La France ferme la porte aux backdoors dans les messageries chiffrées

Dans la nuit du 20 au 21 mars 2025, l'Assemblée nationale a massivement rejeté une disposition controversée qui aurait contraint WhatsApp, Signal et autres messageries chiffrées à intégrer des portes dérobées pour les forces de l'ordre. Par 119 voix contre 24, les députés ont mis un terme à cette tentative d'affaiblissement du chiffrement, jugée dangereuse par la communauté cyber et les défenseurs des libertés numériques.

Le projet de backdoor, du Sénat à l'Assemblée

L'histoire commence le 28 janvier 2025, lorsque le Sénat adopte un amendement controversé dans le cadre d'une proposition de loi visant à lutter contre le narcotrafic. Introduit par le sénateur Cédric Perrin (LR), l'article 8 ter prévoyait d'obliger les messageries instantanées à installer des portes dérobées, permettant aux enquêteurs d'accéder aux conversations chiffrées. Une amende pouvant atteindre 2% du chiffre d'affaires mondial était prévue pour les contrevenants.

Le texte, soutenu par le ministre de l'Intérieur Bruno Retailleau, visait spécifiquement les applications utilisant le chiffrement de bout en bout comme WhatsApp, Signal, Telegram ou Olvid. Le ministre avait défendu son projet en le présentant non comme une backdoor mais comme une "frontdoor", distinction qui n'a convaincu ni les experts ni la majorité des parlementaires.

La commission des Lois de l'Assemblée nationale avait déjà supprimé cette disposition début mars, avant que plusieurs députés ne tentent de la réintroduire via trois amendements lors de l'examen en séance. C'est dans un contexte tendu qu'a eu lieu le vote définitif, marqué par une panne inédite du système électronique qui a contraint chaque député à s'exprimer directement au micro.

Le chiffrement et les backdoors : un équilibre impossible

Le chiffrement de bout en bout constitue aujourd'hui la protection standard des communications numériques privées. Cette technologie assure que seuls l'expéditeur et le destinataire peuvent lire les messages échangés, les rendant illisibles pour quiconque tenterait d'intercepter les communications, y compris les fournisseurs du service eux-mêmes.

L'installation d'une porte dérobée aurait fondamentalement compromis ce principe de sécurité. Techniquement, il s'agissait de contraindre les éditeurs à modifier leurs applications pour permettre l'interception des messages avant leur chiffrement ou après leur déchiffrement. Le gouvernement souhaitait ainsi obtenir, sur demande judiciaire, les messages déchiffrés des criminels présumés dans un délai de 72 heures.

La critique majeure adressée à ce dispositif reposait sur un consensus parmi les experts en cybersécurité : une vulnérabilité ne peut être réservée aux "gentils". Comme l'a souligné l'AFNUM (qui représente Google, Microsoft, Apple), il est techniquement impossible d'ouvrir une porte dérobée uniquement aux autorités légitimes. Toute faille volontairement introduite finit inévitablement par être exploitée par des acteurs malveillants, qu'il s'agisse de cybercriminels ou de services de renseignement étrangers.

Une levée de boucliers unanime

L'opposition à cette mesure a réuni un front inhabituellement large. La CNIL, La Quadrature du Net, les fabricants d'appareils électroniques, les services de messagerie, mais aussi des parlementaires de tous bords et des experts en cybersécurité se sont mobilisés contre ce texte.

Durant les débats à l'Assemblée, même au sein de la coalition présidentielle, des doutes se sont exprimés. Philippe Latombe (Les Démocrates) a rappelé que "ce ne sont pas simplement les opérateurs qui sont contre, mais l'ensemble des spécialistes, l'ensemble des cryptographes, ainsi que les entreprises de cybersécurité". Son collègue Éric Bothorel a quant à lui insisté sur l'inutilité pratique d'une telle mesure, les trafiquants trouvant toujours des moyens de contourner les restrictions.

L'argument technique a également pesé lourd : plusieurs parlementaires ont souligné l'impossibilité pour les opérateurs de mettre en œuvre une telle backdoor sans compromettre l'ensemble du système. Arthur Delaporte (Socialistes) a d'ailleurs averti que cette mesure risquait de "mettre en danger l'intégrité de la France et sa sécurité" en créant des vulnérabilités exploitables.

Le sénateur rapporteur de la loi initiale, Jérôme Durain, s'était lui-même inquiété des conséquences de l'amendement, jugeant qu'il était "très lourd de conséquences, alors qu'il n'a fait l'objet d'aucune audition, d'aucune étude d'impact".

Une victoire pour la sécurité numérique, un débat qui continue

Ce rejet massif représente une victoire significative pour les défenseurs de la vie privée et de la cybersécurité. Il confirme la prise de conscience croissante des enjeux liés à la sécurité numérique au sein de la représentation nationale, malgré les pressions sécuritaires.

Paradoxalement, parallèlement à ce débat, le FBI et la CISA (l'agence américaine de cybersécurité) recommandaient récemment l'utilisation des messageries chiffrées plutôt que les SMS, jugés plus vulnérables. Une position qui contraste avec celle défendue par le ministère de l'Intérieur français.

Le rejet de cette disposition s'inscrit également dans un contexte plus large. Le 12 mars 2025, un amendement anti-backdoor a été adopté au Sénat dans le cadre d'un autre projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité. Celui-ci stipule explicitement "qu'il ne peut être imposé aux fournisseurs de services de chiffrement l'intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d'information et des communications électroniques".

La protection du chiffrement semble donc s'imposer comme un principe désormais largement partagé par les législateurs français, assurant aux utilisateurs que leurs communications privées restent sécurisées. Cette décision aligne la France sur les meilleures pratiques en matière de cybersécurité et préserve un outil essentiel de la vie privée numérique.