Après la Chine, la Russie et l’Inde : le Royaume-Uni, l’Union européenne, la Suède et la France : depuis plusieurs années, des projets de loi partent à l’assaut du chiffrement de bout en bout (en anglais, « end-to-end encryption » ou E2EE), cette technologie qui permet de sécuriser une discussion ou des documents. La France, avec sa proposition de loi visant à lutter contre le narcotrafic, n’y échappe pas.
Tous ces textes ont un point commun : permettre aux autorités locales, sur fonds de lutte contre la pédocriminalité, le terrorisme, le narcotrafic ou le grand banditisme, d’accéder aux messages échangés sur les plateformes chiffrées comme Signal, Telegram, WhatsApp, iMessage ou encore Olvid.
Si le sujet peut sembler purement technique, il est avant tout sociétal. Ici, le droit à la vie privée et aux correspondances privées s’oppose à la lutte contre la grande criminalité. Au cœur de ce dossier, on trouve les services chiffrés : une technologie qui permet à des conversations ou des documents de n’être visibles que par les détenteurs d’une clé qui permet de les déchiffrer : ni la messagerie elle-même, ni les forces de l’ordre ne peuvent en avoir connaissance.
Et ces projets de lois visent justement à mettre fin à cette situation, en contraignant ces plateformes à installer, dans leur système de chiffrement, des « backdoors », des portes dérobées – un moyen pour la justice et la police d’avoir accès à des communications jusqu’ici inaccessibles.
Face à ces injonctions hypothétiques (UE, Suède, France) ou réelles (Russie, Chine), comment les messageries ont-elles réagi ? Ont-elles ou envisagent-elles d’obtempérer ou de s’y opposer ? Et qu’est-ce que cela signifierait en pratique pour les utilisateurs ? Alors qu’en France, la proposition de loi visant à lutter contre le narcotrafic comporte un telle disposition, nous avons cherché à comprendre ce qu’il pourrait advenir, si ce texte finissait par être adopté.
En France, que contient la proposition de loi sur le narcotrafic ?
Dans l’Hexagone, les opérateurs téléphoniques sont aujourd’hui contraints par la loi d’intercepter des données, ou de mettre en place des écoutes légales, sous certaines conditions. Mais cela n’est pas le cas des plateformes chiffrées, au grand dam de certains politiques. Ces derniers souhaitent que la police, la justice et le renseignement puissent avoir accès aux conversations échangées sur ces messageries, lorsque les utilisateurs sont des personnes soupçonnées d’être des narcotrafiquants ou de grands criminels.
C’est tout l’objet d’un amendement de la proposition de loi visant à lutter contre le narcotrafic, introduit par le sénateur Cédric Perrin et soutenu par le Gouvernement. L’article 8 ter modifié viserait à mettre fin à la « différence de traitement entre les opérateurs téléphoniques, les fournisseurs de messageries et les opérateurs de messagerie cryptée », plaidait fin janvier le sénateur LR.
Il obligerait les messageries chiffrées comme Signal, WhatsApp ou Telegram à communiquer des données et des conversations de leurs utilisateurs aux autorités françaises et à leurs agents. Ces sociétés seraient « tenues de prendre, dans un délai n’excédant pas 72 heures, les mesures techniques nécessaires afin de permettre aux agents autorisés d’accéder au contenu intelligible (…) ». Les plateformes ne pourraient pas y échapper en avançant des « arguments contractuels ou techniques ou qui y feraient obstacle ».
L’amendement a provoqué une levée de boucliers du lobby français des fabricants d’appareils électroniques, des associations de défense des droits numérique, mais aussi de certains parlementaires. Eric Bothorel, le député français EPR, a expliqué sur son compte LinkedIn, jeudi 27 février, qu’il comptait bien introduire un amendement visant à supprimer l’article en question.
