Les États membres de l’UE souhaitent avoir plus de compétences afin de pouvoir examiner les discussions instantanées cryptées, comme le révèle un projet de résolution du Conseil de l’Union européenne. Un article d’Euractiv Allemagne.
Bien qu’il ne s’agisse encore que d’une volonté politique devant être adoptée en décembre, les organisations de sociétés civiles redoutent que sonne le glas du chiffrement de bout en bout, établi à la suite des « Crypto Wars » dans les années 1990.
Le chiffrement de bout en bout, ou « End-to-End (E2E) », c’est quoi ? Pour faire simple, il s’agit d’une fonctionnalité permettant de protéger les données contre toute tentative de détournement au cours de l’envoi d’un message entre une personne A et une personne B : le contenu est chiffré localement, avant d’être envoyé sur le réseau. Seuls les appareils de l’auteur et du destinataire disposent d’un code leur permettant de lire les informations transférées.
C’est aussi la raison pour laquelle les programmes dits « chevaux de Troie gouvernementaux » sont tant appréciés par les autorités – ils leur permettent de passer outre le chiffrement des applications de messagerie, et ce en plaçant le dispositif sur le terminal cible. Bien que l’outil soit utilisé en Allemagne, il est interdit en Autriche depuis 2019.
« Meilleur équilibre » entre la sphère privée et la lutte contre la criminalité
L’UE soutient encore un renforcement de l’E2E, car il constitue le point d’ancrage de la confiance en la numérisation, indique le document.
Toutefois, cette position du bloc confronte les autorités judiciaires des nations européennes à de nouveaux défis, car celles-ci « s’appuient de plus en plus sur des preuves numériques afin de contrer efficacement le terrorisme, le grand banditisme, la pédopornographie et toute autre forme de cybercriminalité ».
Aux yeux des États, le « End-to-End » représente donc un réel obstacle. « Il rend l’examen de contenu communicationnel très laborieux, voire quasi impossible. Il ne serait pourtant pas contraire à la loi d’avoir accès à ces données ». C’est pourquoi « les autorités compétentes » devraient offrir la possibilité de lire ces renseignements cryptés, afin de lutter – entre autres – contre le terrorisme.
Les solutions techniques à élaborer pour ce faire doivent encore faire l’objet de discussions, notamment avec les fournisseurs tels que Facebook, Twitter ou Signal.
La protection des droits fondamentaux de la population doit rester au cœur de chacune des parties concernées. C’est pourquoi le projet de résolution répète que seul l’accès légal aux données devrait être autorisé.
Quelles options envisager ?
Les arguments mis en avant par le Conseil ne convainquent pas Thomas Lohninger, fervent défenseur de la protection de données en Autriche et chef d’« epicenter.works », une ONG spécialisée dans la politique numérique.
« Il n’est pas possible de lever la fonctionnalité simplement pour examiner des messages à caractère malveillant. Il ne s’agit pas ici d’un problème juridique, mais d’une réalité technologique ».
Thomas Lohninger, responsable d’epicenter.works
Comment les États vont-ils alors procéder sur le plan technique ? La question reste ouverte, car peu d’options sont envisageables.
Ceux-ci souhaiteraient coopérer avec les sociétés numériques afin d’introduire une porte dérobée à l’E2E, une « clé tierce » parallèle à celle que détiennent l’auteur et le destinataire. Ce dispositif devrait d’abord être développé par les prestataires de services et ensuite mis à disposition des services de sécurité.
Jusqu’à présent, les plateformes étaient en mesure de s’opposer à de telles demandes, qui nuisent à la sécurité de leurs produits. D’après M. Lohninger, le projet de résolution laisse toutefois entendre que les États ont sorti l’artillerie lourde sur le plan juridique dans le but de rendre la coopération contraignante.
Parmi les inquiétudes soulevées, le représentant d’« epicenter.works » craint que l’utilisation première d’une telle « clé » soit par la suite détournée.
Pour qui ?
« La création d’une telle clé suscitera la convoitise », soutient l’expert. Ainsi, des États tiers dont les systèmes juridiques sont moins solides, comme l’Arabie Saoudite ou la Chine, pourraient se procurer ce Saint-Graal numérique. Au sein même du navire européen figurent des acteurs entre les mains desquels M. Lohninger ne préférerait pas voir la clé : les services de renseignements.
Les « autorités judiciaires » figuraient toujours au centre des premiers projets de loi sur la surveillance. Désormais, il est plutôt question d’« autorités compétentes », autrement dit de services de renseignement, comme le « Bundesnachrichtendienst » allemand (BND). Bien qu’ils soient théoriquement soumis à l’État de droit, ils manquent souvent de transparence dans leurs actions.
Ainsi en mai 2019, le BND a été rappelé à l’ordre par la Cour constitutionnelle, considérant que leurs pratiques d’espionnage des personnes à l’étranger étaient contraires à la loi.
Le militant Viktor Schlüter est également inquiet à cet égard. « C’est comme si l’on ordonnait que les courriers épistolaires ne soient pas rédigés dans un style trop ornementé afin d’être mieux interceptés et lus », a fait valoir le cofondateur de l’initiative « Digitale Freiheit [Liberté numérique] » auprès d’Euractiv Allemagne. Il se demande en outre comment il est possible « qu’après des attaques, dans lesquelles les autorités ont commis des erreurs, ces mêmes autorités se voient attribuer davantage de compétences en matière de surveillance ».
Dans le cas de l’attentat à Vienne, les services autrichiens de renseignement du pays (BvT) sont sous pression : d’une part, l’assaillant était connu des autorités ; d’autre part, Bratislava avait mis en garde le BvT contre le fait que celui-ci avait acheté des munitions sur le territoire slovaque. Une commission d’enquête a été mandatée afin de définir leur responsabilité des dans l’attaque. Tandis qu’Erich Zwetter, responsable de la lutte antiterroriste à Vienne, a déjà démissionné, l’opposition appelle aussi au retrait du ministre de l’Intérieur Karl Nehammer (ÖVP).
Dans tous les cas, le projet de résolution est désormais entre les mains des groupes de travail du Conseil. Les États peuvent encore s’y opposer.
Laisser un commentaire
