Lorsqu’il s’agit de sécurité, Éric Ciotti reste fidèle à lui-même : le député Les Républicains (LR) joue la carte de la surenchère. Et quand ses propositions d’amendement ne sont pas suivies par ses collègues, l’élu des Alpes-Maritimes ne se laisse pas abattre : il attend l’arrivée d’un autre texte et retente sa chance. C’est exactement ce qui est en train de se passer avec le projet de loi sur la sécurité intérieure et la lutte contre le terrorisme.
Le parlementaire recycle en effet un amendement qu’il avait déposé pour le projet de loi sur le crime organisé. Si quelques retouches rédactionnelles et une réévaluation des sanctions ont eu lieu entre l’amendement déposé à l’époque — et qui a été rejeté en séance — et celui qu’il soumet aujourd’hui avec ses collègues Guillaume Larrivé et Raphaël Schellenberger, le fond reste le même.
Il s’agit d’obliger des sociétés comme Apple et Telegram à « communiquer à l’autorité judiciaire des données protégées par un moyen de cryptologie qu’elle a construit ou fourni » lorsque cette transmission — il peut s’agir de la convention de chiffrement — peut empêcher de commettre un acte de terrorisme. Dans le cas contraire, Éric Ciotti propose deux leviers d’action : l’amende et l’interdiction commerciale.
Le texte dispose que « lorsque le refus est opposé par une personne morale alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission [d’un acte de terrorisme], la peine d’amende est portée à 1,5 million d’euros. La personne morale encourt également la peine d’interdiction de commercialisation de ses produits et services sur le territoire national pendant une durée maximale d’un an ».
Amende jusqu’à 1,5 million d’euros et interdiction commerciale pendant un an
Comme nous le notions la première fois, cette mesure vise à contourner la difficulté liée à la territorialité du droit, puisque même si Apple n’entend pas obéir aux exigences de la France depuis la Californie, ses smartphones deviendraient interdits dans l’Hexagone (si tant est qu’Apple soit jugé coupable de ne pas avoir fourni les informations demandées et qu’il soit prouvé qu’elles étaient indispensables).
Il reste désormais à connaître le parcours législatif de cet amendement, dont le destin est plutôt incertain au regard du sort qui a été réservé à son prédécesseur, rejeté. En outre, même s’il est adopté, pourra-t-il être efficace ? Dans le cas des deux firmes citées dans l’amendement, il pourrait être impossible de fournir aux autorités la convention de chiffrement en cas de chiffrement de bout en bout.
Chiffrement de bout en bout
En effet, dans ce cas de figure, ce ne sont pas les compagnies qui détiennent les clés de déchiffrement permettant de lire en clair les messages : ce sont les utilisateurs. C’est pour cela que WhatsApp n’a pu apporter qu’une aide limitée à la police britannique dans l’affaire du chauffard qui s’est servi de sa voiture pour renverser des passants avant de les attaquer au couteau.
Dans le cas de Telegram, la société propose du chiffrement de bout en bout quand sont activés les chats secrets (il n’est pas actif sinon). De son côté, Apple affirme que « les conservations qui ont lieu sur iMessage et FaceTime sont protégées par un chiffrement de bout en bout, donc personne sauf l’expéditeur et le destinataire ne peuvent les voir ou les lire ». Toutefois, la réalité pourrait être un peu plus compliquée.
Comme nous l’écrivions dans notre guide sur les messageries sécurisées, lorsque l’on réalise une sauvegarde de l’historique de messagerie dans iCloud, bien que le service d’Apple soit chiffré, l’entreprise conserve la clé qui permet à l’utilisateur d’y accéder. De plus, le protocole et les technologies propriétaires de la messagerie vous demanderont là encore de faire confiance aux promesses d’une entreprise privée.
Reste qu’au regard de la manière dont Apple a résisté aux pressions du FBI pour débloquer un iPhone chiffré impliqué dans une affaire de terrorisme, on peut supposer que le groupe américain pourrait aussi user de tous les recours juridiques disponibles en France et en Europe pour s’opposer à une condamnation l’empêchant de commercialiser ses produits et ses services dans l’Hexagone.
Rappelons que dans la loi française, le fait de refuser de transmettre la version en clair des messages chiffrés et les conventions secrètes servant au déchiffrement est puni de 3 ans de prison et 45 000 euros d’amende et la peine est portée à 5 ans et 75 000 euros si cela « aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets ».
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