À lire aussi : Une porte dérobée dans WhatsApp, Telegram et Signal ? Une proposition de loi provoque une levée de boucliers
Pourquoi ne peut-on pas simplement créer une exception au chiffrement, pour les autorités ?
Pourquoi cette levée de boucliers ? Si les services chiffrés sont utilisés par les « criminels », ils permettent aussi à bon nombre de militants des droits de l’homme, de journalistes, d’opposants politiques, de citoyens et d’entreprises de communiquer en toute sécurité. Ils sont aussi un moyen de se défendre contre la surveillance et l’espionnage économique de certains États, de se prémunir de l’usurpation d’identité, du vol d’informations confidentielles, et de l’utilisation de nos données, partout dans le monde.
Mais pour comprendre le cœur de cette polémique, il faut surtout revenir sur la technologie du chiffrement, ce procédé qui rend un contenu illisible pour quiconque n’a pas accès à la clé de déchiffrement.
Si la proposition de loi sur le narcotrafic (modifiée par le Sénat) est adoptée telle quelle, les plateformes devraient trouver un moyen technique de rendre ces conversations visibles, et de les collecter. L’idée serait d’installer des portes dérobées qui ne seraient accessibles qu’aux services de renseignement ou d’investigation français. Mais en pratique, elles pourraient être empruntées par d’autres, comme des hackeurs, préviennent de nombreux experts en cybersécurité.
Pour Meredith Whittaker, la PDG de la messagerie chiffrée Signal, il ne peut pas y avoir d’entre deux. Soit la porte dérobée « permet à tout le monde d’entrer », soit le service de chiffrement est effectif (et fermé) : il « garantit le droit à la vie privée pour tout le monde. Soit cela fonctionne pour tout le monde, soit c’est cassé pour tout le monde », explique-t-elle dans les colonnes du média suédois SVT Nyheter, le 25 février dernier.
Même son de cloche chez Proton, la messagerie suisse chiffrée. Contacté par 01net.com, Raphaël Auphan, son responsable des Opérations, souligne que « la mise en place d’une porte dérobée qui laisserait entrer uniquement les autorités ou les personnes “autorisées” est tout bonnement impossible. La seule manière de pouvoir se mettre en conformité avec de telles dispositions serait d’affaiblir notre chiffrement, compromettre la sécurité de tous nos utilisateurs, privés et entreprises, et donc d’ouvrir une faille béante dans laquelle pourrait s’engouffrer tout type d’acteurs malveillants ».
En d’autres termes, si une exception au chiffrement, une porte dérobée, est créée, elle serait aussi empruntée par les malfrats, les pirates informatiques et les régimes répressifs. Cette possibilité n’est pas hypothétique. Elle s’est matérialisée aux États-Unis, en octobre dernier. Le Wall Street Journal a en effet révélé que des pirates chinois appartenant au groupe Salt Typhoon avaient utilisé des portes dérobées, mises en place pour des autorités locales, pour espionner des ressortissants américains.
À côté des entreprises proposant des services chiffrés, des autorités et des institutions européennes se sont aussi emparées du sujet. Et leurs conclusions sont sans équivoque. En février 2024, la Cour européenne des droits de l’Homme a estimé qu’affaiblir le chiffrement, à la demande des autorités, risquait de porter atteinte aux droits fondamentaux des citoyens — comme le droit d’avoir une vie privée.
Les CNILs européennes et le CEPD, une autorité indépendante chargée de contrôler la façon dont les institutions européennes protègent les données, ont aussi publié des avis tranchés, à propos du projet de règlement européen contre les abus sexuels sur les mineurs (CSAR), qui imposerait aussi des portes dérobées. « Les technologies de chiffrement contribuent de manière fondamentale au respect de la vie privée et de la confidentialité des communications, à la liberté d’expression, ainsi qu’à l’innovation et à la croissance de l’économie numérique », estiment-elles.
L’avis est partagé par la CNIL, l’autorité française chargée de défendre notre vie privée. « Aucune disposition ne devrait pouvoir être interprétée comme interdisant ou affaiblissant le chiffrement », expliquait-elle chez Contexte début février.
