{"id":128611,"date":"2020-05-29T16:43:14","date_gmt":"2020-05-29T16:43:14","guid":{"rendered":"http:\/\/www.internetsociety.org\/?post_type=resources&p=128611"},"modified":"2025-06-24T17:08:15","modified_gmt":"2025-06-24T17:08:15","slug":"fiche-dinformation-le-piratage-gouvernemental","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/fr\/resources\/doc\/2020\/fiche-dinformation-le-piratage-gouvernemental\/","title":{"rendered":"Fiche d’information: Le\u00a0piratage gouvernemental"},"content":{"rendered":"\n

Publi\u00e9 initialement: 29\u00a0mai<\/em>\u00a02020
Mise \u00e0 jour: 27 septembre 2022<\/em><\/p>\n\n\n\n

Le cryptage est un \u00e9l\u00e9ment crucial de notre vie quotidienne. Presque partout dans le monde, des aspects fondamentaux de notre vie reposent sur le cryptage. Les r\u00e9seaux \u00e9lectriques, les transports, les march\u00e9s financiers, mais aussi les babyphones[1]<\/sup><\/a>sont plus fiables gr\u00e2ce au cryptage. Le cryptage prot\u00e8ge nos donn\u00e9es les plus vuln\u00e9rables contre les criminels et les terroristes, mais peut \u00e9galement permettre de dissimuler des donn\u00e9es criminelles aux autorit\u00e9s.<\/p>\n\n\n\n

Le piratage gouvernemental est l’une des techniques utilis\u00e9es par les agences de s\u00e9curit\u00e9 nationale et les forces de l’ordre afin d’acc\u00e9der \u00e0 des informations crypt\u00e9es (par ex.: le FBI a fait appel \u00e0 une entreprise de piratage pour d\u00e9verrouiller l’iPhone au c\u0153ur de l’affaire de San Bernardino<\/a>). Cette technique vient s’ajouter \u00e0 d’autres strat\u00e9gies visant \u00e0 obtenir un acc\u00e8s exceptionnel<\/a> en demandant, ou en imposant, aux entreprises technologiques de disposer des moyens techniques de d\u00e9crypter les donn\u00e9es des utilisateurs lorsque cela est n\u00e9cessaire \u00e0 des fins l\u00e9gales.<\/p>\n\n\n\n

L’Internet Society consid\u00e8re que la robustesse du cryptage est vitale pour Internet, et est vivement pr\u00e9occup\u00e9e par toute politique ou action susceptible de nuire au cryptage, quel que soit le motif invoqu\u00e9. Le piratage gouvernemental entra\u00eene un risque de dommages collat\u00e9raux, \u00e0 la fois pour Internet et pour ses utilisateurs, et ne devrait donc \u00eatre envisag\u00e9 qu’en tant qu’outil de dernier recours, \u00e0 d\u00e9ployer dans des conditions strictes avec des garanties v\u00e9rifiables.<\/p>\n\n\n\n

D\u00e9finition du piratage gouvernemental<\/h3>\n\n\n\n

Nous d\u00e9finissons le \u00ab piratage gouvernemental \u00bb comme l’exploitation par des entit\u00e9s gouvernementales (ex.: agences de s\u00e9curit\u00e9 nationale, forces de l’ordre ou acteurs priv\u00e9s agissant en leur nom) de vuln\u00e9rabilit\u00e9s dans des syst\u00e8mes, des logiciels ou du mat\u00e9riel, afin de pouvoir acc\u00e9der \u00e0 des informations qui seraient sans cela crypt\u00e9es ou inaccessibles.<\/p>\n\n\n\n

