Passer au playerPasser au contenu principal
Assemblée nationale
  • il y a 6 mois
Renforcement de la cybersécurité : Représentants de la société Olvid et de Mozilla

Catégorie

🗞
News
Transcription
00:30...
01:00...
01:30...
01:32...
01:34...
01:36...
01:38...
01:40...
01:42...
01:44...
01:46...
01:48...
01:50...
01:52...
01:54...
01:56...
01:58...
02:00...
02:02...
02:04...
02:06...
02:08...
02:10...
02:12...
02:14...
02:16...
02:18...
02:20...
02:22...
02:24...
02:26...
02:28...
02:34...
02:36...
02:38...
02:40...
02:42...
02:48...
02:50...
02:52...
02:54...
02:56...
03:02...
03:04...
03:06...
03:08...
03:10...
03:14...
03:16...
03:18...
03:24...
03:48...
03:54...
04:18...
04:24...
04:48...
04:50...
04:54...
05:18...
05:22...
05:24...
05:26...
05:28...
05:30...
05:32...
05:42...
05:44...
06:02...
06:06...
06:08...
06:10...
06:12...
06:14...
07:16...
07:18...
07:20...
07:22...
07:24...
07:26...
07:28...
07:30...
28:02...
28:04...
28:06...
28:08...
28:10...
28:12...
28:14...
28:16...
28:18...
28:20...
28:22...
28:24...
28:26...
28:28...
28:30On est dispositions dès maintenant et dès déjà plusieurs années pour protéger tous nos protocoles de première classe en hybridant avec de la cryptographie classique et de la cryptographie résistante à un ordinateur quantique pour que le plus vite possible, on ait sécurisé le maximum de cas d'usage.
28:50Ce qui va être très compliqué, c'est notamment dans les déploiements matériels où on voit que ça prend beaucoup de temps, des fois des décennies.
29:00Pour vous donner un exemple, le dernier gros déploiement cryptographique qu'on a fait sur Internet, c'est quand on a conçu le protocole dont je parlais avant, 2018, TLS 1.3.
29:09On est en 2025, la cible des gens qui utilisent cette dernière version du protocole n'est toujours qu'à 70%.
29:16C'est-à-dire qu'en fait, on a 30% des gens qui utilisent des protocoles qui ont des fois 20 ou 30 ans.
29:22Donc on a toute une problématique et c'est pour ça que c'est extrêmement important que Nice 2, Dora, etc. aussi insistent sur l'effort post-quantique qui sera à faire et qui est absolument critique.
29:36Il va être très difficile à faire, donc il faut commencer le plus tôt possible.
29:41Je me permets d'ajouter juste quelques compléments sur les deux points.
29:44Donc sur le post-quantique, ce qui est important de savoir, c'est que les algorithmes cryptographiques post-quantiques, on en a.
29:49Donc des algorithmes qui résistent aux ordinateurs quantiques, on en a.
29:52Ce qu'il faut, c'est les mettre en œuvre, donc les implémenter dans les différents logiciels, tout ça.
29:58Nous, Olvid, on a notre certification ANSI.
30:00Il est question que l'ANSI, à un moment, impose que tous les produits qui sont certifiés aient une résistance post-quantique, donc du chiffrement hybride, pour pouvoir résister et pour pouvoir conserver leur certification.
30:11Donc c'est quelque chose sur lequel on va commencer à travailler, nous, progressivement.
30:14Pour l'instant, on ne l'a pas fait dès le départ dans Olvid parce qu'au moment où on a conçu la cryptographie d'Olvid, les protocoles en question n'étaient pas complètement standardisés.
30:24Maintenant qu'il y a des standards qui sont arrivés, on peut s'appuyer dessus et se dire, tout le monde aura les mêmes standards, ça devrait résister.
30:30Après, ça ne veut pas dire que les ordinateurs quantiques vont arriver tout de suite.
30:33Comme on disait, bien malin, celui qui peut dire, quand est-ce qu'on aura un ordinateur quantique qui casse réellement la crypto ?
30:38Mais voilà, en tout cas, on sait se protéger si on a besoin.
30:40Tout ce qu'il va falloir faire, c'est vraiment faire ce déploiement et cette étape de mise à jour.
30:44Comment est-ce que je fais la bascule entre quelque chose de l'univers cryptographique classique qui se fait attaquer par des ordinateurs quantiques vers la cryptographie hybride post-quantique qui fait ça ?
30:54Sur des systèmes comme TLS pour du chiffrement de sessions web, c'est assez simple parce qu'il n'y a pas forcément beaucoup de persistance dans le temps.
31:00C'est des protocoles qui ont déjà été conçus pour pouvoir faire évoluer les protocoles au cours du temps.
31:04Sur d'autres systèmes, ça n'a pas forcément été prévu.
31:07Dans les cas de systèmes hardware, effectivement, il n'y a des fois rien du tout de prévu pour faire changer.
31:10Il faut changer les puces. Dans des logiciels, souvent, ça va un peu plus vite.
31:16Sur l'autre question, l'utilisateur fantôme, il y a un élément qu'il faut avoir en tête.
31:22Comme je disais au début, Olvid, on l'a conçu pour ne jamais avoir un point de faiblesse, un point où on peut attaquer tous les utilisateurs d'un coup, une attaque de masse.
31:31L'utilisateur fantôme, c'est exactement ça.
31:34C'est en gros se dire j'ai un moyen que je peux appliquer à n'importe qui qui va permettre d'ouvrir ces communications,
31:39de récupérer le contenu des communications parce que ces messages vont partir vers un utilisateur fantôme.
31:44Donc dans les cas où on peut mettre en place cet utilisateur fantôme, on peut mettre en place une attaque de masse.
31:50Et le problème, c'est que ce qui déclenche cette attaque de masse, ce n'est pas de la cryptographie.