Si la loi est adoptée telle quelle, quelles options pour les messageries ?
Mais si l’article controversé est maintenu, qu’adviendra-t-il ? Pour répondre à cette question, nous nous sommes penchés sur la façon dont les plateformes avaient réagi dans d’autres pays face à ce type de loi. Nous avons aussi directement posé la question à Apple, Proton, Meta (WhatsApp) et Telegram : cette dernière n’avait pas répondu à nos demandes de commentaires, à l’heure de la publication de cet article.
Première possibilité : les plateformes acceptent d’installer ces backdoors
Imaginons donc, dans un premier scénario, que la proposition de loi avec l’article 8 Ter est adoptée en France. Les entreprises qui proposent dans l’Hexagone des messageries ou des services de chiffrement seraient alors contraintes de respecter la loi. Elles accepteraient d’installer ces backdoors pour les autorités françaises. Les enquêteurs auraient enfin accès aux conversations et aux documents des personnes soupçonnées d’avoir commis des actes de « délinquance et de criminalité organisées » – la terminologie actuelle de l’article 8 Ter modifié par le Sénat est bien plus vaste que la lutte contre le narcotrafic.
Ces éléments permettraient à la police et à la justice d’aller plus vite et d’identifier des réseaux, selon les défenseurs de la mesure. Mais dans un tel scénario, les criminels, qui se savent potentiellement écoutés, cesseraient d’utiliser ces messageries et ces services au profit d’autres moyens de communication imperméables aux oreilles des autorités – comme ils ont cessé de passer par les lignes téléphoniques et les messageries classiques.
D’un autre côté, tous les utilisateurs lambda de ces services, y compris les entreprises qui veulent protéger leurs secrets de fabrication et leurs informations confidentielles, seraient potentiellement surveillés par l’État, mais aussi par des hackeurs à des fins d’arnaque ou d’espionnage économique ou étatique. De quoi créer « une faille géante dans la sécurité des communications », déplore la Quadrature du Net.
Dans le passé, la Russie et la Chine ont déjà fait de ce scénario une réalité. Ces pays ont déjà demandé aux entreprises du chiffrement de « casser le chiffrement », et de collecter des conversations. Mais cette fois, ce sont des pays démocratiques qui l’envisagent, déplore Raphaël Auphan, à la tête des Opérations de la messagerie chiffrée suisse Proton.
Reste que pour la majorité des messageries et des services chiffrés, ce scénario n’aura pas lieu. Alors que le cœur de leur modèle économique repose sur la sécurisation et la confidentialité des conversations ou des données, nombre d’entre elles ont d’ores et déjà publiquement déclaré qu’elles n’installeront pas de porte dérobée, pour n’importe quel gouvernement. C’est le cas de Signal, de WhatsApp, d’Olvid, d’Apple et de Proton.
Raphaël Auphan, à la tête des Opérations de la messagerie chiffrée suisse, martèle ainsi que « Proton n’a jamais compromis et Proton ne compromettra jamais son chiffrement de bout-en-bout. Nous ne l’avons pas fait sous la pression de la Russie, de la Chine ou de l’Inde, et nous ne le ferons pas pour le Royaume-Uni, la France ou quelque État qui prendrait le même type de mesure. Nous sommes prêts à utiliser tous les recours possibles afin de résister à toute demande allant en ce sens, comme nous l’avons toujours fait ». Mais jusqu’où irait cette « résistance » ?
Deuxième possibilité : les plateformes chiffrées quittent la France
Certaines entreprises envisagent d’aller jusqu’à quitter un marché pour éviter d’avoir à « casser » leur chiffrement (deuxième scénario). Si le projet de loi contre le narcotrafic est adopté tel quel, les plateformes chiffrées pourraient alors quitter l’Hexagone. Quelques années plus tôt, Telegram a quitté la Russie pour ne pas avoir à communiquer des clés de chiffrement. Tout récemment, l‘hypothèse a été décrite par Signal, à propos de la Suède, explique le média américain The Register, reprenant une interview donnée au média suédois SVT Nyheter.