Les dangers du piratage gouvernemental<\/h3>\n\n\n\n

L’exploitation de vuln\u00e9rabilit\u00e9s de quelque nature que ce soit, \u00e0 des fins de maintien de l’ordre, de tests de s\u00e9curit\u00e9 ou pour tout autre objectif, ne doit pas \u00eatre prise \u00e0 la l\u00e9g\u00e8re. D’un point de vue technique, le piratage d’une ressource technologique, d’information ou de communication (TIC) sans l’accord de son utilisateur ou de son propri\u00e9taire est toujours une attaque, quel que soit le motif. Les attaques peuvent endommager un appareil, un syst\u00e8me ou un flux de communication actif, ou les laisser dans un \u00e9tat moins s\u00e9curis\u00e9. Cela augmente significativement le risque de violations ult\u00e9rieures et met potentiellement en danger l’ensemble des utilisateurs du syst\u00e8me.[2]<\/sup><\/a><\/p>\n\n\n\n

Les risques sont encore plus importants lorsque les gouvernements exploitent des vuln\u00e9rabilit\u00e9s\u00a0\u00ab zero-day \u00bb, des vuln\u00e9rabilit\u00e9s mat\u00e9rielles ou logicielles dont le fournisseur n’a pas connaissance ou qui n’ont pas encore \u00e9t\u00e9 att\u00e9nu\u00e9es (par ex.: aucun correctif n’a \u00e9t\u00e9 publi\u00e9). Cette approche est particuli\u00e8rement dangereuse, car elle expose Internet et ses utilisateurs \u00e0 de nouveaux risques, contre lesquels il n’existe aucun moyen de se prot\u00e9ger. Pour cette raison, des processus clairs doivent \u00eatre mis en place pour la divulgation responsable et l’att\u00e9nuation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 d\u00e9couvertes d\u00e8s que possible afin qu’elles puissent \u00eatre trait\u00e9es.[3]<\/sup><\/a><\/p>\n\n\n\n

Les exploitations de vuln\u00e9rabilit\u00e9s peuvent \u00eatre vol\u00e9es, fuiter ou \u00eatre r\u00e9pliqu\u00e9es.<\/strong> M\u00eame des entit\u00e9s gouvernementales disposant des meilleurs niveaux de s\u00e9curit\u00e9 ont \u00e9t\u00e9 compromises. Ainsi, le groupe ShadowBrokers a pirat\u00e9 la National Security Agency am\u00e9ricaine (la NSA) et a rendu public EternalBlue, l’exploitation de vuln\u00e9rabilit\u00e9 zero-day de l’agence<\/a>; Hacking Team, une entreprise italienne de s\u00e9curit\u00e9, a \u00e9t\u00e9 pirat\u00e9e en 2015<\/a>; et Vault 7, un ensemble d’outils de piratage de la Central Intelligence Agency<\/a>, a fuit\u00e9 en 2017.<\/p>\n\n\n\n

Toute exploitation de vuln\u00e9rabilit\u00e9, quelle que soit son origine, peut \u00eatre adapt\u00e9e par des criminels ou des \u00c9tats-nations pour attaquer des utilisateurs innocents. Le ran\u00e7ongiciel Petya\/NotPetya (bas\u00e9 sur EternalBlue) a entra\u00een\u00e9 des cons\u00e9quences tangibles, notamment des retards pour des traitements m\u00e9dicaux, la suspension d’op\u00e9rations bancaires et la perturbation de services portuaires<\/a>. Ces incidents mettent en \u00e9vidence les risques que font courir toutes les entit\u00e9s (y compris les gouvernements) qui collectionnent des vuln\u00e9rabilit\u00e9s zero-day et cr\u00e9ent ou conservent des exploitations de ces vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n

Les \u00e9quipes de piratage commercial ne vendent pas uniquement leurs services aux \u00ab gentils \u00bb. <\/strong>En 2019, des chercheurs dans le domaine de la s\u00e9curit\u00e9 ont d\u00e9couvert que les logiciels de NSO Group, une soci\u00e9t\u00e9 isra\u00e9lienne de renseignement informatique, utilis\u00e9s par de nombreuses agences gouvernementales<\/a>, avaient servi \u00e0 pirater secr\u00e8tement les comptes WhatsApp de journalistes et d’activistes afin de surveiller leurs communications<\/a>. D’autres reportages similaires<\/a> r\u00e9v\u00e8lent qu’il ne s’agissait en aucun cas de la seule utilisation de la technologie<\/a>.<\/p>\n\n\n\n

