Bientôt adopté à l’Assemblée Nationale, le volet cryptographique du projet de loi sur la sécurité quotidienne (LSQ) est une construction bien étrange. Assemblage d’amendements extraits de la Loi sur la Société de l’Information (LSI), il vise à donner à l’appareil judiciaire de meilleures armes dans la lutte anti-terroriste.

La LSQ est toutefois très critiquée, et partiellement inutile en l’état. Associations et collectifs d’internautes crient au retour de Big Brother, tandis que les spécialistes de la sécurité informatique doutent de l’efficacité des mesures envisagées.

Ainsi, l’un des volets les plus flagrants de la LSQ concerne la cryptographie. La loi, qui sera très probablement votée en l’état, stipule ainsi que « quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit » devra remettre ladite clef secrète aux autorités (article 46 du projet de loi). Mieux : les fournisseurs de logiciels de chiffrement devront être capables de déchiffrer n’importe quel document chiffré à l’aide de leur solution, ou apporter la preuve qu’ils ne peuvent le faire. Dans le même esprit, le texte contraint « les personnes qui fournissent des prestations de cryptologie à remettre les conventions permettant le déchiffrement des données ainsi cryptées aux autorités administratives habilitées à réaliser des interceptions dans les conditions prévues par ladite loi ».

En clair, le législateur veut pouvoir réclamer à « quiconque » la clef de déchiffrement de « n’importe » quel document, à partir du moment que ce dernier aurait « pu » servir à la préparation ou l’exécution d’un crime ou délit.

L’idée est cependant irréalisable. Elle dénote le manque flagrant de formation technique des rédacteur de la loi. Les clefs secrètes (qu’il s’agisse de chiffrement symétrique ou asymétrique)ne sont connues que du destinataire et / ou de l’expéditeur d’un message chiffré. Exiger du fournisseur de la solution qu’il soit capable de livrer le message est impossible. On considère aujourd’hui qu’une clef de 4096 bits dans le cadre d’un chiffrement asymétrique (RSA, par exemple), est indéchiffrable pour plusieurs dizaines d’années. Sans clef, aucun éditeur de logiciel ne peut réussir là où toute la puissance d’un Etat échoue. En ce qui concerne un particulier, il peut très bien avoir perdu ou effacé la clef de déchiffrement d’un message ancien. Là encore, même avec la meilleure volonté du monde, le contenu du document demeure illisible. La loi exige-t-elle de chacun que nous gardions ad vitam la totalité de nos clefs symétriques, certificats et autres clefs privées ? Cela serait mal venu, à l’heure où ce même gouvernement est incapable de définir lui même un cadre strict pour la notarisation des seuls certificats !