Le Conseil de l'Union Européenne envisage de remettre sur la table la question de l'accès aux communications chiffrées. Déjà discutée entre 2015 et 2017, elle impliquerait d'introduire une porte dérobée (backdoor) dans un système qui garantit aujourd'hui la confidentialité des échanges.

Une fois de plus, l’Europe envisage l’instauration de procédures pour que les forces de l’ordre puissent accéder aux communications chiffrées de bout en bout. La radio autrichienne ORF a récupéré le brouillon d’une note adressée par la présidence du Conseil de l’Union européenne, en ce moment assurée par l’Allemagne, aux délégations des autres pays. Le titre du document, daté du 6 novembre 2020, donne le ton : « sécurité grâce au chiffrement et sécurité malgré le chiffrement ».

Le chiffrement de bout en bout (ou E2E) est un standard de sécurité utilisé par WhatsApp, Apple iMessage, Signal et bien d’autres services, qui empêche une personne ou organisation tierce — même celle en charge du service — de lire les communications entre deux individus. Si quelqu’un interceptait la discussion entre l’émetteur et le récepteur,  il n’obtiendrait qu’une suite en apparence incohérence de chiffres et de lettres. L’E2E protège donc contre certaines méthodes utilisées par les cybercriminels, mais aussi par les services de renseignement, intérieurs comme étrangers.

Émis par la présidence du Conseil de l’Union européenne, le souhait est très loin d’une transcription dans le droit. // Source : Eoghan OLionnain

En parallèle de ces garanties de sécurité, plusieurs pays européens, la France en tête, voient dans ce chiffrement une impasse au travail des forces de l’ordre. Les enquêteurs disposent de tout un corpus législatif pour intercepter des communications ou les demander aux entreprises qui éditent les logiciels et services de messagerie. Mais lorsque le chiffrement de bout en bout est en place, cet arsenal législatif devient inefficace : les discussions ne sont lisibles que sur les terminaux des deux personnes concernées. Les forces de l’ordre n’ont souvent qu’un chemin vers ces communications : déverrouiller le smartphone de l’émetteur ou du destinataire, seuls capables de déchiffrer les messages.

C’est pourquoi le sujet est régulièrement mis sur la table, notamment à la suite d’attaques terroristes, comme celles qu’ont subies la France et l’Autriche récemment. La prévention de ces événements justifierait, pour certains pays, l’instauration d’un moyen de contournement de l’E2E.

Mais il faudrait déjà que la position exprimée dans la note soit validée comme position officielle du Conseil le 25 novembre. Une telle déclaration ne serait dans un premier temps que politique, puis le Conseil pourrait demander que le sujet fasse l’objet d’un processus législatif par la suite, au niveau de la Commission européenne. Autrement dit, il reste un long chemin à parcourir, protégé par de nombreux garde-fous, avant qu’une éventuelle loi européenne n’oblige à l’installation de moyens pour contourner le chiffrement de bout en bout.

L’Europe s’essaie à l’équilibrisme

Les auteurs de la note, conscients des tensions sur le sujet, prennent de très nombreuses précautions dans leur demande. « Les autorités compétentes doivent pouvoir accéder aux données de façon légale et ciblée, en respectant les droits fondamentaux et le régime de protection des données, et sans dégrader la cybersécurité », cadrent-ils.

Cette phrase est symbolique du jeu d’équilibriste auquel s’essaie le Conseil. L’Union européenne a régulièrement soutenu la mise en place des technologies de chiffrement, qui sont alignées avec les valeurs européennes de protection de la vie privée. Preuve de ce soutien, la Commission européenne a recommandé plus tôt dans l’année à son personnel d’utiliser Signal, une app de communication chiffrée open source [c’est-à-dire dont le code est public, et peut faire l’objet d’un audit, ndlr], pour ses échanges quotidiens.

Facebook a déjà dit non

Pour créer des moyens de contournement du chiffrement de bout en bout, la présidence du Conseil veut ouvrir en place une « discussion active »  avec les acteurs du secteur et les chercheurs. Mais fin 2019, Facebook (propriétaire de WhatsApp) s’était déjà montré réticent à ce sujet. « Les experts en cybersécurité ont prouvé à maintes reprises que lorsque vous affaiblissez une partie d’un système chiffré, vous l’affaiblissez pour tout le monde, partout (…)  », écrivait l’entreprise. Aux demandes du ministre américain de la Justice, similaire à celles de la note, le groupe répondait : « La porte dérobée que vous demandez au nom de l’ordre public serait un cadeau pour les malfrats, les pirates informatiques et les régimes répressifs. »

De son côté, la note insiste sur les usages malveillants du chiffrement : « Les criminels peuvent inclure des solutions de chiffrement disponibles immédiatement, clé en main, à leur modi operandi ». Toujours dans son jeu d’équilibriste elle rappelle que ces solutions sont créées dans un « but légitime ».  Et elle envisage la création d’un moyen de contournement idéal : « Les solutions techniques pour gagner un accès aux données chiffrées doivent se conformer à des principes de légalité, de transparence, de nécessité et de proportionnalité ». À eux de prouver qu’une telle solution existe.

Crédit photo de la une : Melvyn Dadure pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux