En France, l'idée de déclarer chaque service de messagerie comme opérateur, pour les soumettre à des obligations de partage de données, serait tombée aux oubliettes. Les espoirs se portent désormais sur le futur Code européen des télécoms, censé poser les mêmes obligations pour les services en ligne que pour les opérateurs.
À la mi-novembre, la cour d'appel d'Anvers a sommé Skype de fournir des messages et appels à la justice. La Belgique considère ainsi que l'entreprise est bien un opérateur télécom, soumis à une obligation de partage des données de communications. En France, la question reste ouverte, alors que les outils comme WhatsApp, Facebook Messenger ou Telegram sont utilisés en masse, notamment au sein du gouvernement.
En mars 2013, l'autorité des télécoms, l'Arcep, saisissait le procureur de la République de Paris pour que Skype se déclare en tant qu'opérateur. L'objectif : le soumettre aux obligations d'interception auxquelles sont soumis les groupes télécoms. Un an plus tard, L'Expansion révélait que le procureur de la République avait ordonné l'ouverture d'une enquête.
Depuis la loi Macron de 2015, l'Arcep peut déclarer de force le service comme opérateur. En septembre 2016, l'autorité affirmait travailler sur la déclaration de ces messageries en ligne. Pourtant, rien n'a été fait jusqu'ici, ces sociétés et l'État collaborant de mieux en mieux sur les enquêtes.
Aujourd'hui, une collaboration « volontaire et gracieuse » des grandes plateformes
Les communications via les services en ligne deviennent habituelles dans les enquêtes, même si aucune statistique précise n'existerait aujourd'hui. Dans ce cadre, les forces de l'ordre peuvent demander trois types de données : celles sur les clients, les « données de connexion » (métadonnées) et le contenu des communications.
Comment les services de messagerie répondent-ils ? « La plupart des opérateurs internationaux collaborent assez bien, pour les données clients et métadonnées. En revanche, il est généralement indispensable d'obtenir une commission rogatoire internationale pour avoir le contenu » nous explique le colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie.
Les services les plus populaires étant étrangers, il est difficile de les contraindre. « La loi française s'applique de manière coercitive sur les entreprises en France. Pour les entreprises étrangères, il s'agit d'une collaboration volontaire et gracieuse de leur part » poursuit le responsable. « Il faut une demande formelle des autorités françaises sur autorisation d'un procureur ou d'un juge d'instruction, pour une affaire donnée. »
Les discussions autour de la déclaration des services comme opérateurs ont débuté avec Skype. Pour Nicolas Duvinage, « Skype n'est pas un mauvais élève. Ils collaborent bien et nous fournissent les données client et de connexion, sous le contrôle d'un magistrat dans le cadre d'une enquête judiciaire ». Il refuse tout de même de détailler s'il s'agit des métadonnées des discussions écrites ou celles des appels audio ou vidéo. Cette collaboration nous a été confirmée par ailleurs.
Apple et Facebook collaboreraient aussi facilement avec les forces de l'ordre, envoyant données clients et métadonnées. Par contre, WhatsApp (filiale de Facebook) « ne fournit rien sans commission rogatoire internationale, ce qui est extrêmement complexe et extrêmement long ».
Depuis les attentats de 2015, une partie de ces entreprises participe à un groupe de contact permanent avec le ministère de l'Intérieur, qui devrait être étendu à l'ensemble des ministères. Un groupe stratégique, réunissant politiques et directions générales de ces sociétés, existerait depuis peu en parallèle, même si nous n'avons pas pu en avoir confirmation.
Des services assimilables à des opérateurs
Pour leur part, les services de messagerie français peuvent donc être déclarés comme opérateurs par l'Arcep. Même sans cela, ils sont assimilables auxdits opérateurs. Selon l'article L34-1 du Code des postes et des communications électroniques (CPCE), les opérateurs de communications électroniques incluent « les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne ».
Selon l'article L851-1 du Code de la sécurité intérieure, les « services de communications électroniques » sont tenus de fournir les métadonnées d'une personne ou d'une communication (numéros, géolocalisation, appels...), aux services de renseignement ou de certains ministères. Cela sous contrôle de la Commission nationale de contrôle des techniques de renseignement (voir notre analyse de son premier bilan).
