Un document gouvernemental divulgué révèle que l’Espagne veut interdire le chiffrement de bout en bout
Plusieurs pays de l’UE soutiennent la proposition de l’UE visant à affaiblir le chiffrement.
Bien qu’elle ne monopolise plus l’actualité comme auparavant, la guerre contre le chiffrement au sein de l’Union européenne (UE) se poursuit. Un document divulgué récemment révèle que l’Espagne a un avis tranché sur la question et exerce de fortes pressions pour que l’UE mette en œuvre l’interdiction du chiffrement de bout en bout dans les services de messagerie. Le but déclaré des autorités européennes est de déceler des contenus illégaux, notamment le matériel d’abus sexuel d’enfants. L’UE tente depuis de nombreuses années d’affaiblir le chiffrement de bout en bout sur Internet au mépris total des préoccupations liées à la vie privée des citoyens.
Le matériel d’abus sexuel d’enfants (Child Sexual Abuse Material – CSAM), auparavant connu sous le nom de pornographie enfantine, est généralement défini comme toute représentation visuelle d’un comportement sexuellement explicite impliquant un mineur, c’est-à-dire toute personne âgée de moins de 18 ans. C’est une image ou une vidéo montrant un mineur soumis à une activité sexuelle, ce qui constitue un abus et une exploitation sexuelle d’enfants. Selon les enquêtes, les acteurs malveillants utilisent parfois les salons de discussion en ligne, les flux vidéo en direct et d’autres forums communautaires en ligne pour diffuser largement ces contenus illégaux.
Aujourd’hui, les autorités européennes se sont donné pour mission d’éradiquer ce phénomène, mais la méthode choisie pour y parvenir est controversée et largement rejetée. L’UE veut analyser les messages privés des internautes prétendument pour déceler « les contenus illégaux » et empêcher « la diffusion du CSAM ». Et en raison du fait que la grande majorité des services de messagerie (WhatsApp, Telegram, Signal, etc.) sont aujourd’hui chiffrés de bout en bout, l’UE veut obliger les fournisseurs à supprimer ou à affaiblir cette couche de confidentialité et de protection de la vie privée, alléguant qu’elle empêche la lutte contre les prédateurs d’enfants en ligne.
Bien sûr, l’argument ne passe pas auprès des entreprises, des groupes de défense des libertés civiles et des experts en cybersécurité, ce qui a donné lieu à un véritable bras de fer entre l’UE et ses acteurs. Un document ayant fait l’objet de fuite révèle que l’Espagne figure parmi les pays membres de l’UE qui mènent actuellement une forte campagne contre le chiffrement de bout en bout. Le pays est l’un des principaux soutiens de la législation antichiffrement proposée par les autorités européennes. Le document a été obtenu par Wired. Le document contient les réponses de 20 pays de l’UE, dont l’Irlande et l’Espagne, au sujet des règles proposées.
Il s’agit notamment d’une question sur le fait de savoir si le règlement devrait contenir une formulation qui exclut l’affaiblissement du chiffrement de bout en bout. La réponse de l’Irlande suggère qu’elle soutient une ordonnance de détection et affirme que le chiffrement de bout en bout est utilisé pour « faciliter » les abus sexuels sur les enfants. « Si l’on tient compte des projets des principaux fournisseurs de services visant à étendre l’utilisation du chiffrement de bout en bout, exclure les services chiffrés de bout en bout du règlement reviendrait à tourner le dos à plusieurs cas d’abus sexuels commis sur des enfants et à leurs victimes », soutient l’Irlande.
L’Irlande a déclaré en outre qu’elle était d’accord avec le principe selon lequel le chiffrement de bout en bout ne devrait pas être « interdit ou affaibli ». Toutefois, le pays s’oppose à toute formulation qui pourrait « restreindre l’efficacité de la législation ». Ce qui est une position totalement ambiguë. Les 20 pays ont tous fait part de leurs suggestions concernant des aspects spécifiques de la proposition de règlement, mais la proposition la plus extrême semble être celle de l’Espagne. Dans sa déclaration, l’Espagne a déclaré qu’il serait « souhaitable » d’empêcher les fournisseurs de services basés dans l’UE de mettre en œuvre le chiffrement de bout en bout.
« Les autorités chargées de l’application de la loi doivent avoir les moyens de continuer à remplir leurs obligations légales maintenant que de nombreux criminels se sont déplacés vers le monde virtuel. Il est impératif que nous ayons accès aux données et il est tout aussi impératif que nous ayons la capacité de les analyser, quel qu’en soit le volume », a déclaré l’Espagne dans le document. La source du document s’est refusée à tout commentaire et a requis l’anonymat, car elle n’était pas autorisée à le divulguer. La publication du contenu du document a déclenché une avalanche de critiques à l’encontre de l’UE et relance l’éternel débat sur le chiffrement.
« Il est choquant pour moi de voir l’Espagne déclarer carrément qu’il devrait y avoir une législation interdisant aux fournisseurs de services basés dans l’UE de mettre en œuvre le chiffrement de bout en bout. Ce document présente plusieurs caractéristiques de l’éternel débat sur le chiffrement », note Riana Pfefferkorn, chercheuse à l’Observatoire de l’Internet de l’Université de Stanford en Californie. Les défenseurs des propositions de l’UE affirment qu’il est possible de protéger la vie privée tout en luttant contre les criminels et proposent de créer des mécanismes techniques permettant de contourner le chiffrement de bout en bout à des fins d’enquête.
