La France est sur le point d'adopter la pire loi de surveillance de l'UE : une porte dérobée dans WhatsApp, Telegram et Signal, une proposition de loi qui provoque la stupéfaction

La France est sur le point d'adopter la pire loi de surveillance de l'UE : une porte dérobée dans WhatsApp, Telegram et Signal, une proposition de loi qui provoque la stupéfaction

Un amendement controversé introduit dans la proposition de loi française visant à lutter contre le narcotrafic provoque une levée de boucliers. La proposition obligerait les messageries chiffrées comme Signal et WhatsApp à créer une porte dérobée permettant aux autorités de contourner le chiffrement de leurs applications. Cela compromettrait le principe même du chiffrement de bout en bout et offrirait aux forces de l'ordre un accès illimité aux discussions privées des utilisateurs. L'AFNUM (qui représente Google, Microsoft, Apple, etc.) et Tuta Mail dénoncent cette loi et rappellent qu'il n'est pas possible d'ouvrir une porte dérobée aux seules bonnes volontés.

La France veut briser le chiffrement au nom de la lutte contre le narcotrafic

La loi « Narcotrafic », proposée par les sénateurs Jérôme Durain et Étienne Blanc le 12 juillet 2024, va bien au-delà de son objectif affiché et inquiète les organisations de défense des droits et libertés numériques. Un amendement introduit par Cédric Perrin, président de la commission des Affaires étrangères et de la Défense au Sénat, obligerait les messageries chiffrées à compromettre les protections en matière de vie privée offertes par leurs services.

Concrètement, si elle est adoptée, la loi obligerait les services de messagerie privée, tels que Signal, WhatsApp ou Telegram, à mettre en place une porte dérobée au-dessus du chiffrement de bout en bout de leurs applications. Une fois la porte dérobée installée, les plateformes seront tenues de remettre aux forces de l'ordre les messages déchiffrés des criminels présumés dans les 72 heures suivant la demande. Les contrevenants risquent de lourdes amendes.


Pour faire respecter la loi, le texte prévoit une amende de 1,5 million d'euros pour les individus et une amende pouvant aller jusqu'à 2 % du chiffre d'affaires annuel mondial pour les entreprises. L'amendement a déjà été adopté par le Sénat français et passe maintenant rapidement à l'Assemblée nationale.

« En imposant des portes dérobées, le gouvernement français ne compromet pas seulement la sécurité de tous les utilisateurs, qu'il s’agisse de citoyens ou d'entreprises, mais cette loi modifiée est très probablement en contradiction avec les lois européennes sur la protection des données, telles que le RGPG, la loi allemande sur la sécurité des technologies de l'information (IT Security Act) et le TKG », note le fournisseur de la messagerie chiffrée Tuta Mail.

Le chiffrement est le fondement de la sécurité des communications numériques. Créer une porte dérobée pour les autorités revient à installer une faille volontaire dans ce système de protection. Absolument rien ne garantit que cette porte dérobée sera utilisée uniquement dans le cadre de son objectif initial. Et cette faille introduite de façon délibérée constituera une mine d'or pour les acteurs de la menace, ce qui représente un grand danger pour les utilisateurs.

Chiffrement et porte dérobée : un équilibre impossible selon les experts

Le chiffrement de bout en bout garantit que seuls l'expéditeur et le destinataire peuvent avoir accès au contenu des messages, grâce à une clé qui permet de les déchiffrer. Aucune tierce partie, y compris les plateformes de messageries elles-mêmes, ne peut avoir connaissance des contenus échangés. Ainsi, lorsqu'un service est chiffré de bout en bout, tous les utilisateurs bénéficient de ces protections, y compris les acteurs du grand banditisme ou les pédocriminels.

Par le passé, la France et d'autres pays ont réussi à briser le chiffrement certaines messageries, telles que Encrochat et AN0M, utilisées presque exclusivement par les criminels. Ces opérations ont permis aux forces de l'ordre de ces pays de démanteler de vastes réseaux de criminels de tout genre.

Cependant, briser le chiffrement d'une application conçue par des criminels pour des criminels est une tout autre chose que de briser le chiffrement des messageries utilisées par des milliards de personnes. Selon le service de messagerie chiffrée Tuta Mail, les dommages collatéraux seraient terribles.

Dans un billet de blogue détaillé sur le sujet, Tuta Mail rappelle qu'il n'est pas possible d'ouvrir une porte dérobée aux seules bonnes volontés. Elle peut faire l'objet d'abus de la part des forces de l'ordre ou des autorités, conduisant ainsi à une surveillance de masse des citoyens et à des restrictions de liberté.

Elle peut également être la cible de pirates informatiques. L'ANSSI, l'agence française de la cybersécurité, et le Comité européen de protection des données, sont conscients des dangers liés à l'ajout délibéré d'une faille dans les services de communication et mettent en garde contre ces initiatives. L'AFNUM (Alliance française des industries du numérique), qui compte dans ses rangs Apple, Samsung, Google et Microsoft, dénonce également cette loi.

« L'efficacité du chiffrement de bout en bout repose, par nature, sur le fait qu'aucune personne extérieure aux échanges ne doit disposer de la clé de déchiffrement », note l'AFNUM. Le groupe de défense des droits et libertés numériques La Quadrature du Net tire la sonnette d'alarme. Le groupe a lancé une campagne de mobilisation contre ce qu'elle qualifie de « l'une des lois les plus dangereuses pour les libertés publiques proposées ces dernières années ».

Les fournisseurs de messageries chiffrées menacent de quitter l'Europe

L'Union européenne a déclaré la guerre au chiffrement de bout en bout il y a quelques années. Elle exige l'accès aux messages privés sur n'importe quelle plateforme au nom de la protection des enfants, de la lutte contre la pédocriminalité et de la diffusion du CSAM (Child Sexual Abuse Materia) ou matériel pédopornographique. Toutefois, les experts en cybersécurité et les groupes de défense des consommateurs dénoncent cette posture de l'UE.

Plus récemment, le Royaume-Uni a exigé d'Apple qu'il crée une porte dérobée au-dessus du chiffrement d'iCloud afin de permettre aux agents de sécurité britanniques d'accéder librement aux données chiffrées des utilisateurs dans le monde entier. Apple s'y est longuement opposé. Mais à la suite du bras de fer avec les autorités britanniques, ce mois-ci, Apple a décidé de retirer les fonctionnalités de chiffrement de bout en bout d'iCloud au Royaume-Uni.

Il n'est pas certain que la décision d'Apple a satisfait le gouvernement britannique, mais le fabricant de l'iPhone a menacé de retirer ses services de messagerie chiffrés du Royaume-Uni en cas d'autres exigences. WhatsApp et Signal ont aussi menacé de quitter le pays s'ils recevaient une telle demande.

Dans l'Hexagone, les fournisseurs de messageries chiffrées pourraient proférer les mêmes menaces pour tenter de dissuader les législateurs de voter la loi « Narcotrafic » telle qu'elle est écrite actuellement. La Quadrature du Net explique les risques liés à l'adoption de cette loi :

[LIST]
[*]la loi « Narcotrafic » s’attaque aux protections offertes par les messageries chiffrées (telles que Signal ou WhatsApp) en imposant l'installation de portes dérobées pour la police et les services de renseignement ;
[*]en modifiant le régime juridique de la criminalité organisée, applicable dans d'autres cas, cette loi ne s'applique pas seulement au trafic de drogue. Elle peut même être utilisée pour[/*]...