Une cible peut se transformer en plusieurs cibles.<\/strong> Le piratage gouvernemental peut \u00eatre con\u00e7u pour \u00eatre cibl\u00e9 et chirurgical, mais une technique de piratage ou une exploitation de vuln\u00e9rabilit\u00e9s qui fonctionne sur une seule cible peut \u00eatre utilis\u00e9e contre d’autres appareils du m\u00eame type, et souvent aussi d’autres logiciels et syst\u00e8mes. Des vuln\u00e9rabilit\u00e9s et des outils peuvent \u00e9galement \u00eatre d\u00e9couverts ou divulgu\u00e9s de mani\u00e8re inappropri\u00e9e, ou utilis\u00e9s \u00e0 d’autres fins, par exemple pour s’engager dans des cyberattaques ou une cyberguerre par des acteurs de la menace persistante avanc\u00e9e (en anglais, Advanced Persistent Threat ou APT<\/a>), qui poursuivent souvent les objectifs d’un \u00c9tat. L’exemple le plus c\u00e9l\u00e8bre d’APT<\/a> est le virus Stuxnet, qui aurait \u00e9t\u00e9 cr\u00e9\u00e9 par les gouvernements am\u00e9ricain et isra\u00e9lien pour d\u00e9truire les centrifugeuses nucl\u00e9aires iraniennes, puis s’est r\u00e9pandu \u00e0 travers le monde (bien au-del\u00e0 de sa cible initiale) en affectant des millions d’autres syst\u00e8mes.<\/p>\n\n\n\n

Les auteurs d’attaques d\u00e9couvrent continuellement de nouveaux points faibles dans les syst\u00e8mes informatiques.<\/strong> Le fait de dissimuler un point faible (afin de l’exploiter par la suite) n’emp\u00eachera pas que celui-ci soit d\u00e9couvert par d’autres acteurs.\u00a0 Par exemple, pour le syst\u00e8me d’exploitation Android, le taux de red\u00e9couverte des points faibles de gravit\u00e9 \u00e9lev\u00e9e ou critique a atteint 23% en un an.[4]<\/sup><\/a> \u00c9tant donn\u00e9 l’existence de ces points faibles, les acteurs les plus motiv\u00e9s, comme les criminels, les terroristes et les gouvernements hostiles, tenteront plus que quiconque de les trouver et de les exploiter. Les prix et la demande pour ces points faibles sur le march\u00e9 noir et le march\u00e9 gris illustrent bien leur importance.[5]<\/sup><\/a> Le fait de disposer d’exploitations de vuln\u00e9rabilit\u00e9s pouvant servir de base pour la r\u00e9tro-ing\u00e9nierie rendra cette t\u00e2che encore plus facile.<\/p>\n\n\n\n

Le franchissement des juridictions.<\/strong> Ces techniques induisent \u00e9galement le risque d’infiltrer ou d’alt\u00e9rer par inadvertance les r\u00e9seaux ou syst\u00e8mes d’un autre \u00c9tat, ce qui pourrait \u00eatre consid\u00e9r\u00e9 comme une attaque contre cet \u00c9tat, ses int\u00e9r\u00eats ou ses citoyens, et engendrer des cons\u00e9quences politiques et \u00e9conomiques et potentiellement des cyberattaques. Cela pourrait \u00e9galement inciter certains pays \u00e0 adopter une approche de souverainet\u00e9 pour Internet.<\/p>\n\n\n\n

La position de l’Internet Society sur le cryptage et le piratage gouvernemental<\/h3>\n\n\n\n

En tant qu’\u00e9l\u00e9ment technique \u00e0 la base de la confiance sur Internet, le cryptage facilite la libert\u00e9 d’expression, le commerce, la confidentialit\u00e9 et la confiance des utilisateurs. Il contribue \u00e0 prot\u00e9ger les donn\u00e9es et les communications contre les dommages accidentels et malveillants. L’Internet Society estime que le cryptage devrait \u00eatre la norme pour le trafic Internet et le stockage des donn\u00e9es, et elle n’est pas la seule \u00e0 le penser. Par exemple, le rapporteur sp\u00e9cial de l’ONU pour les Droits de l’homme<\/a> et l’OCDE ont tr\u00e8s clairement d\u00e9clar\u00e9 leur soutien aux outils de cryptage<\/a>.<\/p>\n\n\n\n