Cependant, les experts en cybersécurité et autres technologues affirment depuis longtemps que cela introduirait des faiblesses qui compromettraient intrinsèquement le fondement même du chiffrement de bout en bout, mettant ainsi en péril la vie privée des utilisateurs. De plus, ils ont conclu à plusieurs reprises que cette exposition élargie nuirait en fin de compte à la sécurité numérique des groupes vulnérables, y compris les enfants, au lieu de les défendre. Aucun des pays n’a nié la véracité du document divulgué et l’Estonie a déclaré que sa position avait été élaborée par des experts travaillant dans des domaines connexes et dans différents ministères.
« Casser le chiffrement de bout en bout pour tout le monde serait non seulement disproportionné, mais également inefficace pour atteindre l’objectif de protection des enfants », a déclaré Iverna McGowan, secrétaire générale de la branche européenne du Centre pour la démocratie et la technologie, une organisation à but non lucratif de défense des droits numériques. Le document mentionnant le point de vue des différents pays révèle un fort soutien à la proposition de l’UE d’analyser les messages privés chiffrés de bout en bout à la recherche de contenus illégaux, notamment le CSAM. Sur les 20 pays mentionnés, 15 soutiennent les propositions de l’UE.
Interrogé sur la fuite, Daniel Campos de Diego, porte-parole du ministère espagnol de l’Intérieur, a déclaré que la position du pays sur cette question était largement connue et qu’elle avait été diffusée publiquement à plusieurs reprises. Se rapprochant de l’Espagne, la Pologne préconise dans le document divulgué des mécanismes permettant de lever le chiffrement par décision de justice et de donner aux parents le pouvoir de déchiffrer les communications de leurs enfants. L’avis de la France ne figure pas dans le document, mais le président français Emmanuel Macron semble être contre le chiffrement. Voici quelques autres avis exprimés dans le document :
- la Croatie : « il est de la plus haute importance de formuler clairement dans le règlement CSA que le chiffrement de bout en bout n’est pas une raison pour ne pas signaler le matériel de la CSAM » ;
- la Slovénie : « les ordres de détection doivent nécessairement s’appliquer aussi aux réseaux chiffrés » ;
- la Roumanie : « nous ne voulons pas que le chiffrement E2EE devienne un ‘refuge’ pour les acteurs malveillants » ;
- le Danemark a exprimé son soutien à l’analyse des messages chiffrés à la recherche de CSAM, tout en approuvant l’inclusion dans la loi d’une formulation qui protège le chiffrement de bout en bout contre l’affaiblissement ;
- les Pays-Bas soutiennent la législation proposée par l’UE et ont déclaré que cela serait possible grâce à une analyse « sur l’appareil » avant que le contenu illégal ne soit chiffré et envoyé à son destinataire ;
- la République de Chypre indique qu’il est « nécessaire » que les autorités chargées de l’application de la loi aient la possibilité d’accéder aux communications chiffrées pour enquêter sur les crimes d’abus sexuels en ligne et que « l’impact de ce règlement est significatif, car il créera un précédent pour d’autres secteurs à l’avenir » ;
- la Hongrie estime que « de nouvelles méthodes d’interception et d’accès aux données sont nécessaires pour aider les forces de l’ordre » ;
- la Belgique a déclaré dans le document qu’ils croyaient en la devise : « sécurité par le chiffrement et malgré le chiffrement”.
« Ils veulent conserver la sécurité du chiffrement tout en étant capables de le contourner. Ils veulent la protection de la vie privée, mais ils veulent aussi analyser sans discernement les communications chiffrées », a déclaré Ella Jakubowska, conseillère politique principale chez European Digital Rights (EDRI). Jakubowska se dit « non surprise, mais choquée » de constater que les pays européens ont une « compréhension vraiment superficielle » du chiffrement. Elle a déclaré que de nombreux pays militent pour qu’une telle législation soit adoptée pour s’immiscer encore plus dans la vie de leurs populations, ce qui pourrait conduire à de dangereux abus.
« Chypre, la Hongrie et l’Espagne voient très clairement cette loi comme leur opportunité d’entrer dans le chiffrement pour saper les communications chiffrées, et pour moi, c’est énorme. Ils constatent que cette loi va bien au-delà de ce que la DG Home prétend qu’elle est censée faire », déclare Jakubowska. D’autres pays semblent toutefois beaucoup plus modérés sur la question. Par exemple, le document révèle que l’Italie considère les propositions de l’UE comme étant disproportionnées. « Il représenterait un contrôle généralisé de toute la correspondance chiffrée envoyée par le biais du Web », ont déclaré les représentants du pays.
De son côté, la Finlande a demandé à la Commission européenne de fournir davantage d’informations sur les technologies permettant de lutter contre les abus sexuels sur les enfants sans mettre en péril la sécurité en ligne. Elle a averti que la proposition pourrait être contraire à la constitution finlandaise. L’Allemagne, un pays qui s’est fermement opposé à la proposition, a déclaré que la législation de l’UE doit explicitement indiquer qu’aucune technologie ne sera utilisée pour perturber, contourner ou modifier le chiffrement. « Cela signifie que le projet de texte doit être révisé avant que l’Allemagne puisse l’accepter », ont déclaré les autorités allemandes.
Les États membres doivent se mettre d’accord sur le texte du projet de loi avant que les négociations puissent avancer. « Les réponses de la Finlande, de l’Estonie et de l’Allemagne témoignent d’une meilleure compréhension des enjeux des discussions sur le règlement proposé par les autorités de l’UE. Le règlement n’affectera pas seulement les enquêtes criminelles pour un ensemble spécifique d’infractions ; il affecte la sécurité des données des gouvernements, la sécurité nationale et les droits à la vie privée et à la protection des données de leurs citoyens, ainsi que l’innovation et le développement économique », explique Pfefferkorn de Stanford.
Sources : Developpez – le document ayant fait l’objet de fuite (PDF)