31:55Quand on fait un protocole cryptographique entre plusieurs utilisateurs,
31:57on a une preuve scientifique que si les conditions d'application du modèle de sécurité sont respectées,
32:03la sécurité va tenir et ça, c'est une preuve scientifique.
32:05Là, si on passe sur un système où on a un utilisateur fantôme, on ne va plus avoir une preuve scientifique.
32:10Il y aura une question de comment je protège l'accès, comment est-ce que je protège le déclenchement de l'ajout de cet utilisateur fantôme.
32:17Et là, on sort complètement du cadre de la cryptographie.
32:19C'est qu'il y a quelque part dans un bureau, quelqu'un qui a un bouton pour dire j'active l'utilisateur fantôme pour telle personne.
32:25Là, ce n'est plus de la cryptographie, ce n'est plus de la science.
32:27Et c'est difficile de mesurer l'impact que ça peut avoir.
32:30Ce qui est sûr, c'est que ça a un impact négatif sur la sécurité.
32:33Et dans le cas où on ne fait pas de façon sélective l'application de l'utilisateur fantôme, qu'on le fait partout,
32:38le problème est le même.
32:39On va avoir quelque part un pool de données.
32:40Comment est-ce qu'on contrôle l'accès à ces données ?
32:42Ce n'est pas de la cryptographie, c'est de la sécurité standard, physique,
32:45pour ne pas accéder aux disques durs sur lesquels sont les données ou des choses comme ça.
32:49Et donc nous, c'est quelque chose qu'on va absolument éviter.
32:51On a un système avec de la cryptographie, on a une preuve scientifique de la sécurité.
32:55On ne veut pas retomber dans quelque chose qui est à l'ancienne.
32:57Bon, si c'est caché dans un cahier qui est bien fermé au fond d'un coffre-fort,
33:00on n'aura pas l'information.
33:01C'est un peu dommage au XXIe siècle de revenir à des systèmes comme ça.
33:07Merci.
33:08Peut-être avant de passer, d'où on passe vers une nouvelle session de questions.
33:12Deux questions pratiques, ou en tout cas comparatives.
33:16La première, c'est qu'on a vu que le gouvernement fédéral américain,
33:19très récemment, avait demandé aux fonctionnaires fédéraux
33:23de ne plus utiliser une certaine application de messagerie chiffrée,
33:28mais d'en utiliser une autre,
33:29au motif que la première n'était pas assez sécure.
33:32Donc la question, c'est est-ce que, selon vous,
33:35ces questions de chiffrement, déchiffrement, affaiblissement du chiffrement,
33:39sont des questions qui traversent de la même façon
33:41toutes les sociétés démocratiques ?
33:43Et donc, est-ce qu'il y a une vraie question aujourd'hui
33:46qui se pose partout,
33:46et des réponses qui sont de même niveau à chaque fois ?
33:49Et deuxième question,
33:51est-ce que, parce qu'il y a eu l'article 16 bis,
33:54est issu, en fait, d'une réaction des sénateurs
33:57au moment de la loi narcotrafic
33:58et d'un amendement qui visait à affaiblir le chiffrement ?
34:02Est-ce que, et donc, il y a une réflexion globale
34:05qui avait été menée à l'époque,
34:07nous avait été dit par le ministère de l'Intérieur,
34:10est-ce que vous avez été associé, de près ou de loin,
34:11à ces réflexions ?
34:13Et est-ce que votre, au-delà de la partie commerciale,
34:17mais est-ce que la partie de vos qualités de cryptographe
34:20ont été écoutées dans cette question
34:22où, effectivement, contrairement à ce que vous nous dites là,
34:26le ministre de l'Intérieur au banc avait expliqué
34:28que l'utilisateur fantôme n'était pas un affaiblissement du chiffrement.
34:32Donc, est-ce qu'il y a eu une, j'allais dire,
34:34une scientifisation de la chose,
34:39et donc une interrogation de votre part ?
34:43Donc, sur la première question,
34:49est-ce que cette question, d'une certaine manière,
34:50va se poser de manière vraiment globale ?
34:52Je pense que la réponse est clairement oui.
34:54Aux Etats-Unis, elle s'est posée.
34:56Il y a une première réponse qui a été apportée.
34:58Est-ce que la réponse sera la même partout ?
35:00Je pense que la réponse sera non.
35:01La preuve, on se pose la question ici,
35:04pour, en tout cas, le cas de l'Hexagone,
35:07enfin de la France.
35:08On verra la réponse qui sera effectivement apportée.
35:11Elle sera potentiellement différente
35:13de celle qui sera apportée aux Etats-Unis.
35:15On voit bien avec le RGPD,
35:16c'est quelque chose de profondément européen.
35:17Et je pense qu'il y a un état d'esprit
35:18qui est différent ici de celui
35:20qu'on pourrait avoir dans des pays beaucoup plus lointains.
35:23Pour la deuxième question,
35:25est-ce qu'on avait été associés à l'époque
35:27de ce questionnement et de l'utilisateur fantôme,
35:29en particulier aux réflexions scientifiques ?
35:31À titre de l'hide, non.
35:33On n'a jamais été consultés au préalable.
35:35On a évidemment participé au débat,
35:37on va dire, de manière un peu précipitée.
35:41Quand c'était quasiment déjà trop tard,
35:43si j'ose dire, ça n'a finalement pas été.
35:44Mais enfin, on a été pris très au dépourvu.
35:48Donc non, en tout cas, nous,
35:49nous n'avons pas été consultés.
35:50Et notre point de vue sur l'utilisateur fantôme,
35:52je suis désolé d'en reparler,
35:53de ces fameux utilisateurs fantômes.
35:55Mais il y a une chose qui, pour moi, est fondamentale.
