Guide d'autodéfense numérique

La cryptographie permet donc de bien protéger ses données1, en chiffrant tout ou partie de son disque dur comme de tout autre support de stockage (clé USB, CD, etc.), ou de ses communications. De plus, les ordinateurs modernes sont suffisamment puissants pour que nous puissions faire du chiffrement une routine, plutôt que de le réserver à des circonstances spéciales ou à des informations particulièrement sensibles (sinon, cela identifie tout de suite ces dernières comme importantes, alors qu’il vaut mieux les dissoudre dans la masse).

On peut ainsi mettre en place une phrase de passe pour chiffrer tout un disque dur, et/ou donner à certaines personnes une partie chiffrée avec leur propre phrase de passe. Il est également possible de chiffrer individuellement tel ou tel fichier, ou un email, ou une pièce jointe, avec une phrase de passe encore différente.

Cependant, bien qu’il soit un outil puissant et essentiel pour la sécurité des informations, le chiffrement a ses limites — en particulier lorsqu’il n’est pas utilisé correctement.

Comme expliqué auparavant, lorsqu’on accède à des données chiffrées, il est nécessaire de garder deux choses en tête. Premièrement, une fois les données déchiffrés, ces dernières se trouvent au minimum dans la mémoire vive. Deuxièment, tant que des données doivent être chiffrées ou déchiffrées, la mémoire vive contient également la clé de chiffrement.

Toute personne qui dispose de la clé de chiffrement pourra lire tout ce qui a été chiffré avec, et aussi s’en servir pour chiffrer elle-même des données.

Il faut donc faire attention aux éléments suivants :

  • Le système d’exploitation et les logiciels ont accès aux données et à la clé de chiffrement autant que nous, alors cela dépend de la confiance qu’on met en eux — encore une fois, il s’agit de ne pas installer n’importe quoi n’importe comment.
  • Quiconque obtient un accès physique à l’ordinateur allumé a, de fait, accès au contenu de la mémoire vive. Lorsqu’un disque chiffré est activé, celle-ci contient, en clair, les données sur lesquelles on a travaillé depuis l’allumage de l’ordinateur (même si elles sont chiffrées sur le disque). Mais elle contient surtout, comme dit plus haut, la clé de chiffrement, qui peut donc être recopiée. Donc il vaut mieux s’habituer, quand on ne s’en sert pas, à éteindre les ordinateurs, et à désactiver (démonter, éjecter) les disques chiffrés.
  • Dans certains cas, il peut être nécessaire de prévoir des solutions matérielles pour pouvoir couper le courant facilement et rapidement2 ; ainsi les disques chiffrés redeviennent inaccessibles sans la phrase de passe — à moins d’effectuer une cold boot attack.
  • Il reste également possible qu’un enregistreur de frappe ait été installé sur l’ordinateur, et que celui-ci enregistre la phrase de passe.

Par ailleurs, une certaine limite « légale » vient s’ajouter aux possibles attaques. En France, toute personne qui chiffre ses données est en effet censée donner le code d’accès aux autorités lorsqu’elles le demandent, comme l’explique l’article 434-15-2 du Code Pénal3 :

Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.

À noter là-dedans : susceptible et sur les réquisitions. C’est-à-dire que la loi est assez floue pour permettre d’exiger de toute personne détentrice de données chiffrées qu’elle crache le morceau. On peut éventuellement se voir demander la phrase de passe d’un support qui ne serait pas le nôtre… et que nous n’aurions donc pas. Une personne été mise en examen en 2016 en France pour « refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie »4, mais l'affaire n'a pas encore été jugée.

Cependant certains avocats5 pensent que cette loi s'appliquerait aux tiers et non à la personne intéressée en premier lieu, en vertu du droit à ne pas s'auto-incriminer6.

Depuis 20147, les flics ont aussi le droit de réquisitionner n'importe qui susceptible « d'avoir connaissance des mesures appliquées pour protéger les données » et « de leur remettre les informations permettant d'accéder aux données »8.

Enfin, il peut être judicieux de rappeler que les mathématiques utilisées dans les algorithmes cryptographiques ont parfois des défauts. Et beaucoup plus souvent encore, les logiciels qui les appliquent comportent des faiblesses. Certains de ces problèmes peuvent, du jour au lendemain, transformer ce qu’on pensait être la meilleure des protections en une simple affaire de « double clic »…


  1. Un article en anglais sur un procès où la police avoue son impuissance face au chiffrement : Philip Willan, 2003, PGP Encryption Proves Powerful

  2. Pour cette raison, il est de bon ton de ne pas laisser la batterie branchée dans un ordinateur portable quand elle n’est pas utilisée. Il suffit alors d’enlever le câble secteur pour l’éteindre.

  3. Le terme légal est « cryptologie ». Une recherche sur ce mot sur Légifrance donnera une liste exhaustive des textes de loi concernant ce domaine.

  4. Florian Reynaud et Soren Seelow, 2016, Alertes à la bombe dans les lycées : le jeune homme placé sous le statut de témoin assisté, Le Monde

  5. Maître Éolas, 2014, Allô oui j'écoute

  6. Liberté, Libertés chéries, 2015, Principe de loyauté et droit de ne pas contribuer à sa propre incrimination

  7. République Fraçaise, 2014, LOI n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme

  8. République Française, Code de Procédure Pénale, article 57-1