Direction générale de la sécurité inférieure
Deux parlementaires, ayant sanctuarisé le chiffrement de bout en bout dans le projet de loi transposant la directive européenne NIS2, accusent la DGSI d’en empêcher l’adoption au Parlement. D’après Intelligence Online, la DGSI ne parviendrait à pirater que 25 à 30 % des smartphones seulement. Un problème amené à empirer, alors que le protocole RCS va généraliser le chiffrement de bout en bout.
La directive NIS 2 (pour Network and Information Security 2), censée renforcer la cybersécurité des infrastructures critiques et des services essentiels dans l’Union européenne, impose aux États membres qu’elle soit transposée dans leur droit national avant le 17 octobre 2024.
Un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité avait bien été déposé et adopté en première lecture au Sénat le 15 octobre 2024, mais il est bloqué à l’Assemblée depuis septembre 2025.
Le député (Les Démocrates) Philippe Latombe et le sénateur (centriste) Olivier Cadic, présidents de la commission spéciale de ce projet de loi, accusent le ministère de l’Intérieur, et plus particulièrement la Direction générale de la Sécurité intérieure (DGSI), d’en bloquer la transposition.
Dans une conférence de presse conjointe, début février, ils ont expliqué que c’est « clairement » l’introduction de l’article 16 bis dans le projet de loi qui en bloquerait, depuis, l’inscription à l’ordre du jour par le gouvernement.
Initialement introduit et défendu par Olivier Cadic afin d’ « inscrire dans la loi un principe clair de sécurité numérique », et depuis renforcé par un amendement de Philippe Latombe adopté en septembre dernier, il sanctuarise le chiffrement de bout en bout :
« Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses ou tout autre mécanisme ou processus permettant un accès non consenti aux données protégées. »
À l’époque, Olivier Cadic l’avait justifié au motif que « certaines initiatives législatives et réglementaires, tant au niveau national qu’international, ont cherché à imposer aux fournisseurs de services de chiffrement des obligations visant à insérer des dispositifs techniques permettant un accès aux données protégées par des tiers, notamment par les autorités publiques » :
« Ces dispositifs, communément appelés « portes dérobées » (backdoors), « clés de déchiffrement maîtresses » ou autres mécanismes d’affaiblissement volontaire de la sécurité, présentent des risques considérables pour la sécurité informatique et la protection des droits fondamentaux. »
La DGSI a un problème, la France aussi
« Je le dis de façon claire et je ne vais pas me faire de copains en disant ça mais c’est pas grave, la DGSI et les services veulent la fin de l’article 16 bis », a précisé Philippe Latombe lors de la conférence de presse : « la DGSI a un problème, elle veut savoir ce qui se passe dans les communications chiffrées des délinquants, elle veut mettre un tuyau sur le pipeline pour pouvoir regarder ce qui s’y passe ».
À quoi le député rétorque que si les délinquants savent qu’ils peuvent être écoutés, ils n’utiliseront plus ces messageries chiffrées. Il rappelle également que les États-Unis avaient eux aussi tenté d’y parvenir, en vain. Et souligne qu’il y aurait des incohérences entre les demandes de la DGSI et celles de la DGSE, qui n’appréhendent pas le problème de la même façon et n’ont pas le même mode de fonctionnement.
Une situation ubuesque : un projet de loi précisément destiné à renforcer la cybersécurité se retrouverait bloqué… parce qu’il consacre explicitement le chiffrement des communications.
En cas de fraude massive de données, le gouvernement engage sa responsabilité
« Le texte a été voté il y a bientôt un an au Sénat. Il devait être mis à l’ordre du jour avant la fin de l’année et puis finalement ils ont reporté au mois de janvier. Et puis au mois de janvier, ils ont décidé de ne pas le présenter à l’ordre du jour alors qu’il aurait dû être mise en œuvre depuis fin octobre 2024 », dénonce Olivier Cadic, sénateur des Français établis hors de France, sollicité par L’Usine Digitale :
« J’avais déposé cet amendement parce qu’aux États-Unis, des backdoors – qui avaient été utilisées pour surveiller des appels et des messages – avaient été exploitées par les hackers chinois, donc pour compromettre des millions de télécommunications. J’ai considéré que la possibilité d’installer des backdoors était contradictoire avec la capacité d’élever notre niveau de cyber-résilience. »
« Il y a une administration qui semble gênée, qui au demeurant ne vient pas voir les parlementaires concernés pour discuter de ça, et utilise le ministre pour bloquer l’ordre du jour du Parlement », déplore-t-il auprès de L’Usine Digitale.