Les tentatives l\u00e9gales et techniques visant \u00e0 limiter le recours au cryptage, m\u00eame si elles partent d’une bonne intention, auront un impact n\u00e9gatif sur la s\u00e9curit\u00e9 des citoyens respectueux de la loi et sur Internet dans son ensemble.<\/p>\n\n\n\n

Le piratage gouvernemental visant \u00e0 contourner le cryptage <\/strong>nuit \u00e9galement \u00e0 la s\u00e9curit\u00e9 d’utilisateurs innocents, de syst\u00e8mes critiques (notamment des r\u00e9seaux et services gouvernementaux) et d’Internet.<\/p>\n\n\n\n

Nous ne soutenons pas le piratage gouvernemental, qui engendre un risque pour la s\u00e9curit\u00e9 d’Internet et des internautes. \u00c0 cause de ce risque de dommages collat\u00e9raux, cette solution ne devrait jamais devenir une technique normale utilis\u00e9e par les forces de l’ordre ou les gouvernements afin d’obtenir l’acc\u00e8s \u00e0 des donn\u00e9es crypt\u00e9es. Nous nous opposons \u00e9galement aux lois, ainsi qu’aux autres r\u00e8glements, qui exigent des entreprises de technologies qu’elles cr\u00e9ent des failles de s\u00e9curit\u00e9 dans leurs produits et services. Il existe de nombreuses preuves que de telles vuln\u00e9rabilit\u00e9s sont in\u00e9vitablement divulgu\u00e9es ou d\u00e9couvertes et utilis\u00e9es \u00e0 des fins nuisibles.<\/p>\n\n\n\n

Le risque est particuli\u00e8rement \u00e9lev\u00e9 pour les piratages gouvernementaux bas\u00e9s sur des vuln\u00e9rabilit\u00e9s zero-day et leur exploitation (comme expliqu\u00e9 ci-dessus). Cependant, il existe \u00e9galement un risque lorsque les vuln\u00e9rabilit\u00e9s sont connues mais non corrig\u00e9es – peut-\u00eatre parce que les syst\u00e8mes sont trop anciens, parce que les gens ne peuvent pas se permettre des appareils plus s\u00e9curis\u00e9s ou en raison de proc\u00e9dures de correction inad\u00e9quates.<\/p>\n\n\n\n

En r\u00e8gle g\u00e9n\u00e9rale, l’exploitation des failles de tout syst\u00e8me cr\u00e9e un risque inh\u00e9rent. M\u00eame dans le sc\u00e9nario le plus optimiste, selon lequel une entit\u00e9 gouvernementale anim\u00e9e des meilleures intentions exploite une vuln\u00e9rabilit\u00e9 avec les autorisations ad\u00e9quates et avec un r\u00e9sultat positif, le risque que cette exploitation de vuln\u00e9rabilit\u00e9 ne reste pas limit\u00e9e \u00e0 ce gouvernement est \u00e9lev\u00e9. Le syst\u00e8me dans son ensemble devient moins s\u00fbr simplement du fait de l’exploitation de cette vuln\u00e9rabilit\u00e9, quelle que soit l’intention.<\/p>\n\n\n\n

\u00c9tant donn\u00e9 les risques inh\u00e9rents, les gouvernements ne devraient pas r\u00e9cup\u00e9rer, acheter, cr\u00e9er, conserver ou exploiter des vuln\u00e9rabilit\u00e9s afin d’obtenir l’acc\u00e8s \u00e0 des informations \u00e0 des fins de s\u00e9curit\u00e9 nationale ou d’application de la loi si les conditions suivantes ne sont pas respect\u00e9es:<\/p>\n\n\n\n