La Cour européenne des droits de l'homme (CEDH) a déclaré que l'introduction de portes dérobées dans les applications de messagerie chiffrées pour déchiffrer les communications privées viole les droits de l'homme. Elle s'oppose à un affaiblissement du chiffrement de bout en bout, car cela risque de porter atteinte aux droits de l'homme de manière disproportionnée. La décision de la Cour pourrait potentiellement perturber les projets de la Commission européenne, qui vise à exiger des fournisseurs de services de messagerie chiffrés qu'ils créent des portes dérobées qui permettraient aux forces de l'ordre d'espionner les contenus des communications des utilisateurs.La Commission européenne est en guerre contre le chiffrement de bout en bout de quelques années déjà. L'institution de l'Union européenne affirme que le chiffrement de bout en bout protège les criminels, les terroristes et les pédocriminels. Pour la Commission européenne, le chiffrement de bout en bout est le principal obstacle dans la lutte contre les agresseurs d'enfants en ligne. Ainsi, elle exige que les fournisseurs créent des portes dérobées dans leurs services de messagerie chiffrés pour permettre aux forces de l'ordre d'espionner les conversations privées des utilisateurs. La proposition est dénoncée par les entreprises.
Cette semaine, la CEDH a pris le parti des entreprises qui s'opposent aux exigences de la Commission européenne. La CEDH a déclaré que le chiffrement aide les citoyens et les entreprises à se protéger contre le piratage, le vol d'identité et de données personnelles, la fraude et la divulgation non autorisée d'informations confidentielles. Et les portes dérobées pourraient être exploitées par des réseaux criminels et compromettraient gravement la sécurité des communications électroniques de tous les utilisateurs. Par conséquent, l'affaiblissement général du chiffrement de bout en bout est contraire aux droits de l'homme.
La CEDH a déclaré qu'il existe d'autres solutions pour surveiller les communications chiffrées sans affaiblir de manière générale la protection de tous les utilisateurs. Elle a cité comme exemples l'utilisation de vulnérabilités dans le logiciel de la cible ou l'envoi d'un dispositif implantable sur les appareils ciblés. Patrick Breyer (Parti Pirate), membre du Parlement européen et défenseur de la liberté numérique, affirme : « avec ce jugement historique, la surveillance, par balayage côté client de tous les smartphones, proposée par la Commission européenne dans son projet de loi sur le contrôle du chat est clairement illégale ».
Il a ajouté : « elle détruirait la protection de chacun au lieu d'enquêter sur les suspects. Les gouvernements de l'UE n'auront désormais d'autre choix que de retirer la destruction du chiffrement de leur position sur cette proposition, ainsi que la surveillance indiscriminée des communications privées de l'ensemble de la population. Le chiffrement sauve des vies. Sans le chiffrement, nous ne pouvons jamais savoir si nos messages ou nos photos sont divulgués à des personnes que nous ne connaissons pas et en qui nous ne pouvons pas avoir confiance ». Il appelle toutes les parties concernées à poursuivre la contestation.
La décision de la CEDH est intervenue après que l'agence de renseignement russe, le Service fédéral de sécurité (FSB), a commencé à exiger de Telegram qu'il partage les messages chiffrés des utilisateurs pour dissuader les activités liées au terrorisme en 2017. Un utilisateur russe de Telegram a allégué que l'exigence du FSB violait ses droits à une vie privée et à des communications privées, ainsi que les droits de tous les utilisateurs de Telegram. La plainte de l'utilisateur est intervenue après que Telegram a refusé de se conformer à l'ordre du FSB de déchiffrer les messages de six utilisateurs soupçonnés de terrorisme.
Telegram a expliqué : « il était techniquement impossible de fournir aux autorités les clés de chiffrement associées à des utilisateurs spécifiques et, par conséquent, toute divulgation des clés de chiffrement affecterait la confidentialité de la correspondance de tous les utilisateurs de Telegram ». Pour avoir refusé d'obtempérer, Telegram s'est vu infliger une amende et un tribunal russe a même ordonné le blocage de l'application dans le pays. Cela a suscité la colère des utilisateurs russes de Telegram, dont certains se sont mobilisés pour contester l'ordonnance afin de maintenir ouverts les services de Telegram en Russie.
En fin de compte, les multiples recours des utilisateurs ont échoué et l'affaire a été portée devant la CEDH. Les services de Telegram sont apparemment restés disponibles en Russie alors que la CEDH traitait l'affaire. Le gouvernement russe a déclaré à la CEDH que les allégations selon lesquelles les services de sécurité avaient accès aux communications de tous les utilisateurs n'étaient pas étayées, car leur demande ne concernait que six utilisateurs de Telegram. Selon les experts, l'obligation légale de déchiffrer les messages chiffrés constitue "une ingérence disproportionnée dans le droit au respect de la vie privée".
Le gouvernement russe a aussi fait valoir que le fait que Telegram fournisse des clés de chiffrement au FSB ne signifiait pas que les informations nécessaires pour déchiffrer les communications électroniques chiffrées seraient mises à la disposition de l'ensemble de son personnel. En substance, il estimait que le devoir de discrétion du personnel du FSB empêcherait toute intrusion dans la vie privée des utilisateurs de Telegram telle que décrite dans la plainte de la CEDH. L'arrêt de la CEDH indique que les portes dérobées violent les droits de l'homme et s'oppose à l'affaiblissement général du chiffrement de bout en bout.
