la chasse de ces serveurs cachés, ce qui risque d’être pénible. Autre solution : combiner Tor avec un VPN de préférence d’origine étrangère. Dans ce cas, l’utilisateur va d’abord se connecter à son serveur VPN, avant d’accéder à Tor. Pour contrer cette manœuvre, le gouvernement devrait bloquer tous les services VPN existants, ce qui est impossible.
Mais les forces de l’ordre pourraient s’appuyer sur une méthode beaucoup plus sophistiquée : l’analyse du trafic en profondeur ou « Deep Packet Inspection ». Cette technique permet de détecter le trafic Tor et, du coup, de le bloquer. Cela fonctionne même si l’utilisateur s’appuie sur un bridge relay ou sur un VPN. Cette technologie est toutefois très intrusive, car il faudrait analyser tous les contenus de tous les internautes. Il faudrait donc que chaque FAI en soit équipé, ce qui coûterait très cher pour un résultat mitigé. Car là aussi, les développeurs de Tor ont prévu le coup. Ils ont développé des techniques qui permettent de camoufler le trafic Tor sous la forme d’un banal trafic HTTP, Javascript, Skype, etc. Toutefois, ces techniques ne fonctionnent pas à 100 % : il resterait toujours un risque que l’utilisateur n’aura peut-être pas envie de prendre si la peine pénale est suffisamment élevée.
Interdire le Wifi public serait très impopulaire
Les réseaux Wi-Fi ouverts, partagés ou publics compliquent l’identification des personnes connectées. C’est pourquoi les policiers aimeraient tout bonnement les interdire, surtout pendant l’état d’urgence. Est-ce réalisable ? D’un point de vue technique, ce n’est pas directement possible. L’Etat ne peut pas contrôler tous les réseaux sans-fil sur le territoire français. En revanche, il peut définir une peine suffisamment élevée pour qu’il soit dissuasif de braver l’interdiction. Toutefois, une telle mesure serait extrêmement impopulaire, vu le nombre de personnes qui utilisent ce type d’accès. Selon Nextinpact, ce n’est pas la première fois que ce type de verrouillage sécuritaire est envisagé. En 2009, le Conseil général des technologies de l’information avait suggéré de limiter les réseaux Wi-Fi publics seulement à certains sites inscrits sur une liste blanche, afin de lutter contre le piratage d’œuvres protégées. Le gouvernement a finalement rejeté cette proposition qui a été très critiquée et qui est difficile à mettre en œuvre.
Exiger les clés de chiffrement, une solution peu crédible
Blackphone, Signal, Telegram, Facetime… Suite aux révélations d’Edward Snowden, les outils de communication chiffrés se sont multipliés, au grand dam des policiers. C’est pourquoi ces derniers reprennent une idée qui germe chez plusieurs gouvernements occidentaux : obliger les éditeurs de ces outils à livrer la clé de chiffrement en cas de besoin. Techniquement, ce n’est possible que lorsque l’éditeur ou l’hébergeur dispose d’une clé de chiffrement (comme c’est le cas par exemple avec le chiffrement par TLS/SSL).
Mais quid alors des solutions où le chiffrement est de bout en bout, où seuls les utilisateurs disposent des clés ? La seule possibilité pour l’Etat serait soit de contraindre l’éditeur à créer une porte dérobée (ce qui n’est pas toujours mathématiquement possible) ou alors d’interdire cette application. Mais dans ce dernier cas, comment faire appliquer une telle interdiction ? Il faudrait que le gouvernement puisse surveiller tous les trafics de tous les internautes, ce qui semble disproportionné. Par ailleurs, cette idée ne règle pas le cas où il n’existe pas d’éditeur, comme c’est le cas des outils open source. Par ailleurs, les terroristes pourraient très bien créer leurs propres outils sur lesquels l’Etat n’aurait, par définition… aucun moyen de pression.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