35:57On a beau être cryptologue
35:58et avoir été passionné,
36:00et être encore passionné
36:01par les mathématiques derrière le chiffrement,
36:03qui sont en elles-mêmes suffisamment belles
36:04pour qu'on s'y intéresse,
36:06à la fin, on peut bien entendre
36:08que la plupart des gens vont s'intéresser à une chose,
36:10pas au chiffrement lui-même,
36:11mais aux garanties qu'il apporte.
36:12Et on parle de garantie de confidentialité,
36:14d'authenticité et d'intégrité.
36:16Le comment on fait, c'est passionnant.
36:18Je vous recommande de vous y intéresser.
36:20Mais fondamentalement, je peux aussi bien comprendre
36:22que vous ayez autre chose à faire.
36:24Donc, quand on amène quelques solutions que ce soit,
36:27l'utilisateur fantôme est un exemple.
36:29Et qu'on dit, grâce à cette solution,
36:31finalement, on va pouvoir faire quelque chose
36:33qui fait que ces propriétés de confidentialité,
36:35on ne les a plus nécessairement.
36:38Alors, on peut dire,
36:38on n'a pas touché au chiffrement.
36:40Alors, peut-être que mathématiquement,
36:41l'assertion est vraie,
36:42parce qu'on n'a pas touché à AES,
36:44un des algorithmes qui est majoritairement utilisé pour chiffrer.
36:47Peut-être qu'on n'y a pas touché mathématiquement,
36:49mais fondamentalement, si en parallèle de ça,
36:51on développe quelque chose qui envoie en parallèle
36:54des messages en clair à une autre source,
36:56on est en train de contourner,
36:58enfin, de détourner l'utilisation du chiffrement lui-même.
37:01Même si on n'y touche pas, finalement,
37:02si on envoie en parallèle tous les messages en clair
37:04pour trouver une autre solution un peu farfelue
37:06au contournement du chiffrement, ben voilà.
37:09Donc, la question, je pense,
37:11ce n'est pas de est-ce qu'on touche au chiffrement ou pas.
37:13La question, c'est est-ce qu'on garantit,
37:15est-ce qu'on continue à garantir
37:16ces trois propriétés fondamentales ?
37:18La confidentialité, l'authenticité, l'intégrité des communications.
37:21Donc, avant de parler de chiffrement,
37:22c'est de ça, on pourrait parler d'une certaine manière.
37:24Le chiffrement n'est pas une faim en soi,
37:25mais permet de garantir ces trois choses fondamentales.
37:28Et ça, de notre point de vue,
37:30ce n'est pas possible d'y toucher sans revenir.
37:33Et on n'avait pas répondu à votre question,
37:34j'en suis navré,
37:35mais sur le fait que ça va nécessairement,
37:37si on essaie de faire,
37:39de notre point de vue,
37:40ça va nécessairement affaiblir globalement
37:41la sécurité des communications
37:42de tous ceux qui utilisent des systèmes
37:44comme le nôtre ou comme ce nôtre collègue.
37:49Oui, je veux effectivement,
37:52d'un point de vue scientifique,
37:53quand on conçoit un système de sécurité informatique,
37:56on part vraiment des propriétés de sécurité.
37:58Et en fait, on considère que,
38:01en achevant des propriétés de sécurité bien spécifiques,
38:05par exemple, confidentialité, authentification, intégrité,
38:07par exemple, dans une session de télécommunication
38:10et qu'à un certain moment,
38:12on va avoir des attaquants,
38:14en fait, on va jouer le jeu de l'attaquant
38:15où on va se dire, voilà,
38:16on va avoir certaines propriétés
38:17qui font que si l'attaquant est présent
38:19dans une session à tel moment
38:21parce qu'on a un mal voir sur le téléphone,
38:23on va avoir telle propriété,
38:25eh bien, on joue ce jeu à différents niveaux.
38:30On joue ce jeu au niveau des primitifs cryptographiques,
38:33au niveau des protocoles cryptographiques
38:34et on joue au niveau des applicatifs.
38:37Au-delà même des applicatifs,
38:39on va vers les infrastructures
38:40et on prend cette échelle
38:41et on l'augmente, l'augmente, l'augmente
38:43jusqu'à arriver sur Internet
38:43dans l'optique, effectivement,
38:45que finalement, c'est pas...
38:48La cryptographie n'est que le moyen.
38:50Le moyen d'obtenir
38:52les garanties de confiance
38:56qu'on attend de ce système
38:57et notamment ces trois propriétés.
39:02La réponse à la question
39:04qui était sur qui est assez problématique,
39:07est-ce que tout le monde est assez problématique ?
39:08La réponse est oui.
39:09Les recommandations de changer
39:11d'outils de sécurité pour les communications,
39:14en fait, elles viennent du fait que,
39:16comme on a cet effort de sécurité
39:18à chaque couche,
39:20on est tous d'accord au niveau scientifique
39:22pour que la crypto soit solide, etc.
39:24Mais au-delà de ça,
39:25les applicatifs sont maîtrisés
39:27par différents partis.
39:28Le fait que l'applicatif Dolvide
39:30soit maîtrisé par une entreprise
39:33de confiance
39:34fait qu'on peut donner
39:36à l'utilisation de ce système
39:38un degré de confiance
39:39et des informations
39:40de plus haut niveau de sensibilité.
39:43Le fait qu'effectivement,
39:44Signal soit un très bon protocole,
39:46mais dont l'application est opérée
39:48aux États-Unis,
39:49fait que, voilà,
39:51il y a...
39:52Je vais mettre une petite clause là-dessus.
39:55Le fait qu'un système soit open source,
40:00le fait qu'un logiciel soit open source,
40:03apporte deux choses.
40:04Un, le fait de la vérifiabilité, pardon,
40:07du fait que le système se comporte
40:10comme il est censé se comporter.
40:11Et donc ça, c'est extrêmement important
40:12parce que même si le code est fait
40:14par un ensemble hétérogène de personnes
40:17de différentes nationalités,
40:19on peut vérifier,
40:20grâce à l'ouverture du code,
40:22les propriétés de sécurité de ce code.