Une situation d’autant plus préjudiciable qu’ « en cas de fraude massive de données, le gouvernement engage sa responsabilité puisqu’il ne permet pas à la France de se préparer », souligne-t-il, citant notamment la sanction de 5 millions d’euros infligée à France Travail par la CNIL.
Et ce alors que NIS 1 concernait environ 300 opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE), là où NIS 2 vise plus de 15 000 entités dans 18 secteurs différents.
La stratégie nationale de cybersécurité consacre pourtant le chiffrement
Les deux parlementaires pointent également du doigt le problème de crédibilité de la France à l’échelle européenne. « Comment est-ce que la France peut discuter de la suite, alors que les autres pays ont transposé NIS 2 et que nous, ce n’est toujours pas fait ? », interroge Olivier Cadic, pour qui la France s’expose à un triple risque, résume L’Usine Digitale :
« une insécurité juridique persistante pour les entreprises et administrations concernées par NIS 2, une fragilisation de sa position au sein de l’UE ainsi qu’un affaiblissement durable de la confiance des citoyens dans la capacité de l’État à protéger leurs données. »
Un blocage d’autant plus incompréhensible que la France vient aussi de dévoiler sa stratégie nationale de cybersécurité pour 2026 à 2030, qui est présentée comme « une priorité nationale » et qui rappelle que « le chiffrement est un composant essentiel du socle de sécurité permettant d’assurer la confidentialité et l’intégrité des communications ou du stockage des données ».
Dans une tribune cosignée en mars 2025 par Philippe Latombe, David Naccache, chercheur en cryptologie, Guillaume Poupard, ex-directeur général de l’ANSSI et Sébastien Soriano, ancien président de l’Arcep, Anne Le Hénanff, devenue depuis ministre déléguée chargée de l’Intelligence artificielle et du Numérique, rappelait la première recommandation du rapport du conseil scientifique de la Commission européenne, qui avait rassemblé des centaines d’experts pour un colloque préparatoire à son rapport sur la cybersécurité :
« Pour maintenir la confiance des utilisateurs/citoyens, ainsi que protéger leur vie privée et assurer la sécurité, aucune porte dérobée ni aucun autre moyen d’affaiblir le chiffrement ne doit être introduit. »
Dans un billet publié sur LinkedIn intitulé « La DGSI contre le Parlement, et la perte stratégique de temps », Sébastien Garnault, président du Paris Cyber Summit et fondateur de la CyberTaskForce, une initiative du secteur privé dédiée à aider les décideurs publics et privés à comprendre, anticiper et maîtriser les enjeux de cybersécurité, de souveraineté numérique et de stratégie, écrivait que « face aux deux présidents des commissions spéciales Résilience, Philippe Latombe et Olivier Cadic, on regrette le silence de la profession qui ne défend pas la clef de confiance du marché cyber : le chiffrement » :
« Les adversaires n’ont déjà pas besoin de portes dérobées légales pour s’implanter durablement et exploiter des faiblesses structurelles. Dans un contexte de confrontation systémique, la fragilisation volontaire devient une faiblesse exploitable, pas un levier de souveraineté. Et le @ministere de l’interieur en portera, le cas échéant, la responsabilité. »
« Chaque jour perdu expose davantage nos entreprises, institutions et citoyens »
Réagissant au fait que « les fuites de données explosent », illustrées récemment par l’incident majeur concernant FICOBA, le fichier national des comptes bancaires, l’Alliance pour la Confiance Numérique (ACN, l’organisation professionnelle qui réunit plus de 120 entreprises du secteur de la cybersécurité et de l’identité numérique) appelait elle aussi, dans un communiqué mis en ligne ce 19 février dernier, « à la finalisation urgente du projet de loi « Résilience » » :
« Dans ce contexte, l’ACN appelle à la transposition immédiate de la directive européenne NIS2 et surtout à sa mise en œuvre rapide. Au-delà, la confiance numérique, dans toutes ses composantes (sécurité numérique, résilience, souveraineté) doit désormais être appréhendée, au plus haut niveau de l’Etat comme un enjeu majeur et doit être érigée en priorité nationale. »
« Depuis plusieurs mois, on assiste à une flambée des fuites de données dont la presse se fait tous les jours écho », déplore Gregory Wintrebert, le président de l’ACN : « 1,2 million de données bancaires potentiellement dans la nature, c’est 1,2 million de personnes potentiellement en danger ! Nous devons apprendre à vivre avec cette nouvelle réalité, mais il n’y a pas de fatalité à cela. »
L’ACN appelle à une « prise de conscience généralisée sur la nécessité urgente d’augmenter massivement notre niveau de résilience numérique », souligne-t-il : « Chaque jour perdu expose davantage nos entreprises, nos institutions et nos citoyens à des risques de moins en moins soutenable. La résilience et la confiance numérique doivent devenir une priorité nationale ! Agir vite, c’est protéger notre avenir numérique. »
L’ACN souligne qu’ « en France, nous avons la chance de pouvoir compter sur une filière de confiance numérique robuste, reconnue mondialement pour son expertise dont les solutions sont immédiatement disponibles », et que « ces entreprises, de toutes tailles, sont prêtes à accompagner les organisations dans cette transition ».
