Lors d’une conférence de presse conjointe organisée ce matin par Bernard Cazeneuve et Thomas de Maizière, son homologue allemand, le ministre de l’Intérieur est revenu à la charge sur la question des fournisseurs de service et du chiffrement.
Parmi leurs propositions, qui ont vocation à être discutées lors du sommet des chefs d'État de l'Union européenne le 16 septembre prochain, les deux ministres souhaitent que tous les opérateurs soient soumis à une série de règles similaires : « Nous proposons donc aujourd’hui, avec Thomas de Maiziere, que la Commission européenne étudie la possibilité d’un acte législatif rapprochant les droits et les obligations de tous les opérateurs proposant des produits ou des services de télécommunications ou Internet dans l’Union européenne, que leur siège juridique soit ou non en Europe ».
L’assimilation des OTT aux opérateurs
Bel hasard : la semaine dernière, on apprenait ainsi que la Commission européenne envisageait de réguler similairement des acteurs comme Skype, Whatsapp ou encore Facebook Messenger afin de les calquer de près ou de loin à des opérateurs de télécommunication. L’osmose Bruxelles-France-Allemagne pourrait ainsi conduire à imposer aux over the top (OTT) de nouvelles règles, pas seulement pour l’acheminent des appels d’urgence, mais aussi s’agissant de la mise en œuvre des moyens exigés par les questions d’ordre public, la défense nationale ou encore la sécurité publique.
C’est en tout cas l’idée caressée par les deux hommes politiques, lorsque le ministère indique que « si un tel acte législatif était adopté, cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages, exclusivement dans le cadre d’enquêtes judiciaires ».
Ne pas remettre en cause le chiffrement, juste l’accuser
Dans son discours, Bernard Cazeneuve ajoute aussi que « les échanges de plus en plus systématiques opérés via certaines applications, telle que Telegram, doivent pouvoir, dans le cadre des procédures judiciaires - j’insiste sur ce point - être identifiés et utilisés comme éléments de preuve par les services d’investigations et les magistrats ».
Et celui-ci d’assurer une petite mise au point : « Que les choses soient bien claires pour éviter toute polémique inutile : il n’a bien sûr jamais été question de remettre en cause le principe du chiffrement des échanges : le chiffrement permet de sécuriser les communications, y compris des États. À titre d’exemple, il permet au quotidien de protéger les transactions financières. »
Ces quelques lignes sont une manière censée élégante de répondre à la grogne montante visant les initiatives de l’exécutif, qui se répand de l’Agence nationale de la sécurité des systèmes d’information au Conseil national du numérique qui, avec la CNIL notamment, rappelle que « limiter les moyens de chiffrement ou instaurer des « portes dérobées » pour permettre aux forces de l’ordre d’accéder aux données chiffrées de nos applications affaiblirait la sécurité des systèmes d’information dans leur ensemble tout en ayant une efficacité limitée ».
Quels moyens juridiques ?
Surtout, il ne faut pas oublier que les moyens juridiques ne sont pas aux abonnés absents. La récente loi sur la réforme pénale a, par exemple, mis à jour l’article 434-15-2 du Code pénal pour punir jusqu’à cinq ans d’emprisonnement et 450 000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ».
Cette même loi a facilité également l’intervention du CTA ou centre technique d’assistance. Sur saisine des magistrats et des enquêteurs, cet organisme public ayant pour mission de tenter de mettre au clair les données chiffrées ou d’accéder aux données contenues par un terminal verrouillé pourra briser les scellés judiciaires afin ensuite de les reconstituer.
C’est depuis la loi sur le terrorisme de 2014 que les officiers de police judiciaire peuvent réclamer l’aide de ce CTA, qui, au sein de la direction générale de la sécurité intérieure (ex DCRI), met à disposition ses capacités de décryptage de contenus chiffrés.
Sur le terrain préventif cette fois, outre des capacités de captation étendue, la loi sur le renseignement a augmenté les délais de conservation des données chiffrées pour faciliter leur traitement. Il est de six ans maximum après recueil, voire après déchiffrement dans le spectre de la loi sur la surveillance des communications électroniques internationales.
Le Code de la sécurité intérieure oblige aussi les personnes physiques ou morales qui fournissent des prestations de cryptologie « visant à assurer une fonction de confidentialité » à remettre aux agents dans les 72 heures « les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'elles ont fournies ». Cette obligation concerne les « clés cryptographiques ainsi que de tout moyen logiciel ou de toute autre information permettant la mise au clair de ces données » (article R.244.3 du Code de de la sécurité intérieure). Le fait de ne pas déférer est puni de 2 ans de prison et 30 000 euros d’amende, sauf si le fournisseur des prestations en cause démontre qu'il n’est pas en mesure de satisfaire aux réquisitions...
Un contre-feu ?
La mise en cause de Télégram dans le cadre de procédures judiciaires peut aussi faire sourire, venant d’un ministère de l’Intérieur qui a les yeux surtout portés sur les services du renseignement. Car à ce coup de griffes, les mauvaises langues pourront aussi deviner un contre-feu quant aux échecs du gouvernement face aux terribles attentats qui s’enchaînent.
En pointant un doigt accusateur sur l’autre, ce sont ses propres défaillances que l’on tait, notamment quant au manque de moyens humains déployés sur le terrain. L’accusation est d’autant plus simple que ceux aux manettes peuvent distiller en douce toute information qu’ils souhaitent dans les médias, en laissant de côté des broutilles tels le secret-défense et celui de l’instruction.