40:25Et après, l'infrastructure,
40:26typiquement,
40:27on ne lui fait pas confiance
40:28dans un système de messagerie.
40:29C'est-à-dire qu'on fait en sorte
40:29que l'infrastructure voit
40:32le moins de choses possibles.
40:34Donc, voilà,
40:35il faut qu'on opère
40:36des messageries souveraines,
40:39avec des infrastructures souveraines,
40:40etc.,
40:41au niveau français,
40:41au niveau européen.
40:42L'association,
40:44la réflexion sur le huit de terre,
40:48aucune.
40:49Personnellement,
40:50je n'ai pas entendu de collègues
40:53auditionner sur le huit de terre,
40:54en préalable,
40:56sur les backdoors,
40:58sur les propriétés de sécurité
41:01et les objectifs des forces de sécurité
41:04intérieure et du ministère de l'Intérieur
41:06quand ils ont dit ça.
41:08Je plaide pour une discussion
41:10pleinement ouverte
41:11avec le ministère de l'Intérieur,
41:14les services de renseignement
41:15au niveau technique,
41:17au niveau purement technique.
41:18Je pense qu'on est tous à disposition,
41:20mais on n'a pas vu personnellement,
41:22je ne connais personne,
41:23qui a été vraiment inclus
41:25dans cette discussion.
41:28Merci.
41:29D'autres questions ?
41:32Madame Malouinanf.
41:33Si je peux vous permettre,
41:34Monsieur le Président,
41:35est-ce qu'on peut considérer
41:40que finalement,
41:40une demande faite
41:42par des services de sécurité intérieure,
41:45bien encadrée,
41:46puisqu'on les a auditionnés avec vous,
41:48on leur a bien sûr posé la question,
41:49bien encadrée, contrôlée,
41:52ciblée,
41:54est-ce qu'on peut considérer,
41:56déontologiquement,
41:56dans votre métier,
41:58que c'est une fragilité ?
42:00Est-ce qu'on peut considérer
42:01que c'est une vulnérabilité ?
42:03C'est-à-dire que finalement,
42:04l'usager final,
42:05il n'a pas juste envie de communiquer.
42:09Derrière, il y a un acte
42:10qui met en danger des gens,
42:12c'est des trafics.
42:14Est-ce qu'on peut finalement se dire
42:15que,
42:16saisie par la justice,
42:18encadrée par les services
42:20de renseignement,
42:21de sécurité,
42:22est-ce qu'on peut considérer
42:22que c'est ouvert à tout vent ?
42:26Vous voyez ce que je veux dire ?
42:27Est-ce qu'on ne peut pas hiérarchiser ?
42:29Je comprends,
42:29vous êtes des cryptologues,
42:30vous avez fait ça,
42:31et c'est le fondement même
42:32de votre métier.
42:33Mais est-ce qu'on ne peut pas considérer
42:34qu'étant donné l'évolution
42:36de la menace,
42:37on puisse imaginer
42:38que vous évoluez,
42:39vous aussi,
42:40dans votre approche
42:40de ce que c'est la crypto ?
42:44La menace n'est pas dans la question
42:49qui nous serait posée,
42:49parce qu'on a tout à fait confiance
42:51dans le système démocratique
42:52qui est le nôtre aujourd'hui.
42:53Donc ce n'est pas ça
42:55qui nous inquiète du tout.
42:56C'est pour ça qu'on est évidemment
42:57à leur disposition
42:58et qu'on est tout à fait prêt
42:59à discuter avec eux,
43:00que ce soit de manière générale,
43:01en fait,
43:02sur ces propriétés du chiffrement
43:03ou dans des cas particuliers d'affaires,
43:05on est tout à fait disposé
43:07à discuter avec les forces de l'ordre.
43:08Il n'y a pas de question là-dessus.
43:10Notre inquiétude,
43:11c'est dans notre capacité
43:13à faire un système
43:16qui conserve les propriétés de sécurité
43:18qu'on est capable de délivrer aujourd'hui,
43:21tout en leur permettant
43:23d'avoir accès à certaines données
43:25pour dire les choses simples.
43:27Simplement,
43:27si on prend le cas plus simple
43:29de la messagerie
43:30où finalement vous avez des messages
43:31qui sont échangés
43:32et vous avez des métadonnées
43:33autour des messages,
43:34nous, aujourd'hui,
43:35on est dans l'incapacité scientifique
43:38de trouver une solution
43:39qui permettrait
43:40de manière hyper sélective
43:41de dire
43:42à tel moment,
43:43on veut être capable
43:44d'ouvrir le contenu
43:45de la communication elle-même.
43:47Ça,
43:48et ce n'est de nouveau pas
43:49une position politique
43:50ou un parti pris
43:51où c'est vraiment
43:52une réflexion scientifique
43:53avant même que ça devienne,
43:56on va dire,
43:57un sujet sociétal important
43:59ou que le danger,
44:00visiblement,
44:00se fasse plus ressentir aujourd'hui
44:02qu'il ne se faisait ressentir
44:03il y a 20 ans.
44:03C'est des domaines de recherche
44:05auxquels les cryptologues
44:05se sont vraiment intéressés.
44:07Personne n'a trouvé de solution.
44:08C'est-à-dire que ce n'est pas
44:09juste nous,
44:10en fait,
44:10nous trois ici présents
44:12qui ne sommes pas capables
44:13de trouver de solution.
44:14Jamais personne n'a apporté
44:15de solution
44:15dans une conférence publique
44:16à cette problématique-là.
44:19Et pour répondre
44:19à une question
44:19que vous aviez posée
44:20tout à l'heure,
44:21je crois que vous nous aviez
44:22demandé pourquoi est-ce
44:23qu'on considère
44:24qu'on affaiblirait
44:25nécessairement le chiffrement
44:26de manière massive.