Autrement dit, en principe, les opérateurs et services en ligne sont tenus de fournir ces métadonnées aux autorités. Pourtant, en 2013, Microsoft affirmait que Skype n'est pas l'un de ces services de communications électroniques. Il refusait donc de se déclarer à l'Arcep.
Comme indiqué, depuis la loi Macron de 2015, l'autorité peut le déclarer de force, en vertu de l'article L39 du CPCE, qui punit d'un an de prison et d'une amende de 75 000 euros l'exploitation d'un service de communication non déclaré.
Selon des sources concordantes, l'Arcep aurait abandonné l'idée de forcer la main de Skype sur le sujet, au moins temporairement. L'enquête demandée par le procureur de la République n'a pas eu de suite publique connue. Désormais, Skype fournit bien des métadonnées aux autorités françaises. Le sujet serait donc devenu moins essentiel.
En Europe, un projet pour aligner messageries et opérateurs
Deux pistes éviteraient la déclaration de chaque service comme opérateur. La première est une éventuelle nouvelle loi française, qui pourrait servir de base à un cadre européen. « Ça parait difficile à ce stade au niveau franco-français. Il y a un gros travail à mon avis. Toutes les directions ne sont pas forcément très allantes sur ce projet » commente un connaisseur du dossier.
La seconde piste (plus crédible) est le futur Code télécom européen, débattu depuis septembre 2016. Le texte établit ainsi une équivalence directe entre opérateurs télécom et services en ligne. Dans la version du texte datée du 9 octobre (PDF), les points 10 et 15 mettent ces outils sur le même plan.
« Les utilisateurs remplacent de plus en plus la téléphonie traditionnelle et les SMS par des services en ligne fonctionnellement équivalents comme la VoIP, les services de messagerie et l'e-mail. Pour s'assurer de la protection égale des utilisateurs, une définition à long terme des services de communication électronique ne devrait pas se fonder sur des paramètres techniques mais sur une approche fonctionnelle » statue le texte.
Un Skype ou WhatsApp serait, de fait, soumis aux mêmes obligations nationales qu'un opérateur en matière de partage de données. Le projet de directive (à appliquer dans chaque pays) doit encore passer le parcours du combattant des institutions communautaires.
Le chiffrement, toujours une épine dans le pied
Au fond, pour les forces de l'ordre et services de renseignement, le problème ne se situerait plus tant sur les métadonnées que sur le chiffrement de bout en bout, intégré dans des services comme Facebook Messenger, Signal, Telegram, Viber ou WhatsApp. Ce dernier a bâti une partie de sa base d'un milliard d'utilisateurs sur la confidentialité des échanges, via l'activation par défaut de cette protection. Or cette dernière empêche les messageries de fournir le contenu des échanges.
En septembre 2016, le ministre de l'Intérieur d'alors, Bernard Cazeneuve, souhaitait que Skype et consorts procèdent à des interceptions... quand bien même tout ou partie des contenus sont chiffrés.
En juin dernier, Emmanuel Macron et Theresa May révélaient un plan pour s'attaquer au chiffrement, pour lutter contre le terrorisme. Depuis, les déclarations se sont multipliées, notamment du côté de la Commission européenne, qui a lancé une vaste campagne pour mieux équiper les forces de l'ordre face à cet obstacle aux enquêtes, à la fois techniquement et par les relations avec les services en ligne.
Face à cela, Sheryl Sandberg, la numéro deux de Facebook, estime qu'il serait contre-productif de briser le chiffrement, par exemple via des portes dérobées. Selon elle, un malfaiteur ou terroriste qui utilise WhatsApp fournit au moins ses métadonnées au service, donc potentiellement aux autorités. S'attaquer au chiffrement les ferait basculer sur des outils hors de portée des États, qui y perdraient le peu d'informations dont ils disposent aujourd'hui.
Depuis quelques mois, les responsables français assurent que les portes dérobées sont une piste évacuée, désormais hors des débats. La question de la méthode reste donc ouverte. Contacté, le délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces (Dmisc), Thierry Delville, au ministère de l'Intérieur n'a pas souhaité apporter de commentaire pour cet article.
