Les autorités peuvent-elles lire des conversations WhatsApp, comme le suggère Gérald Darmanin?

Le gouvernement a annoncé un nouveau projet de loi antiterroriste, présenté par Gérald Darmanin ce 28 avril. Interrogé sur BFMTV, le ministre de l'Intérieur est notamment revenu sur l'un des volets majeurs du texte: la surveillance du Web pour détecter les signaux faibles de potentiels terroristes. Suggérant au passage que les services de renseignement pouvaient accéder au contenu de conversations sur des messageries chiffrées, dont les messages sont en principe protégés.

C’est déjà en partie le cas. Nous pouvons en partie lever un certain nombre de difficultés techniques, la loi le permet déjà lorsqu’il y a un danger grave et avéré", a ainsi avancé Gérald Darmanin, interrogé par Maxime Switek, sur la possibilité pour les autorités de surveiller ce qui se dit sur WhatsApp ou Telegram.

Un texte très limité

Par cette phrase, le ministre de l'Intérieur évoque l'usage croissant par les délinquants et terroristes de messageries chiffrées comme WhatsApp ou Telegram, et dont les échanges sont inaccessibles, y compris pour les entreprises gérant ces plateformes. Protégés par un verrou numérique, les échanges demeurent uniquement lisibles par l'expéditeur et le destinataire.

Si Gérald Darmanin a évoqué la nécessité de faire évoluer la législation, mentionnant l'usage de la messagerie d'Instagram (non chiffrée) par l'assassin de Samuel Paty, ou plus généralement les réseaux sociaux, le projet de loi porté par le gouvernement ne comporte aucune disposition à ces sujets.

La seule nouveauté du texte concerne en effet la possibilité pour les services de renseignement d'identifier grâce à des algorithmes des internautes français se connectant à des sites Web dont l'adresse URL contiendrait certains mots-clés. A condition que ces derniers n'utilisent pas le protocole sécurisé HTTPS, chargé de chiffrer l'URL d'une page Web.

Une infime minorité des sites Web de 2021 - et aucun des réseaux sociaux et forums les plus populaires - ne pourront ainsi être identifiés par les méthodes prévues par le texte, à savoir l'utilisation de logiciels analysant toutes les connexions des internautes français grâce aux données des fournisseurs d'accès à Internet.

Une porte dérobée?

Comment, comme le suggère le ministre de l'Intérieur, des agents du renseignement pourraient-ils accéder au contenu de messageries chiffrées? L'hypothèse la plus sulfureuse concernerait l'existence d'une "porte dérobée", une faille logicielle créée volontairement par une plateforme pour laisser les autorités déchiffrer les messages échangés par les utilisateurs. Une aide précieuse, réclamée par Gérald Darmanin ce 28 avril au matin au micro de France Inter.

Le scénario de la "porte dérobée", autrement dit un accès secret offert par Facebook (maison-mère de WhatsApp et Instagram), mais également Telegram ou Signal, n'est jamais à exclure.

En 2013, le lanceur d'alerte Edward Snowden révélait l'espionnage de masse de la NSA, agence américaine de renseignement numérique, à laquelle Google, Facebook, Apple ou Microsoft avaient offert un accès direct à leurs serveurs.

En 2021, ce scénario est toutefois moins plausible. Les multiples scandales liés à la protection des données personnelles ont érodé la popularité des géants du Web (américains, russes ou chinois), qui pourraient n'avoir qu'un intérêt limité à tromper les utilisateurs pour laisser un pays étranger comme la France mener des enquêtes. Avec en prime, le risque toujours existant que cette faille de sécurité soit exploitée par des tiers.

À ce jour, Facebook n'a officiellement jamais accepté la mise en place d'une porte dérobée dans ses messageries comme WhatsApp à destination des services de renseignement américains ou étrangers. Officiellement, la plateforme défend le chiffrement total des échanges sur WhatsApp.

Les gouvernements ont raison de vouloir protéger les gens des criminels. Mais affaiblir le chiffrement serait plus dangereux pour chacun. Cela augmenterait le risque de voir son smartphone et ses messages piratés, ainsi que ses informations privées dérobées" assure le géant américain à BFMTV.

Piratage plus classique

Selon plusieurs experts consultés par BFMTV, la piste la plus probable concerne la possibilité pour les autorités françaises de recourir à du piratage de smartphone, par divers moyens.

Il y a toujours des failles de sécurité dans les smartphones. Beaucoup de gens installent des applications malveillantes et il est toujours possible de pirater un appareil à distance. Une application peut exploiter une faille du système pour lire les données d’autres applications. Mais ces attaques, qu’elles soient menées par un délinquant ou par les forces de l’ordre, ne constituent pas un outil magique pour lire tous les messages", tempère Stéphane Bortzmeyer, spécialiste en chiffrement des réseaux informatiques, auprès de BFMTV.

Dans le cas d'un piratage, par exemple, en faisant installer à la cible, une application malveillante épiant l'activité de son mobile, ce n'est donc pas la messagerie instantanée qui serait visée, mais l'ensemble du système d'exploitation. Une procédure prévue par la loi, rappelle Alexandre Archambault, avocat spécialisé en droit du numérique.

Selon l'article L853-2 du Code de la sécurité intérieure, les services de renseignement peuvent ainsi recourir à des "dispositifs techniques permettant d'accéder à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques."

Autrement dit, des enquêteurs du renseignement ont déjà le droit, lors d'une enquête, d'infiltrer le smartphone d'une cible pour lire toutes ses conversations privées, sur une application, une messagerie, ou par le biais de SMS.

D'autres techniques plus prosaïques sont également utilisées, comme la mobilisation d'un informateur présent dans une boucle de messages sur WhatsApp ou Telegram. Ce qui laisse imaginer Stéphane Bortzmeyer que les propos de Gérald Darmanin ont une tournure avant tout politique. “En informatique, on dit souvent que ceux qui savent ne parlent pas et que ceux qui parlent ne savent pas”, ironise-t-il.