44:27Alors la réponse est que
44:29je vais essayer de rendre ça
44:31à peu près compréhensible,
44:32je suis désolé.
44:34Avant qu'on vous pose
44:35cette question,
44:36avant qu'on nous dise
44:36voilà,
44:37ce serait bien chez Olvid
44:38qu'il y ait moyen
44:38d'avoir un accès,
44:40on va dire sélectif
44:41à certaines conversations.
44:42C'est déjà relativement complexe
44:44de développer un système
44:45qui n'ait pas de faille.
44:47C'est vraiment un sujet
44:48qui est compliqué.
44:49Ça a l'air simple
44:49d'envoyer des messages
44:50d'un point A à un point B.
44:51Je peux vous garantir
44:51qu'en réalité,
44:52c'est plus compliqué que ça.
44:53On a l'air,
44:53on a beaucoup souffert.
44:54Une fois que vous avez fait ça,
44:57on vous demande finalement
44:58de faire très exactement
44:59la même chose
45:00mais avec une contrainte
45:00supplémentaire
45:01que vous n'aviez pas avant.
45:05Vraiment,
45:05c'est une contrainte supplémentaire.
45:06Ce n'est donc pas possible
45:08de faire,
45:09quasiment impossible
45:10de faire aussi simple
45:11juste parce que vous avez
45:12une contrainte
45:12qui est extrêmement forte
45:13qui vous demande
45:14de manière sélective
45:15d'être capable d'ouvrir
45:16à un instant T
45:17dans le futur.
45:18Une conversation particulière.
45:20Cette contrainte-là,
45:20elle nécessairement
45:21apporte une complexité au système
45:23qui fait que
45:23on ne peut pas,
45:25on ne peut probablement pas,
45:26certainement pas,
45:27être capable
45:28d'apporter
45:29le même niveau de sécurité.
45:30Donc,
45:31on affaiblit nécessairement
45:32la sécurité de l'application.
45:34Je ne sais pas si...
45:37Pour rebondir
45:39sur ton point technique,
45:41quand on dit
45:41que dans le futur,
45:42on va
45:42ouvrir la confidentialité
45:45d'un message,
45:48ça veut aussi dire
45:49par-dessus le marché
45:49qu'en fait,
45:50on est en train
45:50de casser
45:51des propriétés de sécurité
45:52bien particulière
45:53qui s'appelle
45:54Forward Secrecy.
45:56Et donc,
45:56en fait,
45:56on est en train de...
45:58Il y a des protocoles
45:59dans les protocoles modernes.
46:00En fait,
46:00on protège
46:00les anciens messages.
46:02C'est-à-dire que si,
46:03au fur et à mesure
46:03qu'on consomme
46:04le déchiffrement
46:05des messages
46:06qu'on reçoit,
46:07en fait,
46:07on protège
46:08le fait
46:09que les anciens messages
46:10ne sont plus déchiffrables.
46:12Et donc,
46:12pour obtenir la propriété
46:13de...
46:15On veut ouvrir un message
46:15de manière sélective,
46:16on est en train
46:17de casser
46:17l'autre propriété de sécurité
46:18qui est qu'on ne peut plus
46:19ouvrir les messages d'avant.
46:20Donc,
46:21on est dans une impasse
46:23logique,
46:24technique,
46:25de base
46:26qui fait que,
46:27voilà,
46:28c'est juste pas possible.
46:29Par contre,
46:29encore une fois,
46:30je suis tout à fait d'accord.
46:33Je veux dire,
46:34tout le monde est d'accord
46:35pour dire
46:35que l'accès légitime
46:36mandaté par la justice
46:39à des téléphones
46:43ou à des systèmes
46:43d'information
46:44pour des buts
46:46de lutte
46:47contre le crime organisé
46:48ou d'autres objets
46:51comme le renseignement.
46:52Tout le monde est d'accord
46:53pour que ce soit
46:55en démocratie
46:55effectif.
46:58Là où
46:58je me permets de revenir,
47:01c'est que les moyens,
47:01ils existent déjà.
47:03En contournant le chiffrement,
47:04en attaquant directement
47:06les terminaux,
47:07ces moyens,
47:09alors peut-être
47:09qu'ils ne sont pas assez nombreux,
47:10peut-être qu'ils ne sont pas
47:11assez disponibles,
47:12mais ils existent déjà,
47:14ils sont déjà réglementés
47:15par la loi
47:15et pour moi,
47:18c'est plus une problématique
47:19de ne pas toucher
47:20à la sécurité globale
47:22du chiffrement
47:24qui vraiment
47:24affaiblirait tout le monde,
47:26nos entreprises,
47:27nos journalistes,
47:27etc.
47:28Mais par contre,
47:29peut-être favoriser
47:30l'utilisation de ces outils
47:34dans un cadre
47:35qui favorise
47:36le ministère de l'Intérieur.
47:37Le ministère de l'Intérieur
47:38a peut-être moins
47:39investi
47:42dans ce type
47:42d'outillage
47:44que le ministère
47:45des Armées
47:45et voilà.
47:49Peut-être avant
47:50que Mme Hervieux,
47:51s'il y a une question,
47:52puisse la poser.
47:54D'accord.
47:55Une question
47:56sur la confiance.
47:59Est-ce qu'aujourd'hui,
48:00une messagerie
48:00qui aurait accepté
48:02le 8R
48:03ou un dispositif
48:04équivalent
48:05aurait
48:06un effet négatif
48:09sur la confiance
48:10et sur sa capacité
48:11ensuite à croître ?
48:12Très clairement,
48:13Signal avait dit
48:14si le 8R est appliqué,
48:15je ne serai plus disponible
48:16en France
48:17parce que je ne veux pas
48:18toucher au chiffrement
48:21et je ne souhaite pas
48:21que...
