Comment faire en sorte que forces de l’ordre puissent accéder aux messages des applications chiffrées ? C’est à cette question hautement sensible que la Commission européenne entend apporter une réponse en avançant « trois ou quatre options » au mois de juin, dans un contexte où la sécurisation des communications est aujourd’hui remise en question au nom de la lutte contre le terrorisme.
En charge de la justice à Bruxelles, V?ra Jourová estime que les procureurs, les juges, la police ainsi que les autorités chargées de faire respecter la loi dépendent trop du bon vouloir des prestataires de ces services de messagerie chiffrée pour accéder aux preuves. « Ce n’est pas de cette manière que nous pouvons aider et assurer la sécurité des Européens », juge-t-elle, dans des propos rapportés par Euractiv.
Ce n’est pas de cette manière que nous pouvons aider et assurer la sécurité des Européens
Selon nos confrères, ces « trois ou quatre options » doivent permettre aux autorités de demander et d’accéder plus facilement aux données des services en ligne qui sont situés en dehors de leur juridiction. Parmi les options envisagées figurent des accords volontaires avec les prestataires ainsi qu’une législation contraignante avec à la clé des sanctions pour les sociétés réfractaires.
Cela étant, la perspective d’une législation contraignante au niveau européen est peu probable, dans la mesure où les États membres avancent en ordre dispersé et que le parlement a adopté fin 2015 le rapport Schaake, qui demande de respecter le droit au chiffrement et de systématiser chez les acteurs privés l’adoption de normes de chiffrement de bout en bout sur les messageries.
Des nations comme les Pays-Bas et l’Allemagne souhaitent conserver un haut niveau de protection, là où des pays comme la France et le Royaume-Uni, qui ne fera bientôt plus partie de l’Union, plaident pour un affaiblissement légal des mesures de sécurité. Ailleurs sur le continent, la Croatie, l’Italie, la Lettonie, la Pologne ou encore la Hongrie vont plutôt dans le sens de la France.
La position allemande est toutefois complexe. Euractiv note que le ministre de l’Intérieur, Thomas de Maizière, a déclaré, en compagnie de Matthias Fekl, son homologue français, vouloir que la police bénéficie du même droit légal d’accéder aux services en ligne, sur le même principe qu’elle peut déjà le faire pour exiger des informations sur les appels en s’adressant aux télécoms.
Dans le même temps, lors d’une réponse adressée à un questionnaire de la Slovaquie quand elle présidait le Conseil de l’Union européenne, Berlin a déclaré que toute nouvelle régulation ne doit pas aboutir à affaiblir la vie privée. Les services allemands semblent plutôt opter pour des mouchards informatiques ciblant une communication précise avant qu’elle ne soit chiffrée.
Quant à la France, elle a fait le choix de ne pas répondre au questionnaire. Plutôt curieux alors que les outils cryptographiques ont été pointés du doigt par le ministre de l’Intérieur de l’époque, Bernard Cazeneuve, et par le procureur de la République de Paris, François Molins. On aurait pu croire que le gouvernement, si prompt à exiger un durcissement face au chiffrement, apporte sa contribution. Mais non.
Lorsqu’il s’agit de chiffrement par intermédiaire, où la clé est détenue par l’éditeur de l’application, la loi prévoit une obligation de fournir les « conventions permettant le déchiffrement des données » et les éditeurs qui détiennent les clés ont l’obligation de la livrer, voire même de déchiffrer eux-mêmes. Si ce n’est pas le cas, c’est davantage un problème d’application du droit français à l’international et de coopération internationale, plutôt que d’un trou législatif.
Pour le chiffrement de bout en bout en revanche, comme il existe sur Telegram (dans les « secret chats ») ou sur WhatsApp, la clé n’est détenue que par l’utilisateur et son interlocuteur. Là, la loi ne s’applique pas. Alors, que faire ? Il est d’ores et déjà interdit par le droit international des droits de l’homme d’imposer à l’utilisateur qu’il livre ses propres clés, ce qui est considéré comme une violation du droit à un procès équitable, qui impose de ne pas avoir à livrer les éléments de sa propre incrimination.
Deux pistes à l’étude
En France, deux options se dégagent. La première est l’interdiction pure et simple des messageries qui pratiquent un chiffrement de bout en bout, ce qui est irréaliste puisqu’il y aura toujours des développeurs pour en créer et fort peu raisonnable sur le plan des droits individuels : des dissidents utilisent ces messageries à la sécurité renforcée pour échapper à la surveillance d’États autoritaires.
La seconde est d’obliger à intégrer des portes dérobées (backdoors), ce qui ne sera pas simple à mettre en œuvre, mais présente aussi le risque que ces accès secrets soient trouvés et exploités par des puissances étrangères ou des criminels. Affaiblir une serrure, c’est l’affaiblir partout, pour tout le monde, y compris pour des gens malintentionnés. Il n’y a pas de gentille backdoor. C’est une vulnérabilité, point.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !