FRANCE - Les ministres et autres membres du gouvernement ne pourront plus utiliser les applications de messagerie comme WhatsApp, Signal et Telegram. Dans une circulaire communiquée par ses services aux autres cabinets ministériels, le Premier ministre Elisabeth Borne évoque les “failles de sécurité” de ces applications et instruit ses collaborateurs de les remplacer par l’application de messagerie française Olvid. Les membres du gouvernement ont jusqu’au 8 décembre 2023 pour migrer vers la solution française, qui se définit comme la messagerie "la plus sécurisée au monde”. Cette circulaire intervient un mois et demi après la déclaration du ministre de l’Intérieur, Gérald Darmanin, qui souhaite que les applications de messagerie chiffrée ouvrent une "porte dérobée" à ses renseignements.
Dans sa consigne, Elisabeth Borne fait remarquer que l’usage de WhatsApp, Telegram ou encore Signal “occupent une place grandissante dans nos communications”. Pour justifier leur abandon au profit d’Olvid, Matignon évoque deux arguments. Le premier est lié à la cybersécurité et le Premier ministre rappelle que ces applis, très populaires, “ne sont pas dénuées de failles de sécurité”. Le second argument est que l’application de messagerie instantanée française est “la seule plateforme cryptée ayant reçu la certification de sécurité de premier niveau de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)”, en 2020, soit deux ans après son lancement.
Signal “pas dénué de faille", sa présidente apprécie peu
La circulaire, consultée par plusieurs médias comme BFMTV et Le Point, explique que “l’intégration de cette solution constitue non seulement le signe d’une prise de conscience en matière de cybersécurité, mais aussi une avancée vers une plus grande souveraineté technologique française”.
Disponible depuis la fin de 2018 sur Android et iOs (Apple), l’application de messagerie instantanée Olvid est chiffrée de bout en bout, à l’image de WhatsApp, Signal ou Telegram. Mais à l’opposé de celles-ci, Olvid ne nécessite aucune carte SIM, c’est-à-dire aucun numéro de téléphone, ni même un mail, un prénom ou une date de naissance.
La société éponyme, qui évoque ses “protocoles cryptographiques à la puissance inégalée”, affirme que les échanges de ses utilisateurs “ne laissent aucune trace numérique”, pas même les métadonnées, des informations associées aux messages comme la date, le type d'appareil utilisé ou les informations sur l’utilisateur. L’une de ses principales innovations réside également dans la suppression de l’annuaire centralisé d’utilisateurs.
La circulaire de Matignon rappelle par la même occasion que “les données ne sont pas conservées sur le serveur central. Par conséquent, celui-ci ne nécessite pas une sécurité particulière pour les données dites sensibles”.
A l’opposé, une application comme WhatsApp, qui chiffre, certes, les conversations de bout en bout, conserve, dans les datacenters de la société mère Meta, les métadonnées. En outre, la messagerie, qui est gratuite, collecte beaucoup de données personnelles, comme la géolocalisation de l’utilisateur, les achats effectués à l’intérieur des discussions ou surtout le carnet de contacts de l’usager.
Signal offre des fonctionnalités similaires à celle d’Olvid comme la réduction au maximum des métadonnées et leur suppression, mais nécessite l'utilisation d'un numéro de téléphone, donc un annuaire centralisé.
La présidente de l’application a d’ailleurs réagi à la circulaire de Borne, dans un post X diffusé jeudi. “Je suis alarmé par le fait que [Le Premier ministre] invoque des ‘failles de sécurité’ dans Signal pour justifier cette décision. Cette affirmation n’est étayée par aucune preuve et est dangereusement trompeuse, en particulier quand elle vient d’un gouvernement”, écrit Meredith Whittaker. Et d’ajouter: “Si vous souhaitez utiliser un produit français, foncez ! Mais ne diffusez pas de fausses informations (...) Signal est audité de manière indépendante et notre protocole a été testé pendant plus de 10 ans”.
Darmanin souhaite une “porte dérobée” dans le chiffrement
Tandis que Matignon souhaite sécuriser les conversations des membres du gouvernement, Gérald Darmanin aimerait plutôt réduire la sécurité des applications comme WhatsApp. En octobre, le ministre de l’Intérieur, qui intervenait quelques jours après l’attentat d’Arras qui a coûté la vie à Dominique Bernand, professeur de français, exprimait son optimisme à “pouvoir négocier une porte dérobée” avec les applications de messagerie chiffrée.
Il a notamment évoqué Whatsapp et Signal, qui seraient utilisés par les terroristes et les délinquants pour communiquer. Or, le principe de base du protocole de chiffrement de bout en bout est de permettre aux deux interlocuteurs d’être les seules personnes à accéder au contenu de la discussion. Gérald Darmanin a ainsi regretté que la loi n’impose pas à ces sociétés la création d’une “porte dérobée”, c’est-à-dire une brèche dans le chiffrement sur demande d’un juge ou d’un préfet.
"Si nous étions capables de dire à WhatsApp, à Signal, à Telegram : ‘Donnez-nous la conversation de cette personne parce qu'elle présente une menace', nous gagnerions énormément de temps", justifie-t-il. Une opération “impossible” selon les spécialistes, car un affaiblissement du chiffrement ouvrirait une “porte dérobée” aux autorités comme aux personnes ou organisations malveillantes.
Une telle question est l’objet de tensions entre le groupe Meta et des Etats occidentaux, comme le Royaume-Uni. Quant à WhatsApp, de nombreuses puissances interdisent son usage par les membres de leurs gouvernements, comme la Russie, ou restreignent son accès comme la Chine, l’Iran et la Turquie.
En mars, l’installation et l’utilisation de certaines applications ont déjà été interdites aux membres du gouvernement français. Il s’agit notamment des applis “récréatives” comme TikTok ou Netflix. Reste à savoir si l’application Olvid est infaillible. De l’avis des chercheurs, son utilisation limitée ne permet pas de mesurer sa fiabilité... Mais, existe-t-il un logiciel “dénué de failles de sécurité” ?
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.