Royaume-Uni : Apple, Facebook, Google, Microsoft et Twitter veulent protéger le chiffrement

Apple, Facebook, Google, Microsoft et Twitter s’unissent aujourd’hui pour protester contre un projet de loi anglais, l’Investigatory Powers Bill, qui donnerait de très larges pouvoirs au renseignement et aux forces de l’ordre. Les quatre entreprises réclament notamment que le chiffrement soit protégé par un cadre juridique.

L’Investigatory Powers Bill est un projet de loi sur lequel travaille actuellement le Royaume-Uni. Créant la polémique outre-Manche depuis sa présentation en novembre, il confierait au monde du renseignement et plus globalement aux forces de l’ordre de nouvelles capacités dépassant de très loin les outils et le cadre juridique disponibles jusqu’à lors. Sont ainsi prévus des mécanismes automatisés de récupération de données dans les smartphones, des recherches effectuées sur le web, de l’historique complet et ainsi de suite.

Une évolution que l’on retrouve dans de nombreux autres projets de loi, y compris en France. Les attentats de 2015 ont largement renforcé la volonté des gouvernements de mettre en place un nouvel arsenal anti-terroriste. Même aux États-Unis, alors que l’opinion avait été sensibilisée à certaines problématiques pendant plus de deux ans de révélations d’Edward Snowden, on assiste à un revirement important qui appelle, notamment, à se débarrasser du chiffrement.

Une infrastructure juridique commune

Or, c’est justement de chiffrement dont il est encore une fois question cette fois. Facebook, Google, Microsoft et Twitter ont donc fait parvenir au gouvernement britannique un courrier dérivant leurs craintes et proposant des solutions. Les quatre mousquetaires rappellent ainsi plusieurs points :

• Une infrastructure juridique commune et claire permettrait de protéger la population autant que sa vie privée
• Membres de la coalition RGS (Reform Government Surveillance), ils estiment que la meilleure manière de promouvoir la sécurité est de s’assurer que la surveillance est « ciblée, légale, proportionnée, nécessaire, délimitée juridiquement et transparente »
• Certaines lois peuvent diminuer la confiance des utilisateurs dans les produits qu’ils utilisent
• Cette confiance est « essentielle » aux entreprises pour « continuer à innover »

On retrouve donc la fameuse crise de confiance apparue seulement quelques mois après les toutes premières révélations d’Edward Snowden. Elle avait éclaté avec les informations liées à la participation des entreprises du cloud à la chasse aux données de la NSA. Depuis, elles ont multiplié les annonces, publié des rapports de transparence, pris la parole publiquement pour dénoncer certaines lois et renforcé – nous y voilà – au chiffrement.

Le chiffrement doit être protégé par la loi

Car ce qu’elles demandent en priorité au gouvernement britannique, c’est bel et bien d’inscrire en dur dans la loi une protection du chiffrement des données. Elles craignent qu’un refus entrainent des complications conséquentes, non seulement d’un point de vue juridique, mais surtout sur le plan de la sécurité. Car mettre au ban le chiffrement reviendrait à ouvrir les communications à n’importe qui. On retombe ainsi sur deux problématiques qui reviennent sans cesse sur le devant de la scène depuis des mois : où placer le curseur entre sécurité et respect de la vie privée, et lutter contre l’envie des gouvernements de faire installer des portes dérobées dont les conséquences sont prédites comme particulièrement néfastes.

Le texte est ainsi particulièrement clair : « Les entreprises estiment que le chiffrement est un outil fondamental de sécurité, aussi important pour l’économie numérique que crucial pour la sécurité des internautes dans le monde. Nous rejetons toute proposition qui requerrait des sociétés qu’elles affaiblissent délibérément la sécurité de leurs produits par des portes dérobées, un déchiffrement forcé ou d’autres moyens. […] nous suggérons que la proposition de loi indique expressément que rien ne puisse suggérer l’obligation pour une entreprise d’amoindrir ou détruire ses mesures de sécurité ». Notez que le texte ne fait pas mention d'Apple, la société de Cupertino ayant fait une déclaration séparée. Cependant, la teneur en est pratiquement la même, le discours de la firme sur ces thèmes étant particulièrement clairs depuis deux ans.

Idéalement, on imagine que les cinq entreprises aimeraient qu'un texte de loi aussi clair que celui en élaboration aux Pays-Bas soit mis en place. Le ministère néerlandais de la Justice et de la Sécurité a en effet publié le 4 janvier qui défend notamment le chiffrement des données, indiquant même qu'il est « important pour l’exercice de la liberté d’expression ».

La peur du sac de nœuds juridique inextricable

L’autre grande peur de la coalition RGS, c’est le cauchemar juridique international. Le projet de loi IPB prévoit en effet que les mandats de recherche pourront être délivrés pour des données stockées à l’étranger. Le cas rappelle immédiatement le combat de Microsoft contre un mandat lui enjoignant de fournir des données stockées sur un serveur en Irlande. Les entreprises craignent que ces demandes entrent en conflit avec les lois locales pour les pays concernés, « laissant les sociétés privées décider quelles lois violer ». D’où l’insistance sur une infrastructure juridique commune et internationale.

Quid de la France ?

En France, on retiendra que sur le terrain préventif, celui du renseignement, la loi sur la surveillance des communications électroniques internationales va bien au-delà de ces préoccupations. Elle a revu à la hausse le spectre des possibilités ouvertes aux agents des services. Ceux-là peuvent en effet installer des « boites noires » sur les infrastructures des télécommunications, afin de traiter de manière individualisée les données entrantes ou sortantes via un traitement automatisé. 

La loi sur le renseignement, mise en œuvre depuis le 1er octobre 2015, recèle une autre petite pépite: elle exclut l’application du droit pénal informatique pour les mesures mises en œuvre par les agents « pour assurer hors du territoire national la protection des intérêts fondamentaux de la Nation ». En clair, ceux-là peuvent pirater n’importe quelle infrastructure lointaine, dans la joie et l’allégresse, sans risquer d’être poursuivi au pénal.