Les ordres du sommet : Le programme de l’UE pour démanteler le chiffrement de bout en bout

Posted on


Ceci est une republication en français de l’article de l’EFF « Orders from the Top: The EU’s Timetable for Dismantling End-to-End Encryption »

Aux États-Unis, ces derniers mois, un flux continu de propositions de lois, incitées et encouragées par le discours du FBI et du Département de la Justice, est venu prôner un « accès légal » aux services chiffrés de bout en bout. Ce mouvement de lobbying est récemment passé des États-Unis, où le Congrès est complètement paralysé par la polarisation critique de la société, à l’Union Européenne, où le lobby anti-chiffrement espère pouvoir passer plus facilement. Plusieurs documents qui ont fuité des plus hautes instances de l’UE montrent un plan d’action en ce sens, avec l’apparente intention de présenter une loi anti-chiffrement au parlement européen dès l’année prochaine.

Les premiers signaux de ce retournement de l’Union européenne — qui soutenait jusqu’alors les technologies de protection de la vie privée comme le chiffrement de bout en bout — datent de juin 2020, avec le discours de Ylva Johansson, commissaire européenne aux affaires intérieures.

Lors d’une conférence en ligne sur la lutte contre la pédophilie et l’exploitation des enfants, Johannsson avait appelé à une « solution technique » à ce qu’elle décrit comme le « problème » du chiffrement et annoncé que son bureau avait réuni « un groupe spécial d’experts issus du monde académique, des gouvernements, de la société civile et des entreprises afin de trouver des manières de détecter et de signaler les contenus pédophiles chiffrés ».

Le rapport a ensuite été fuité via Politico. Il fournit une liste de procédés inavouables et tortueux pour ateindre cet objectif impossible : permettre aux Etats d’accéder aux données chiffrées, sans pour autant casser le chiffrement.

En haut de cette liste bancale, on trouve, comme cela fut en effet proposé aux États-Unis, le scan côté client. Nous avons déjà expliqué en quoi le scan côté client est tout bonnement une porte dérobée (ou « backdoor ») qui ne dit pas son nom. Un code informatique inaltérable qui tourne sur votre terminal (ordinateur ou téléphone), et compare en temps réel le contenu de vos messages avec une liste noire de mots (liste dont le contenu est secret et impossible à auditer : voilà qui est en contradiction complète avec l’expression « chiffrement de bout en bout », censée garantir une protection de la vie privée. La même approche est d’ailleurs utilisée par la Chine pour suivre les conversations politiques sur des services comme WeChat. Cette technique n’a pas sa place dans un outil qui prétend protéger la confidentialité des conversations privées.

Tout gouvernement qui utiliserait cette technique franchirait un pas décisif dans l’intrusion. Pour la première fois en dehors d’un régime autoritaire, l’Europe déclarerait quels programmes de communication par Internet sont légaux et lesquels ne le sont pas. Même si les propositions de loi étaient les meilleures solutions possibles imaginées par les meilleurs chercheurs appliqués à résoudre cette quadrature du cercle, la solution serait toujours trop agressive pour en faire une réglementation applicable politiquement, même avec le soi-disant objectif de lutter contre la pédophilie comme l’assurait Johannsson.

Le sujet exige une avancée politique concertée, et les instances supérieures de l’Union Européenne se préparent pour la bataille. Fin septembre, Statewatch a publié une note, maintenant diffusée par la présidence allemande de l’UE, intitulée « La sécurité via le chiffrement et la sécurité malgré le chiffrement » qui invite les états membres à se mettre d’accord sur une nouvelle position commune au sujet du chiffrement avant la fin de l’année 2020.

Tout en concédant que « l’affaiblissement du chiffrement par quelconques moyens (incluant les portes dérobées) n’est pas une option souhaitable », la note de la présidence cite explicitement une note du Coordonnateur du Contre-Terrorisme (CCT) de l’Union Européenne, écrite en mai et divulguée par NetzPolitik.org, site allemand d’actualité et de défense des libertés sur Internet. Cette publication appelle à la création d’une « front-door », c’est-à-dire une solution d’accès dédié, autorisant la lecture légale des données chiffrées par les forces de police, sans imposer toutefois de solutions techniques particulières aux fournisseurs de services.

Le CCT souligne ce qui serait nécessaire pour légiférer sur ce cadre légal :

L’UE et ses Etats membres devraient prendre position de manière croissante dans le débat public sur le chiffrement, dans le but de l’orienter selon un angle juridique et policier…
Cela éviterait un débat à sens unique mené par le secteur privé et les organisations non gouvernementales. Cela pourrait impliquer de s’engager auprès de groupes militants, y compris des associations de victimes qui relateraient les efforts gouvernementaux dans ce domaine. S’engager au parlement européen sera aussi important pour préparer le terrain d’une possible légifération.

Un discours de la Commissaire Johannsson qui établit un lien entre la remise en cause des messageries sécurisées et la protection des enfants ; une publication appelant à des « solutions techniques » pour tenter de briser le front d’opposition ; et, dans un futur proche, une fois que l’UE aura publié sa nouvelle position commune sur le chiffrement, un lobbying concerté pour inciter les membres du parlement européen à adopter ce nouveau cadre légal ; tout cela correspond parfaitement aux étapes proposées par le Coordonnateur du Contre-Terrorisme.

Nous en sommes aux toutes premières étapes d’une longue charge anti-chiffrement aux plus hauts niveaux de l’UE, pour forcer la porte des conversations sécurisées des européens. La Grande-Bretagne, l’Australie et les États-Unis suivent la même voie. Si l’Europe veut conserver son statut de juridiction sacralisant la vie privée, il faudra donc se battre.