48:23Est-ce que ça...
48:24Si Olvid l'avait accepté,
48:27est-ce que ça aurait
48:28affecté son développement ?
48:29Est-ce que ça aurait affecté
48:30la confiance
48:31de ses utilisateurs ?
48:32Quel serait l'impact
48:33pour une société
48:34de ce type-là ?
48:35Et donc,
48:37en creux,
48:38quel est le risque
48:41de dire oui
48:41à ce genre de choses
48:42ou l'intérêt
48:43de ne plus être disponible
48:44du coup en France
48:46et de se consacrer
48:47à d'autres marchés ?
48:49C'est cette question-là
48:50qui émerge
48:50en termes de confiance.
48:52Est-ce que vous l'aviez
48:52chiffrée,
48:54vu,
48:54ou en tout cas,
48:55éprouvée
48:55à l'occasion du 8R ?
48:58Oui.
49:00Alors,
49:00si,
49:01en termes d'impact,
49:02évidemment,
49:02si on annonce publiquement
49:04voilà,
49:04le 8R est passé en France,
49:06Olvid a mis en place
49:07les systèmes qu'il faut
49:08pour pouvoir ouvrir
49:09les messages
49:09des gens sur demande
49:10de la justice,
49:11évidemment,
49:12on va perdre
49:12des utilisateurs.
49:14Typiquement,
49:15les gens qui sont
49:15dans les forces de l'ordre
49:16en France aujourd'hui
49:17utilisent Olvid
49:17pour la sécurité.
49:19Je pense qu'aussitôt,
49:20il va serait autre chose.
49:21C'est-à-dire qu'ils ont
49:21à la fois ce besoin
49:23de sécurité
49:23parce qu'eux,
49:24ce sont des cibles
49:25pour des attaquants,
49:26ils ont besoin
49:26de pouvoir se protéger,
49:27d'avoir une garantie
49:28de protection
49:28et en même temps,
49:30ils ont besoin
49:31de pouvoir accéder
49:31à des informations
49:33sur les actions criminelles.
49:34Donc,
49:34c'est un côté un petit peu
49:35compliqué pour eux,
49:37c'est qu'ils ont une position
49:38où ils doivent se protéger
49:39et en même temps,
49:40les outils qu'eux utilisent
49:41sont peut-être utilisés
49:41par des personnes malveillantes.
49:43Mais oui,
49:43pour Olvid,
49:45typiquement,
49:47la directive Borne
49:49qui disait imposer ça
49:50dans les ministères,
49:51donc aujourd'hui,
49:51on est utilisé
49:52par les ministères,
49:53je pense que
49:53tout le monde s'arrête
49:55du jour au lendemain
49:55sur un système comme ça.
49:56Si on annonce publiquement
49:57qu'on a ajouté quelque chose,
49:59nos certifications ANSI
50:00ne tiennent plus
50:01parce qu'on ne pourra pas
50:01avoir une certification
50:02sur quelque chose
50:03qui n'est pas protégé
50:04par de la bonne cryptographie.
50:05C'est ce genre de choses.
50:06Donc pour nous,
50:07ça aurait un impact énorme.
50:08Après, oui,
50:09on peut aller chercher
50:09des marchés ailleurs
50:10en dehors de la France,
50:11mais ce n'est pas vraiment
50:11notre but.
50:12Nous, on a fait une société
50:13en France pour pouvoir
50:13protéger les communications
50:15des personnes,
50:16des administrations françaises,
50:17des entreprises françaises.
50:19Oui,
50:19on peut être utilisé
50:21partout dans le monde,
50:22mais au départ,
50:22on l'a quand même fait
50:23parce qu'il y avait
50:24ce manque de messagerie européenne
50:25ou messagerie française
50:26ayant notre modèle de sécurité.
50:27J'avais un bon jeu de mots.
50:32On aurait mis la clé
50:33cryptographique sous la porte.
50:38Notre avantage
50:39par rapport à beaucoup
50:40d'autres solutions,
50:41c'est justement
50:41cette garantie cryptographique
50:43mathématique de sécurité
50:44dont parlait Mathieu tout à l'heure.
50:45Donc si du jour au lendemain,
50:46on dit finalement
50:47ce qui vraiment fait
50:49la différence de l'avis
50:49par rapport à d'autres solutions
50:50qui reposent quand même
50:51d'une certaine manière
50:52un peu sur leur infrastructure,
50:54on parlait de signal tout à l'heure,
50:55c'est le cas,
50:55mais d'autres messageries aussi,
50:57le fait vraiment
50:58qu'on ait pas que
50:59du chiffrement de bout en bout
51:00mais aussi de l'authentification
51:01de bout en bout,
51:01c'est-à-dire qu'on ne considère pas
51:03que quelque part
51:03il y a un serveur
51:04qui va distribuer des clés,
51:05bref, on a un modèle de sécurité
51:07qui a poussé,
51:08qui a mis la barre,
51:08on va dire, plus haut
51:09que beaucoup,
51:11beaucoup d'autres messageries
51:12grand public
51:12au niveau mondial.
51:15Si du jour au lendemain,
51:16on a justement
51:17ce genre de solutions intégrées,
51:20de solutions de backdoor,
51:21on va dire,
51:21intégrées à Olvid,
51:22on n'a plus aucun
51:23avantage concurrentiel.
51:25Donc évidemment,
51:27je n'aime pas
51:29l'approche de dire
51:30on va quitter la France.
51:31Je pense que
51:31plutôt que de quitter la France,
51:32il vaut mieux
51:32venir et discuter
51:34et expliquer les choses,
51:35ce qu'on fait aujourd'hui
51:36et ce qu'on continuera
51:36à faire après.
51:37Donc l'approche de dire
51:38sur Twitter ou autre
51:39on quittera la France,
51:41c'est quelque chose
51:41que je n'aime pas.
