Contactée, la Commission européenne nous affirme préparer une série de mesures sur l'accès aux preuves numériques. Après une réunion avec les ministres de l'Intérieur, l'institution planche ainsi sur des remèdes à certains problèmes spécifiques. Par exemple, l'accès aux données stockées dans un autre État membre (un processus aujourd'hui long) et la coopération avec les géants du Net, sur des sujets comme les discours de haine ou le terrorisme. Elle nous affirme ne pas encore avoir de mesure précise sur le chiffrement. Des réunions d'experts légaux sont prévues, même si « tout le monde reconnaît le problème qu'il pose ». À croire la Commission, il faudra attendre bien après juin pour des propositions concrètes.
La Commission européenne aurait dans ses cartons trois ou quatre options pour accéder aux données chiffrées des services en ligne. Il s'agirait surtout d'aligner leurs obligations légales avec celles des opérateurs télécoms, qui conçoivent leurs outils avec cet accès légal en tête.
Le chiffrement n'a décidément pas les faveurs des gouvernements européens. Il y a quelques jours, la secrétaire d'État à l'Intérieur britannique réclamait publiquement que les services de messagerie soient obligés de leur ouvrir leurs données déchiffrées à la police. Selon Euractiv, la Commission européenne s'apprêterait à lui emboiter le pas, en proposant des solutions pour accéder aux messages de services comme WhatsApp.
Il s'agirait de « trois ou quatre options », notamment une révision de la législation et des accords volontaires avec les entreprises concernées. Elles devraient suivre la mise en place de solutions plus temporaires, à la teneur inconnue. Rappelons que, dernièrement, les obligations de sécurité des services en ligne ont commencé à s'aligner sur celles des opérateurs télécoms, au bonheur de ces derniers.
Opposition entre vie privée et sécurité publique
Dans leur discours, les autorités mettent souvent en balance la vie privée et le travail de la police. Si cette tension est parfois mise en avant pour affaiblir le chiffrement, sa réalité n'est pas encore avérée. Il est encore difficile d'avoir des preuves concrètes des lourdes difficultés que poserait le chiffrement aux forces de l'ordre au quotidien.
Alors que les opérateurs collaborent historiquement avec les autorités, notamment en raison d'une législation spécifique, les services de communication en ligne veulent surtout effacer l'image imprimée par les révélations Snowden, en imposant peu à peu le chiffrement de bout en bout. Avec des clés privées chez les internautes, des outils comme Facebook Messenger, Signal, Telegram ou WhatsApp affirment ne pas accéder au contenu des messages.
L'approche est bien différente des opérateurs français par exemple, qui suivant cette charte, chiffrent les emails de leurs clients, en ne protégeant que la couche de transport, pour les stocker en clair pour en laisser l'accès à la police ou aux services de renseignement.
Un débat toujours vif sur l'attaque du chiffrement
Ce « problème » du chiffrement de bout en bout, voire plus largement de la confidentialité des messages, a été signalé à de nombreuses reprises par le gouvernement français, qui affirme sa volonté de pouvoir accéder coûte que coûte aux données privées des internautes. En août, il avait même déclaré vouloir une initiative européenne sur le sujet. À Euractiv, la Commission européenne confirme d'ailleurs que s'il y a une solution sur cette question, elle sera bien internationale, donc au moins liée à l'Union.
Face à cela, l'Agence nationale de sécurité des systèmes d'information (ANSSI), la CNIL et le Conseil national du numérique ont multiplié les prises de parole pour défendre un chiffrement fort, sans compromis. L'ANSSI rappelle que le chiffrement est une condition de la confiance dans le numérique, donc essentiel à l'économie.
Dans son dernier rapport annuel, la CNIL a pour sa part réaffirmé son opposition à des « portes dérobées » dans les outils de chiffrement, assimilables à des failles de sécurité volontaires. Comme nous le déclarait Mounir Idrassi, principal développeur de VeraCrypt, « les portes dérobées qui n'acceptent qu'une personne n'existent pas ».