« Faire appel à nos entreprises françaises de la confiance numérique, c’est non seulement renforcer la sécurité, mais aussi contribuer à notre souveraineté numérique qui est un volet, au moins aussi important que la résilience, en termes de réduction des risques numériques », relève Gregory Wintrebert : « C’est un choix stratégique et responsable face à des enjeux qui ne peuvent plus attendre. »
« Compte tenu de la menace actuelle », l’ANSSI rappelle les entités concernées à leurs obligations
L’ANSSI vient elle aussi de mettre à jour (archive) la page de son site messervices.cyber.gouv.fr consacrée à la Directive NIS 2, rappelant que sa transposition en France « est en cours », mais qu’en attendant, « et compte tenu de la menace actuelle, les futures entités essentielles et importantes sont invitées à s’engager dès à présent dans une démarche visant à renforcer leur niveau de sécurité ».
18 secteurs d’activité sont concernés, représentant plusieurs milliers d’entités, pour l’essentiel des moyennes et grandes entreprises ainsi que des collectivités territoriales et des administrations. L’ANSSI rappelle qu’elles font face à trois nouvelles obligations majeures :
- pré-enregistrer leur entité via son bureau de pré-enregistrement, ouvert en novembre dernier,
- mettre en place des mesures juridiques, techniques et organisationnelles visant à gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d’information,
- signaler à l’ANSSI leurs incidents de sécurité ayant un impact important et fournir des rapports concernant l’évolution de la situation.
La DGSI ne parvient à pirater que 25 à 30 % des smartphones
Mi-février, Intelligence Online révélait de son côté que le piratage – appelé piégeage par le ministère de l’Intérieur – des téléphones par le Service technique national de captation judiciaire (STNCJ) de la direction technique de la DGSI « ne produit pas les résultats escomptés. Et pour cause, le taux de réussite du service est compris entre 25 et 30 % ». En outre, et « même en cas de succès, la manœuvre n’est efficace que durant quelques jours ».
En 2023 déjà, L’Express rapportait que « Selon un professionnel du renseignement technique, la méthode « one click » de la DGSI produit des résultats décevants depuis 2018, avec moins d’une centaine de téléphones infectés de cette façon en 2022. »
En janvier, le Premier ministre a d’ailleurs confié une mission d’information temporaire « ayant pour objet les politiques publiques de sécurité à l’ère numérique » au député (socialiste puis macroniste) et président de la commission des lois de l’Assemblée Florent Boudié.
Par ailleurs premier vice-président de la Délégation parlementaire au renseignement, il devra explorer les « possibilités d’évolution des dispositifs juridiques existants » pour « préserver l’accès nécessaire et encadré aux communications dans le cadre de la lutte contre le terrorisme et la criminalité organisée ».
Le problème ne concerne pas que les seules messageries chiffrées. Dans sa lettre de mission, Sébastien Lecornu souligne en effet que le problème « devrait s’accroître avec la norme qui remplace les SMS, le RCS (Rich Communication Services) ».
Disponible chez les quatre opérateurs en France depuis un an seulement, ce protocole intègre depuis peu « des fonctionnalités de chiffrement de bout en bout et permet l’échange de messages écrits, vocaux et vidéos ».
Tom Van Pelt, directeur technique de la GSM Association (GSMA), avait alors souligné que RCS serait le premier service de messagerie à grande échelle à supporter un chiffrement de bout en bout interopérable entre tous les clients qui l’implémentent.
Connexion
