Peggy Pierrot

Le récent rapport Paecht (lire Les dessous d’un rapport) sur les systèmes de surveillance électronique relançait une rumeur concernant Pretty Good Privacy (PGP), le plus populaire des logiciels de cryptographie. Les messages cryptés avec PGP pourraient être décodés par les autorités américaines. Vieille comme PGP, cette rumeur tombe lorsqu’on sait que les codes sources sont disponibles... depuis 1992. Impossible donc d’y cacher quoi que ce soit. Les services secrets français avouent eux-mêmes utiliser les versions open source de PGP (tandis que les versions commerciales sont écartées par principe). Le rapport Paecht proposait, lui, de légaliser l’obligation de fournir en clair un message crypté sur demande judiciaire. Et de développer une industrie nationale et européenne de la cryptographie et de la sécurité informatique. Nous avons demandé à PPLF, co-traducteur de plusieurs des manuels de PGP et webmaster du site "PGP en français" et Michel Bouissou, administrateur réseau et co-auteur avec le premier d’une récente lettre ouverte à PGP (lire Mais qu’est devenu PGP ?), ce qu’ils en pensaient.

Que pensez-vous de cette assertion, relancée par le rapport Paecht selon laquelle PGP serait piégé par les autorités américaines ? PPLF : En accordant une licence d’export à PGP en novembre 1999, les autorités américaines n’ont fait qu’entériner la libre circulation de PGP qui était devenu depuis longtemps le standard mondial, de facto, pour la cryptographie. C’était une mesure commerciale pour permettre à NAI, l’éditeur de la version payante du logiciel, de faire enfin de l’argent. Du reste, deux mois plus tard, la législation crypto anti-export US était libéralisée. Mais PGP focalise tous les délires et les théories du complot. Certains disent, par exemple, que la toute-puissante NSA [National Security Agency, la tête pensante d’Echelon, NDLR] aurait permis l’exportation de PGP pour faire croire qu’elle pouvait le casser et pousser les gens à utiliser un autre logiciel. Le CNRS [Centre national de la recherche scientifique] avait ainsi publié un texte pour le moins discutable sur PGP (analysé à la page Rumeurs du site PGP en Français). La lettre du Monde du Renseignement reprend, quant à elle, les propos de différents services secrets sur PGP sans même tenir compte de l’avis des informaticiens spécialistes. Tout ce délire "PGPesque" va ensuite passer à la moulinette des sites web, forums de discussions et mailing-lists, et finir par arriver aux oreilles de gens qui se veulent sérieux mais qui reprennent l’"information" et l’amplifient. Disons juste que c’est comique de voir qu’à l’époque où les gouvernements voulaient interdire PGP, ils lui reprochaient d’être incassable par leurs services secrets. Et que depuis qu’il y a un certain consensus sur l’autorisation de PGP, ils disent qu’il est "peut-être" piégé...

M. Paecht propose aussi de légaliser la remise en clair des messsages chiffrés, mesure adoptée mais controversée,dans le RIP Act Anlais.Et prévu dans le traité contre la cyber criminalité du conseil de l’Europe.

MB : D’un point de vue constitutionnel, il me semble que c’est contraire aux droits de la défense : on ne peut pas demander à un accusé d’être témoin à sa propre charge et de fournir lui-même des preuves ou des indices de sa culpabilité, ou quelque élément que ce soit de nature à l’incriminer. Son incrimination appartient au parquet.

PPLF : La lettre ouverte publiée par la GILC [Global Internet Liberty Campaign, qui réunit quelques dizaines d’associations de défense des libertés sur le net, NDLR] à propos du projet de traité sur la cybercriminalité souligne également les limites de ce type de réglementation. Pour les mêmes raisons, elle pourrait bien être incompatible avec la Convention européenne des droits de l’homme et la jurisprudence de la Cour européenne des droits de l’homme. De toute façon, quand quelqu’un ne veut pas parler, avouer ou révéler un secret, il se tait. Tous ces grands discours des autorités sur la cryptographie incassable, qui serait un danger pour l’ordre public, découlent d’une sorte de sacralisation de l’informatique, ou d’une peur de cette nouvelle technologie. Il y a deux siècles, quand un suspect refusait de parler, il n’y avait rien à faire, sauf à le torturer, ce qu’on ne fait plus de nos jours, Dieu merci.