À une semaine de l’examen en commission des lois de la proposition de loi visant à lutter contre le narcotrafic, les défenseurs du chiffrement militent tous azimuts contre un de ses articles qui obligerait les messageries chiffrées à installer une porte dérobée. Comme l’a révélé L’Informé, mardi 25 février, l’Alliance Française des Industries du Numérique (AFNUM) qui compte parmi ses membres Apple, HP, AWS ou Samsung, demande dans un courrier la suppression d’un amendement controversé, soutenu par le Gouvernement.
Le texte, introduit par Cédric Perrin (LR), le président de la commission des Affaires étrangères et de la Défense au Sénat, obligerait les messageries chiffrées comme Signal, WhatsApp ou Telegram à communiquer des données de leurs utilisateurs aux autorités françaises et à leurs agents du renseignement. Sur ce type de plateformes, seuls l’expéditeur et le destinataire peuvent avoir accès au contenu des messages, grâce à une clé qui permet de les déchiffrer. Ni les plateformes, elles-mêmes, ni les forces de l’ordre, ne peuvent avoir connaissance des contenus échangés, y compris lorsqu’ils proviennent du grand banditisme ou de pédocriminels.
Aux États-Unis, une porte dérobée similaire a été utilisée par des hackers chinois
De quoi mettre vent debout une partie de la classe politique, qui milite depuis des années pour « casser » le chiffrement au titre de la lutte contre le terrorisme, le grand banditisme ou encore la pédocriminalité. Cette fois, la proposition de loi contraindrait les plateformes à installer une porte dérobée pour capter ses messages, à des fins de « lutte contre la criminalité et la délinquance organisées ».
Si l’AFNUM explique « comprend(re) le besoin pour les autorités judiciaires de disposer de certaines informations », elle rappelle qu’une telle porte pourrait aussi être empruntée par des acteurs malveillants, comme cela a été le cas aux États-Unis quelques mois plus tôt. En octobre dernier, une enquête du Wall Street Journal montrait que des hackers chinois avaient utilisé des portes dérobées mises en place pour les services de renseignement outre-Atlantique, pour espionner des ressortissants américains.
« Aucune disposition ne devrait pouvoir être interprétée comme interdisant ou affaiblissant le chiffrement »
Et c’est justement ce que veut éviter l’organisation française qui représente les intérêts des fabricants d’appareils électroniques. Avec un tel article, « les industriels n’auront d’autre choix que de créer une faiblesse dans le chiffrement afin de pouvoir récupérer la clé de déchiffrement ». Résultat, il entraînerait « une dégradation substantielle de la confidentialité et de la sécurité des échanges par voie électronique ». Dans la lettre adressée à des membres du Gouvernement et du Parlement, l’organisation plaide pour que la Cnil, l’Arcep (l’autorité en charge des télécoms) et l’Anssi (le gendarme de la cybersécurité) soient saisis avant tout débat à l’Assemblée nationale.
La CNIL estime de son côté qu’« aucune disposition ne devrait pouvoir être interprétée comme interdisant ou affaiblissant le chiffrement ». Interrogé par Contexte début février, le gendarme français de notre vie privée a renvoyé à deux avis de deux autorités européennes en charge de la protection des données, l’EDPB et l’EDPS. Ces dernières avaient rappelé en 2022, à propos d’un article similaire du règlement européen contre les abus sexuels sur les mineurs, que « les technologies de chiffrement contribuent de manière fondamentale au respect de la vie privée et de la confidentialité des communications, à la liberté d’expression, ainsi qu’à l’innovation et à la croissance de l’économie numérique ».
À lire aussi : L’Europe met en pause son projet d’imposer aux messageries chiffrées le scan de nos conversations en ligne (2024)
« Impossible de construire une porte dérobée que seuls les “gentils” peuvent utiliser »
Dans le rang des opposants à la mesure, on compte aussi l’association de défense des droits numériques, la Quadrature du Net, ou des messageries chiffrées comme Olvid. « Une backdoor “sûre” est techniquement impossible à réaliser », rappelait la plateforme trois semaines plus tôt sur LinkedIn, lors de l’adoption de l’amendement.
Même topo chez la présidente de Meredith Whittaker, à la tête de la messagerie chiffrée Signal. Pendant le sommet sur l’IA de Paris, cette dernière avait directement interpellé nos dirigeants politiques, en lançant : « À quoi pensez-vous ? N’avez-vous rien appris des récents piratages ? Vous pensez que seuls les gentils auront accès (à la porte dérobée, NDLR) ? ».
Dans un post sur X, elle rappelait, cette fois à propos de la proposition du règlement européen visant à lutter contre les abus sexuels sur mineurs qu’il « est impossible de construire une porte dérobée que seuls les “gentils” peuvent utiliser. Lorsque l’ensemble de la communauté tech affirme que la législation européenne sur le « Chat Control » (le règlement sur les abus sexuels visant les mineurs NDLR) de l’UE et d’autres mesures similaires constituent de graves menaces pour la cybersécurité, il ne s’agit pas d’une exagération ».
Parmi d’autres opposants, on compte aussi les députés français Eric Bothorel (LREM) et Philippe Latombe (Modem). Guillaume Pompard, ancien directeur de l’Anssi, rappelait, sur son compte LinkedIn, qu’affaiblir des mécanismes cryptographiques, ou introduire volontairement des mécanismes de contournement (du chiffrement) sont « systématiquement susceptibles d’être exploités par des attaquants aux profils variés ». Ces arguments suffiront-ils à convaincre les parlementaires ? La proposition de loi sera débattue à l’Assemblée nationale, le 17 mars prochain.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