51:42Je trouve que ce n'est pas
51:43la bonne approche.
51:45Parce qu'une fois
51:45qu'on a quitté la France
51:46et qu'après d'autres pays
51:47décident d'introduire
51:48le même genre de loi
51:49et qu'on a quitté absolument
51:50tous les pays du monde
51:50qui ont introduit cette loi-là,
51:51finalement,
51:52on a une messagerie
51:53qui n'est plus utilisée
51:53par personne
51:54et c'est dommage.
51:55Donc bref,
51:55on ne fera pas
51:56cette chose-là.
51:57Néanmoins,
51:58c'est sûr que si
51:59un article
52:00de 8R était passé,
52:02on aurait énormément
52:04de difficultés
52:05à s'en remettre.
52:05Si je peux juste me permettre,
52:10il n'y a pas que vos utilisateurs
52:11qui quitteraient le service,
52:13il y a aussi
52:13toute la criminalité organisée.
52:16Bon.
52:16Et donc ça,
52:17c'est...
52:17Ben oui,
52:17non mais...
52:18C'est une question intéressante aussi
52:21parce qu'à partir du moment
52:22où on a la connaissance
52:23du fait qu'un système
52:23va être affaibli
52:24pour un certain usage,
52:27voilà.
52:28Il y a aussi
52:29l'ensemble de l'écosystème
52:31des gens qui disent
52:32ah ben on utilise le système
52:33ou on va quitter le système
52:34pour ça.
52:35notamment sachant
52:38que c'est assez connu
52:40les entreprises
52:42de criminalité organisée,
52:44de renseignements étrangers,
52:47etc.
52:47utilisent leurs propres clients
52:49en croix de chat,
52:51etc.
52:52Certes,
52:52ils utilisent
52:53des messageries grand public,
52:54mais ils utilisent aussi
52:55des messageries
52:55auxquelles ils considèrent
52:57qu'ils peuvent faire confiance.
52:59Donc voilà.
53:00Ils quitteront de toute façon
53:01les messageries
53:02qui sont bac doré.
53:04Merci.
53:05Madame Lennonf.
53:05Je profite de votre présence
53:07pour vous poser une question
53:09qui est assez directe finalement.
53:12Vous êtes devant des parlementaires,
53:13on va étudier le texte
53:14au mois de septembre.
53:15On a la possibilité
53:16de supprimer cet article.
53:18Est-ce que vous êtes prêt
53:27à discuter
53:28et à échanger
53:30dans le temps imparti
53:31pour trouver une solution
53:32avec des services ?
53:34Ou alors est-ce que vous êtes
53:35complètement crispé
53:38et que vous nous demandez
53:40impérativement
53:40de le maintenir ?
53:41J'aimerais bien voir votre opinion
53:43là-dessus.
53:46Alors si je peux me permettre,
53:47ça fait déjà quelques années
53:47qu'on vit sans article de loi
53:49qui protège vraiment
53:50le chiffrement de cette façon-là.
53:51On arrive à s'en sortir.
53:52Pour nous,
53:53ce serait une très bonne chose
53:53qu'il y soit.
53:55Pas pour gêner
53:56les forces de l'ordre
53:57ou des choses comme ça,
53:57mais juste pour exprimer
53:59une position forte
53:59de l'Assemblée
54:00en faveur de la protection
54:01des données personnelles
54:02des gens,
54:03de la population.
54:04Donc pour nous,
54:04c'est une bonne chose.
54:06Après,
54:06si vous nous dites
54:06qu'on ne peut pas le mettre
54:07parce qu'il y a des contraintes externes,
54:09bien sûr,
54:09de toute façon,
54:10ça va être voté à l'Assemblée.
54:12Nous,
54:12on survivra sans ce texte-là.
54:13C'est juste qu'on n'est pas à l'abri
54:16qu'un nouvel article
54:16de 8 terres revienne.
54:18Un article 16 bis introduit
54:20dans la loi
54:21permettrait de freiner
54:22toute volonté
54:23de revenir avec un texte
54:24tel que le 8 terres.
54:25C'est plus ça.
54:26Donc nous,
54:26ça nous rassure
54:27de ce point de vue-là.
54:28Après,
54:28bien évidemment,
54:29on pourra survivre
54:30sans l'article.
54:30On n'a pas un besoin
54:31essentiel,
54:32pas un besoin impérieux.
54:33Après,
54:34je pense que peut-être
54:35que les points de vue
54:35sont différents à côté.
54:39Non,
54:39tout à fait.
54:40Point de vue,
54:40exactement le même.
54:43On a vu revenir,
54:45revenir,
54:45revenir.
54:47Je ne suis pas très âgé,
54:48mais on a déjà vu venir
54:49ce type de discussion
54:50un certain nombre de fois.
54:53Et à chaque fois,
54:53on est systématiquement
54:54obligé de refaire l'effort.
54:55Il doit y avoir
54:56une perte
54:57de contexte
54:59généralisé.
55:00on est obligé
55:02de refaire l'effort
55:03scientifique,
55:04de revenir,
55:05de redire ces choses-là
55:06parce que la vie
55:07de la communauté scientifique
55:08sur le sujet
55:09n'a pas bougé
55:09d'un iota
55:10depuis des décennies.
55:14Donc voilà,
55:16encore une fois,
55:17s'il était là,
55:19moi personnellement,
55:20je préférerais
55:21qu'il soit là
55:21parce qu'effectivement,
55:22il donne ce recul
55:23et ce confort
55:24de sécurité
55:26sachant qu'on peut
55:26toujours le retirer
55:27plus tard
55:28s'il y a une vraie
55:30autre problématique
55:30supplémentaire
55:31qui se pose.
55:32Mais le fait
55:34que cet article existe
55:35ne changera pas
55:35non plus
55:36la vie
55:36des services
55:37de renseignement.
