Vers un accès aux données cryptées pour lutter contre le terrorisme ?

Les États membres de l’UE souhaitent avoir plus de compétences afin de pouvoir examiner les messages cryptés de discussions instantanées, comme le révèle un projet de résolution du Conseil de l’Union européenne. EPA/RITCHIE B. TONGO EPA/RITCHIE B. TONGO

Les États membres de l’UE souhaitent avoir plus de compétences afin de pouvoir examiner les discussions instantanées cryptées, comme le révèle un projet de résolution du Conseil de l’Union européenne. Un article d’Euractiv Allemagne.

Bien qu’il ne s’agisse encore que d’une volonté politique devant être adoptée en décembre, les organisations de sociétés civiles redoutent que sonne le glas du chiffrement de bout en bout, établi à la suite des « Crypto Wars » dans les années 1990.

Le chiffrement de bout en bout, ou « End-to-End (E2E) », c’est quoi ? Pour faire simple, il s’agit d’une fonctionnalité permettant de protéger les données contre toute tentative de détournement au cours de l’envoi d’un message entre une personne A et une personne B : le contenu est chiffré localement, avant d’être envoyé sur le réseau. Seuls les appareils de l’auteur et du destinataire disposent d’un code leur permettant de lire les informations transférées.

C’est aussi la raison pour laquelle les programmes dits « chevaux de Troie gouvernementaux » sont tant appréciés par les autorités – ils leur permettent de passer outre le chiffrement des applications de messagerie, et ce en plaçant le dispositif sur le terminal cible. Bien que l’outil soit utilisé en Allemagne, il est interdit en Autriche depuis 2019.

La loi autrichienne contre la haine en ligne fait craindre un blocage excessif des contenus

Le gouvernement autrichien souhaite que les plates-formes soient plus impliquées dans la lutte contre le contenu en ligne illégal. À cet égard, la loi allemande « NetzDG » offre-t-elle un bon exemple à suivre ? Un article d’Euractiv Allemagne.

« Meilleur équilibre » entre la sphère privée et la lutte contre la criminalité

L’UE soutient encore un renforcement de l’E2E, car il constitue le point d’ancrage de la confiance en la numérisation, indique le document.

Toutefois, cette position du bloc confronte les autorités judiciaires des nations européennes à de nouveaux défis, car celles-ci « s’appuient de plus en plus sur des preuves numériques afin de contrer efficacement le terrorisme, le grand banditisme, la pédopornographie et toute autre forme de cybercriminalité ».

 Aux yeux des États, le « End-to-End » représente donc un réel obstacle. « Il rend l’examen de contenu communicationnel très laborieux, voire quasi impossible. Il ne serait pourtant pas contraire à la loi d’avoir accès à ces données ». C’est pourquoi « les autorités compétentes » devraient offrir la possibilité de lire ces renseignements cryptés, afin de lutter – entre autres – contre le terrorisme.

Les solutions techniques à élaborer pour ce faire doivent encore faire l’objet de discussions, notamment avec les fournisseurs tels que Facebook, Twitter ou Signal.

La protection des droits fondamentaux de la population doit rester au cœur de chacune des parties concernées. C’est pourquoi le projet de résolution répète que seul l’accès légal aux données devrait être autorisé.

L’utilisation abusive de données personnelles en ligne inquiète les citoyens européens

D’après une nouvelle étude européenne, plus d’un citoyen européen sur deux s’inquiète de l’utilisation abusive de ses données en ligne par les fraudeurs et les pirates informatiques.

Quelles options envisager ?

Les arguments mis en avant par le Conseil ne convainquent pas Thomas Lohninger, fervent défenseur de la protection de données en Autriche et chef d’« epicenter.works », une ONG spécialisée dans la politique numérique.

« Il n’est pas possible de lever la fonctionnalité simplement pour examiner des messages à caractère malveillant. Il ne s’agit pas ici d’un problème juridique, mais d’une réalité technologique », a-t-il expliqué lors d’un entretien avec Euractiv Alllemagne.

Comment les États vont-ils alors procéder sur le plan technique ? La question reste ouverte, car peu d’options sont envisageables.

Ceux-ci souhaiteraient coopérer avec les sociétés numériques afin d’introduire une porte dérobée à l’E2E, une « clé tierce » parallèle à celle que détiennent l’auteur et le destinataire. Ce dispositif devrait d’abord être développé par les prestataires de services et ensuite mis à disposition des services de sécurité.

Jusqu’à présent, les plateformes étaient en mesure de s’opposer à de telles demandes, qui nuisent à la sécurité de leurs produits. D’après M. Lohninger, le projet de résolution laisse toutefois entendre que les États ont sorti l’artillerie lourde sur le plan juridique dans le but de rendre la coopération contraignante.

Parmi les inquiétudes soulevées, le représentant d’« epicenter.works » craint que l’utilisation première d’une telle « clé » soit par la suite détournée.

Pour qui ?

« La création d’une telle clé suscitera la convoitise », soutient l’expert. Ainsi, des États tiers dont les systèmes juridiques sont moins solides, comme l’Arabie Saoudite ou la Chine, pourraient se procurer ce Saint-Graal numérique. Au sein même du navire européen figurent des acteurs entre les mains desquels M. Lohninger ne préférerait pas voir la clé : les services de renseignements.

Les « autorités judiciaires » figuraient toujours au centre des premiers projets de loi sur la surveillance. Désormais, il est plutôt question d’« autorités compétentes », autrement dit de services de renseignement, comme le « Bundesnachrichtendienst » allemand (BND). Bien qu’ils soient théoriquement soumis à l’État de droit, ils manquent souvent de transparence dans leurs actions.

La lutte européenne contre le terrorisme, une question de communication

La France et l’Allemagne appellent les États membres de l’UE à travailler main dans la main afin de lutter contre le terrorisme. Pour ce faire, il convient d’améliorer les échanges de renseignements dans le bloc. Un article d’Euractiv Allemagne.

Ainsi en mai 2019, le BND a été rappelé à l’ordre par la Cour constitutionnelle, considérant que leurs pratiques d’espionnage des personnes à l’étranger étaient contraires à la loi.

Le militant Viktor Schlüter est également inquiet à cet égard. « C’est comme si l’on ordonnait que les courriers épistolaires ne soient pas rédigés dans un style trop ornementé afin d’être mieux interceptés et lus », a fait valoir le cofondateur de l’initiative « Digitale Freiheit [Liberté numérique] » auprès d’Euractiv Allemagne. Il se demande en outre comment il est possible « qu’après des attaques, dans lesquelles les autorités ont commis des erreurs, ces mêmes autorités se voient attribuer davantage de compétences en matière de surveillance ».

Dans le cas de l’attentat à Vienne, les services autrichiens de renseignement du pays (BvT) sont sous pression : d’une part, l’assaillant était connu des autorités ; d’autre part, Bratislava avait mis en garde le BvT contre le fait que celui-ci avait acheté des munitions sur le territoire slovaque. Une commission d’enquête a été mandatée afin de définir leur responsabilité des dans l’attaque. Tandis qu’Erich Zwetter, responsable de la lutte antiterroriste à Vienne, a déjà démissionné, l’opposition appelle aussi au retrait du ministre de l’Intérieur Karl Nehammer (ÖVP).

Dans tous les cas, le projet de résolution est désormais entre les mains des groupes de travail du Conseil. Les États peuvent encore s’y opposer.

Subscribe to our newsletters

Subscribe
Contribuer