Dans le pays, une proposition de loi, destinée à combattre la pédocriminalité, contraindrait les messageries chiffrées à conserver les contenus des échanges pendant deux ans au maximum, à charge pour elles de les mettre à disposition des forces de l’ordre si elles le demandent. Face à une telle demande, la PDG de Signal, Meredith Whittaker, a d’ores et déjà prévenu qu’elle prendra la poudre d’escampette :
« Nous quitterions le marché avant de nous conformer à quelque chose qui compromettrait de manière catastrophique notre capacité à fournir des communications privées ».
La dirigeante avait déjà fait une déclaration similaire en 2022 à propos de l’Inde, puis en 2023 à propos du Royaume-Uni, qui discutait alors de la possibilité d’imposer des portes dérobées (« Online Safety Bill »).
Troisième possibilité : les entreprises du chiffrement désactivent leurs services chiffrés dans le pays
Troisième scénario possible : les messageries chiffrées pourraient cesser de proposer des services chiffrés pour ne pas avoir à « casser » le chiffrement. Cette option fait écho à un épisode qui s’est déroulé le mois dernier outre Manche.
Apple a en effet désactivé, après avoir été mis au pied du mur, « la fonction de protection avancée des données (ADP) d’iCloud pour les utilisateurs britanniques ». Celle-ci permet à l’utilisateur de stocker la quasi-totalité de ses données dans le nuage d’iCloud, en les chiffrant de bout en bout. Les autorités britanniques exigeaient du constructeur la création d’une porte dérobée pour accéder aux contenus d’iCloud, sur la base de « l’Investigatory Powers Act », ce qu’Apple aurait refusé. Contacté par 01net.com, Apple a déclaré, comme il l’avait déjà fait dans le passé, que : « nous n’avons jamais construit de porte dérobée ou de clé principale pour aucun de nos produits ou services et nous ne le ferons jamais ».
À lire aussi : iCloud : les données des utilisateurs anglais sont maintenant moins bien protégées par Apple
Mais pour certains, la marque à la pomme, qui a fait de la protection de la vie privée sa clé de voute, aurait pu contester par tout moyen la demande des autorités britanniques, au lieu de renoncer à proposer ce service chiffré aux utilisateurs britanniques. D’autant qu’Apple aurait pu s’appuyer sur Donald Trump : le président américain, qui refuse que toute législation européenne entrave d’une façon ou d’une autre ses champions américains, a d’ailleurs prévenu que Londres « ne pouvait pas faire ça », rapporte le magazine politique The Spectator, vendredi 28 février. Le choix du groupe californien au Royaume-Uni pourrait être un tournant : il pourrait avoir un effet domino dans d’autres pays européens, y compris en France.
Pour éviter d’avoir à casser leur chiffrement, d’autres entreprises renonceraient, l’une après l’autre, à proposer leurs services chiffrés. Dans un tel scénario pour l’instant hypothétique, les Français seraient alors privés de WhatsApp, Signal, Telegram, Olvid, Proton, ce qui les obligerait à communiquer sur des plateformes non chiffrées, susceptibles d’être surveillées par des services étatiques, mais aussi par des hackeurs.
On le voit, tous les scénarios envisagés semblent aboutir au même résultat, que les plateformes mettent en place des backdoors, qu’elles choisissent de désactiver les fonctionnalités chiffrées, ou encore de quitter un marché pour ne pas avoir à le faire. D’un côté, le caractère privé de nos conversations s’estomperait inexorablement. De l’autre, la lutte contre la grande criminalité n’en serait pas forcément améliorée. Le jeu en vaut-il la chandelle ? La proposition de loi sera débattue à l’Assemblée nationale, le 17 mars prochain.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