55:39Parce que
55:39j'ai eu l'occasion
55:41légèrement
55:42d'entendre
55:42à 14h,
55:45je ne vois pas
55:47en quoi
55:47ça empêcherait
55:50la discussion,
55:50ça empêcherait
55:51de venir
55:51avec une proposition
55:52scientifique
55:53qui dit
55:53bon,
55:53voilà,
55:54scientifiquement,
55:56voilà ce qui arrive.
55:56Nous,
55:57on est disponible
55:57H24,
55:58qui est l'article
55:59ou qui est pas
55:59l'article
56:00dans la loi.
56:02Donc,
56:03si ils arrivent
56:04avec une proposition
56:05scientifique valide,
56:07la communauté scientifique
56:08et pas que nous,
56:09la regardera
56:10et dira
56:10ah oui,
56:10tout à fait,
56:11ça,
56:11ça,
56:11ça,
56:12on peut faire,
56:12ça,
56:12on peut faire.
56:13Ce qui,
56:14à l'heure actuelle,
56:15n'a jamais été le cas.
56:19Merci beaucoup.
56:20Si nous n'avons pas
56:21d'autres questions,
56:21il me reste à vous remercier
56:22d'être venu
56:23et d'avoir exprimé
56:25votre point de vue.
56:26et si jamais,
56:27je le dis,
56:28comme nous examinons
56:29le texte le 9 et le 10,
56:319, 10, 11 septembre
56:33en commission,
56:34s'il y avait des points
56:35complémentaires que vous
56:36souhaitiez pouvoir aborder,
56:37n'hésitez pas à nous faire
56:38passer des contributions
56:39écrites auprès des rapporteurs.
56:41Merci infiniment de votre présence
56:42et puis je lève la séance.
56:43Merci beaucoup.
56:56Sous-titrage Société Radio-Canada
57:26Merci.
Écris le tout premier commentaire
Ajoute ton commentaire

Recommandations

Renforcement de la cybersécurité : Représentants de la Commission nationale de l’informatique et des libertés (CNIL) - Mardi 10 juin 2025
Assemblée nationale
il y a 7 mois
Renforcement de la cybersécurité : Résilience des infrastructures critiques et renforcement de la cybersécurité - Mardi 9 septembre 2025
Assemblée nationale
il y a 4 mois
Renforcement de la cybersécurité : Résilience des infrastructures critiques et renforcement de la cybersécurité (suite) - Mercredi 10 septembre 2025
Assemblée nationale
il y a 4 mois
Renforcement de la cybersécurité : Tables rondes réunissant des entreprises de cyberdéfense et des entreprises de télécommunications - Mercredi 4 juin 2025
Assemblée nationale
il y a 7 mois
Renforcement de la cybersécurité : Table ronde d’associations d’élus - Jeudi 15 mai 2025
Assemblée nationale
il y a 8 mois
Renforcement de la cybersécurité : M. Nicolas Roche, secrétaire général de la défense et de la sécurité nationale - Mardi 13 mai 2025
Assemblée nationale
il y a 8 mois
Renforcement de la cybersécurité : M. Vincent Strubel, directeur général de l’Agencenationale de sécurité des systèmes d’information (ANSSI) et de M. Gaëtan Poncelin deRaucourt, sous-directeur « Stratégie » - Mercredi 7 mai 2025
Assemblée nationale
il y a 8 mois
Renforcement de la cybersécurité : M. Jérôme Nottin, dg du groupement d’intérêt public Acyma, M. Christophe Husson, général de division (Comcyber-MI), et Mme Johanna Brousse, vice-procureure - Mercredi 25 juin 2025
Assemblée nationale
il y a 6 mois
Theo Francken : "On doit sans cesse renforcer nos capacités en cybersécurité"
Sudinfo.be
il y a 4 mois
Renforcement de la cybersécurité : Table ronde réunissant des experts de la cybersécurité - Jeudi 5 juin 2025
Assemblée nationale
il y a 7 mois
Renforcement de la cybersécurité : Résilience des infrastructures critiques et renforcement de la cybersécurité (suite) - Mardi 9 septembre 2025
Assemblée nationale
il y a 4 mois
Cyril Bras, vice-président de l'Institut national de cyber-sécurité et de résilience des territoires
ici Isère
il y a 5 ans
Renforcement de la cybersécurité : Table ronde réunissant les autorités de régulation financière - Mardi 3 juin 2025
Assemblée nationale
il y a 7 mois
Troisième forum mondial sur la cybersécurité
euronews (en français)
il y a 2 ans
Cybersécurité : les Grands témoins de franceinfo
franceinfo
il y a 3 ans
JEUDI PRO / Cybersécurité : où en est la France dans sa lutte contre les attaques en ligne ?
Les Numeriques
il y a 3 ans
Auchan, SNCF et LU victimes d'une cyberattaque
franceinfo
il y a 9 ans
Renforcement de la cybersécurité : Représentants de la CNRLT, du GIC et de la DGSI - Mercredi 9 juillet 2025
Assemblée nationale
il y a 6 mois
Gérôme Billois - Le rôle du chef d’entreprise face aux Cybermenaces
Mot 2 Passe
il y a 2 ans
Think & Do Tank Marie Claire : Conférence sur les opportunités de carrières dans la Cybersécurité
Marie Claire
il y a 1 an
Qu'est-ce qui distingue un aliment "ultra-transformé" ?
Public Sénat
il y a 19 heures
"Aujourd'hui, les gens sont beaucoup moins concernés par la beauté de la langue"
Public Sénat
il y a 1 jour
Prix de la photographie politique 2025 - Sébastien Toubon, finaliste
LCP Assemblée nationale
il y a 2 jours
Le Luron en campagne
Public Sénat
il y a 2 jours
Anne Frank journal d'une adolescente
LCP Assemblée nationale
il y a 4 jours