Sergey Nivens - Fotolia
Projet de règlement anti-terroriste : une énième attaque contre le chiffrement ?
La Quadrature du Net s’alarme de la manière dont est formulé le texte, définissant des obligations pour les contenus mis à disposition de tiers et pas uniquement du public. De quoi, selon elle, attaquer les communications privées.
Le glas est-il en train de sonner sur les systèmes de communications personnelles chiffrés de bout en bout, en Europe? C’est l’inquiétude de la Quadrature du Net. L’association s’alarme ainsi du projet de règlement européen présenté par la Commission européenne mi-septembre sur « la prévention de la diffusion de contenus à caractère terroriste en ligne ».
Car celui-ci présente une subtilité : il n’est pas question de seulement responsabiliser les fournisseurs « de services de la société de l’information » qui seraient susceptibles de diffuser ce type de contenus au public : comme le mentionne le projet, il s’agit de viser ceux qui « stockent des informations fournies par un destinataire de ces services à sa demande et en mettant les informations stockées à la disposition de tiers indépendamment de la nature purement technique, automatique ou passive de cette activité ».
« De tiers ». Pour la Quadrature du Net, toute la subtilité tient à l’utilisation de ce terme, qui décrit quelque chose de distinct « du public ». Car « tiers » ne décrit pas forcément un destinataire public ; il peut être privé. Alors pour l’association, le texte recouvre les contenus « qui sont transmis à tout tiers, cela signifie qu’il peut s’appliquer à des services de courriers électroniques, comme les mails et les messageries instantanées […] Ces derniers, au moins jusqu’à la consultation du message, stockent en effet un contenu fourni par un utilisateur afin de le mettre à disposition d’un ou plusieurs tiers ».
Pour la Quadrature du Net, les services de communications personnelles « seront alors, comme les autres acteurs de l’Internet (forums, réseaux sociaux, blogs…), soumis aux obligations de retrait et de censure automatisée prévues par le règlement ». Une approche difficilement conciliable avec le chiffrement de bout en bout de ces échanges, tel que beaucoup le pratiquent aujourd’hui.
Vu sous cet angle, le texte laisse effectivement la part belle aux tenants d’une logique de « points de clair », selon l’expression de Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi). On pouvait comprendre, en lisant entre les lignes, que Patrick Pailloux, son prédécesseur à ce poste, aujourd’hui à la tête de la directeur générale de sécurité intérieure (DGDE), en était un adepte. Ou du moins qu’il n’a pas grand-chose contre le concept.
Pour la Quadrature du Net, ce texte pourrait offrir au gouvernement « une manière détournée de gagner un combat qu’il mène depuis longtemps […] celui de la lutte contre le chiffrement de nos conversations ».
L’association demande le rejet du texte. Mais il est vrai que les charges contre le chiffrement de bout en bout des communications personnelles ne sont pas nouvelles, ni taries. Leur dernière expression en date remonte au début du mois de septembre, par ceux que l’on appelle les Fives Eyes, à savoir l’Australie, le Canada, les Etats-Unis, la Nouvelle-Zélande et le Royaume-Uni.
En janvier 2017, au Forum International de la Cybersécurité (FIC), à Lille, Bruno Le Roux, alors ministre de l’Intérieur, se voulait lui aussi rassurant, expliquant que le chiffrement « reste indispensable et ne saurait être remis en question ». Mais dans le même temps, il appelait à « réfléchir à des solutions dans le plein respect des droits fondamentaux » pour répondre aux besoins des enquêteurs judiciaires.