La proposition de la Commission Européenne, soumise en mai dernier et visant à lutter contre les matériels relatifs aux abus sexuels commis sur des enfants en ligne, soulève des inquiétudes, parmi lesquelles le fait qu’elle compromet la sécurité et la protection de tous, y compris celles des plus jeunes.
Sans le chiffrement, les citoyens européens courent un réel danger
Partout en Europe, les gouvernements cherchent à élaborer une réponse solide au fléau que constituent les contenus relatifs aux abus sexuels commis sur des enfants en ligne. Dans cette optique, les responsables de l’action publique de l’Union Européenne (UE) se sont concentrés sur les cibles habituelles de ce type de législation, à savoir les plateformes de messagerie privée telles que Signal, WhatsApp, Snapchat et Facebook.
La proposition de la Commission Européenne obligera ces plateformes de messagerie à accéder aux données et aux messages privés dans le but d’y détecter des cas d’abus sexuels commis sur des enfants. En théorie, les utilisateurs continueront à bénéficier de la confidentialité et de la sécurité que permet le chiffrement, tout en empêchant les criminels et les auteurs d’abus pédopornographiques d’exploiter les plateformes en ligne, grâce à des raccourcis techniques.
C’est un vœu pieux. Pour les fournisseurs de services, la seule façon de se conformer au règlement de l’UE consisterait donc à affaiblir le chiffrement de bout en bout (E2EE) pour tous, une décision catastrophique qui nuira à Internet, aura des répercussions économiques et portera atteinte à la sécurité et à la vie privée des internautes en Europe et au-delà — y compris les enfants que la législation entend protéger.
Une fois le chiffrement compromis, il sera en effet impossible de faire machine arrière. La totalité des données et des communications en ligne seront exposées au vu et au su des gouvernements et de tiers qui pourront les consulter — et ne s’en priveront pas.
Cette proposition sonnera le glas de la vie privée et de la sécurité en Europe
La Commission soutient que son approche est compatible avec le chiffrement de bout en bout (E2EE). Or, aucune technologie ne permet aux fournisseurs de services d’offrir cet accès tout en garantissant un chiffrement fort. Pour assurer leur conformité, ils devront soit compromettre le chiffrement, soit en affaiblir les possibilités en utilisant des technologies d’analyse côté client, lesquelles balaient le contenu des téléphones des utilisateurs avant l’envoi d’un message.
Ce débat n’est pas nouveau. Depuis plusieurs années, les forces de l’ordre réclament des « portes dérobées » dans le chiffrement en dépit des avertissements de la communauté des cyber-experts, qui soulignent les risques induits en termes de sécurité. En réponse, les décideurs politiques privilégient de plus en plus des techniques comme l’analyse côté client.
Le chiffrement est indispensable pour préserver la confidentialité et la sécurité de nos activités en ligne. Il permet de partager en toute confiance les données financières, les dossiers médicaux et les informations personnelles, en ayant la certitude que ces données sensibles ne seront pas interceptées et que les messages privés le resteront. En matière de chiffrement fort, le chiffrement de bout en bout E2E représente le nec plus ultra de la sécurité dans un contexte où nos faits et gestes sont de plus en plus dématérialisés.
Des solutions, telles que l’analyse côté client, sapent en profondeur l’objectif du chiffrement E2E en permettant à un inconnu d’accéder à des informations considérées comme privées. Les citoyens européens seront ainsi exposés à de nouvelles escroqueries et cyberattaques en ligne, tandis que les données et les communications de leurs enfants pourront être piratées par les auteurs d’abus que la proposition tente de stopper.
Une proposition qui pénalise les entreprises européennes
Les entreprises européennes devront répondre à une série d’exigences coûteuses pour créer des systèmes onéreux et techniquement complexes d’analyse et de portes dérobées de chiffrement. Seuls les grands fournisseurs pourront procéder à de tels investissements, confortant ainsi leur domination sur le marché et tuant dans l’œuf les ambitions de nombreuses startups européennes.
La proposition limitera également la manière dont les entreprises peuvent utiliser le chiffrement E2E pour de nouvelles technologies et de nouveaux produits, ce qui aura pour effet de freiner l’innovation dans tous les secteurs d’activité et de laisser l’Europe à la merci des géants de la Silicon Valley. En deux mots, cette proposition risque d’anéantir les ambitions affichées par l’UE pour la décennie numérique.
Une proposition qui ouvrira les vannes de la surveillance généralisée
Les internautes pourront être plus facilement surveillés par l’État et d’autres acteurs. Pour les citoyens d’Europe centrale et de l’Est qui ont vécu la surveillance analogique et les représailles politiques, une telle proposition constituerait un terrible recul des libertés chèrement acquises par les générations précédentes.
Par ailleurs, les membres de la communauté LGBTQI+, les victimes d’abus et d’agressions, les réfugiés et les groupes minoritaires qui sont la cible de discriminations ou d’attaques ne pourront plus trouver refuge sur Internet. Des professions, comme les journalistes qui dépendent du chiffrement pour garantir leur sécurité et protéger leurs sources, se heurteront à d’importantes difficultés pour enquêter sur la corruption et la criminalité. À cet égard, l’assassinat du journaliste slovaque Ján Kuciak en février 2018, et celui de sa consœur maltaise Daphne Caruana Galizia en octobre 2017, rappellent les risques qu’affrontent les reporters et les journalistes d’investigation.
La valeur du chiffrement fort en tant qu’outil de sécurité et de protection de la vie privée a été mise en évidence dès les premiers jours du conflit en Ukraine, lorsque des milliers de personnes ont téléchargé des services de messagerie chiffrés de bout en bout pour communiquer avec leurs parents et leurs proches en toute sécurité.
La riposte
Heureusement, des signes de mécontentement se font sentir à Bruxelles. Le Contrôleur européen de la protection des données (CEPD) et le Comité européen de la protection des données (EDBP) ont publié un avis conjoint à propos de la proposition relative aux abus sexuels commis sur des enfants, qualifiant de « disproportionnés » les efforts visant à porter atteinte au chiffrement E2E et déclarant que le chiffrement contribue « de manière fondamentale au respect de la vie privée et à la confidentialité des communications ».
Plusieurs membres du Parlement européen se sont également exprimés. L’eurodéputé allemand Patrik Breyer a qualifié les mesures proposées de « surveillance de masse » et averti que les failles qu’elle ne manquerait pas de créer « risquent d’être exploitées par quiconque dispose des moyens techniques nécessaires, par exemple des criminels ou des services de renseignement étrangers ». Ivan Bartoš, vice-premier ministre chargé du numérique de la République tchèque, la Coalition mondiale pour le chiffrement (Global Encryption Coalition) et l’Initiative européenne pour les droits numériques (EDRI) l’ont soutenu dans sa démarche.
Il est impératif que chaque citoyen européen s’élève contre cette proposition et contre l’idée destructrice selon laquelle l’élimination de la confidentialité et de la sécurité en ligne mettra un terme à la criminalité et aux problèmes sociétaux. Si une solution est nécessaire, la disparition du chiffrement aura des conséquences que nous ne sommes certainement pas prêts à encaisser. La Commission européenne doit revoir sa copie. Le chiffrement de bout en bout est notre meilleure défense, et il est de notre devoir de le protéger.