Dans le cadre d'un projet de loi pour lutter contre la cybercriminalité, la CE veut revoir le chiffrement de bout-en-bout. Une mauvaise décision, selon Timothée Rebours pour qui un tel projet portera atteinte aux libertés individuelles des utilisateurs et ne réglera en aucun cas le problème des cybermenaces.
Actuellement, la Commission européenne concocte une proposition de loi visant à contrôler l'utilisation du chiffrement de bout en bout afin de lutter contre la criminalité. Pour la CE, l'identification des cybercriminels, et notamment des terroristes et pédophiles, ne pourra se faire sans l'interception de conversations et d'échanges d'images illicites sur internet. Or, si combattre ces agissements est une priorité absolue, nous sommes convaincus que remettre en cause cette technologie n'est pas la solution. C'est pourquoi, plusieurs associations comme l'EDRI, Encryption Europe [1] ou l'EFF [2] s'élèvent aujourd'hui contre cette proposition de la CE estimant que non seulement elle ne réglera en rien la criminalité, mais qu'elle présente, de plus, une dangerosité pour la protection de la vie privée et les libertés individuelles des citoyens.
Le chiffrement de bout-en-bout est la meilleure garantie contre les pirates
Pour bien saisir la situation, rappelons la finalité et le fonctionnement de cette technologie. Né dans les années 90 avec PGP, le chiffrement de bout en bout a pour objectif d'assurer à tout internaute la lecture de ses messages par ses seuls destinataires. Grâce à des clés de chiffrement, cette technologie permet donc de protéger le message de bout en bout garantissant ainsi qu'aucune personne tierce ne peut déchiffrer une conversation, y compris l'opérateur de l'application ou le fournisseur d'accès à internet. Une sécurité plébiscitée par tous les utilisateurs et présente aujourd'hui dans la majorité des applications dont l'emblématique WhatsApp qui en a fait sa punchline.
Mais aujourd'hui, la CE remet en cause cette protection en demandant aux éditeurs de solutions de permettre, à une autorité, d'accéder, via des portes dérobées, aux messages échangés dans le cas de suspicion de contenus criminels. Si cette requête est certes compréhensible, on ne peut, en revanche, que craindre d'éventuels dérapages. Où s'arrête cette surveillance ? À quels sujets ? Qui peut être surveillé ? Comment être sûr qu'une autorité quelconque ne va pas traquer des conversations politiques ou cibler des opposants ? Cette crainte se justifie d'autant plus que les pédophiles et les cybercriminels n'hésitent pas à se rabattre sur des applications devenues illégales dotées de chiffrement de bout en bout pour poursuivre leurs actions. Ces agresseurs ne sont donc pas inquiétés, là où l'utilisateur lambda, celui qui veut juste exprimer une position différente de celle du pouvoir pourra être fiché.
Jamais un attentat n'a été déjoué suite à l'interception de messages sur le web
Nous sommes convaincus que dans les affaires de criminalité, que ce soit du terrorisme ou de la pédophilie, seul le travail d'enquête de la police porte ses fruits. A titre d'exemples rappelons que seules les longues investigations de la police ont permis de démanteler en 2019 le site Welcome to Video [3] de pédophilie abrité sur le dark web et que la NSA n'a jamais pu anticiper un attentat malgré les interceptions de conversations sur le web suite au 11 septembre 2001 [4] . Nous avons donc la certitude que légiférer sur le devoir de déployer des portes dérobées ne résoudra pas le problème. Seules l'éducation du public, l'aide aux victimes et la coopération policière transfrontalière permettront de déjouer ces crimes.
Dans ce contexte, nous demandons à la CE de porter le sujet dans l'espace public, pour que chaque citoyen puisse s'exprimer. Pour cela des consultations et réunions ouvertes doivent être organisées afin d'expliquer à l'ensemble des citoyens européens les tenants et les aboutissants de cette technologie pour qu'ils puissent, en toute connaissance de causes, réfléchir à de nouvelles solutions.
Non seulement le sujet est d'importance puisqu'il en va de la liberté de chacun mais de plus il est étonnant, pour une institution à l'origine du règlement pour la protection des données personnelles (RGPD), de constater qu'elle puisse aujourd'hui remettre en cause la confidentialité des échanges.