« Le balayage côté client rendrait nos communications fondamentalement peu sûres, ou bien les citoyens européens ne pourraient plus du tout utiliser WhatsApp ou Signal, car les fournisseurs ont déjà envisagé d'interrompre leurs services en Europe. Il est scandaleux que le dernier projet de position du Conseil de l'UE envisage encore la destruction du chiffrement sécurisé. Nous, les Pirates, allons maintenant nous battre encore plus fort pour la protection de notre correspondance numérique », a déclaré Breyer. Cependant, le gouvernement n'est pas de cet avis, affirmant que le chiffrement protège les terroristes.
Dans le déroulement de l'affaire, le gouvernement russe a déclaré à la CEDH que toute intrusion dans la vie privée résultant du déchiffrement des messages était "nécessaire" pour lutter contre le terrorisme dans une société démocratique. Pour étayer cette affirmation, le gouvernement russe a cité "un attentat terroriste de 2017 qui avait été coordonné depuis l'étranger par le biais de conversations secrètes via Telegram". Le gouvernement russe a affirmé qu'une deuxième attaque terroriste avait été évitée cette année-là après qu'il eut découvert qu'elle était coordonnée par le biais de conversations sur Telegram.
Toutefois, les défenseurs de la vie privée ont soutenu les affirmations de Telegram selon lesquelles le service de messagerie ne pouvait pas techniquement construire une porte dérobée pour les gouvernements sans que cela ait d'impact sur tous ses utilisateurs. Ils ont aussi fait valoir que la menace d'une surveillance de masse pourrait suffire à porter atteinte aux droits de l'homme. En effet, selon défenseurs de la vie privée, même si les gouvernements n'utilisaient jamais les divulgations légales pour surveiller les citoyens en masse, cela pourrait avoir un effet dissuasif sur la liberté d'expression des utilisateurs.
En fin de compte, la CEDH a conclu que les droits de l'utilisateur de Telegram avaient été violés, en partie grâce aux défenseurs de la vie privée et aux rapports internationaux qui ont corroboré la position de Telegram selon laquelle le respect de l'ordre de divulgation du FSB affecterait l'ensemble de ses utilisateurs. « La confidentialité des communications est un élément essentiel du droit au respect de la vie privée et de la correspondance. Par conséquent, exiger que les messages soient déchiffrés par les forces de l'ordre ne peut être considéré comme nécessaire dans une société démocratique », indique la CEDH.
Martin Husovec, professeur de droit qui a participé à la rédaction du témoignage envoyé par l'EISI (European Information Society Institute) à la Cour, affirme que l'EISI est évidemment ravi que la Cour ait reconnu la valeur du chiffrement et ait convenu avec l'EISI que l'affaiblissement du chiffrement imposé par l'État est une forme de surveillance aveugle parce qu'il affecte la vie privée de tout le monde. La CEDH s'est prononcé contre toute forme de surveillance que les portes dérobées pourraient permettre une fois qu'elles seraient introduites dans les applications et services de messagerie chiffrés de bout en bout.
Selon un rapport des Nations unies, plutôt que d'exiger l'accès aux messages chiffrés, les organismes chargés de l'application de la loi disposent d'autres solutions, notamment "une police traditionnelle améliorée et mieux dotée en ressources, des opérations d'infiltration, l'analyse des métadonnées et le renforcement de la coopération policière internationale". L'EISI a souligné que les autorités pourraient également tenter de deviner ou d'obtenir d'une autre manière les clés privées des suspects, peut-être en exploitant les vulnérabilités des logiciels sur les appareils des suspects ou en saisissant les appareils.
« L'affaiblissement du chiffrement par la création de portes dérobées rendrait apparemment techniquement possible une surveillance routinière, générale et indiscriminée des communications électroniques personnelles. Les portes dérobées peuvent également être exploitées par des réseaux criminels et compromettraient gravement la sécurité des communications électroniques de tous les utilisateurs. La Cour prend note des dangers de la restriction du chiffrement décrits par de nombreux experts en la matière », indique la CEDH. Le Conseil de l'UE a reconnu que les portes dérobées pouvaient être problématiques.
Il a ajouté que les portes dérobées créées pour les forces de l'ordre pourraient facilement être exploitées par des terroristes et des acteurs de la menace, ce qui pourrait exposer les utilisateurs des services de messagerie à plus de préjudices que d'avantages. Husovec a déclaré que si la Cour de justice de l'Union européenne (CJUE) approuve cette décision, ce qui est probable, les conséquences pour la législation de l'UE proposant de scanner les messages pour empêcher la diffusion de contenus illégaux comme le CSAM pourraient être significatives.
« Au cours des négociations qui se dérouleront au printemps, les législateurs devront peut-être faire des "concessions majeures" pour s'assurer que la règle proposée n'est pas invalidée à la lumière de l'arrêt de la CEDH », a déclaré Husovec.
Source : décision de la Cour européenne des droits de l'homme
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la décision de la Cour européenne des droits de l'homme ? Quelles pourraient être les implications de cette décision dans le climat actuel ?Voir aussi
Les entreprises technologiques européennes mettent en garde contre une baisse des niveaux de protection des données dans l'UE, menacée par une initiative de la Commission européenne Tutanota a indiqué qu'il ne se retirera pas du Royaume-Uni, même si le projet de loi sur la sécurité en ligne est adopté et s'oppose fermement à toute demande de porte dérobée pour le chiffrement Meredith Whittaker réaffirme que Signal quitterait le Royaume-Uni si elle y était contrainte par le projet de loi sur la sécurité en ligne, elle refuse de saper le chiffrement de l'application 
