En France, l'idée de déclarer chaque service de messagerie comme opérateur, pour les soumettre à des obligations de partage de données, serait tombée aux oubliettes. Les espoirs se portent désormais sur le futur Code européen des télécoms, censé poser les mêmes obligations pour les services en ligne que pour les opérateurs.
À la mi-novembre, la cour d'appel d'Anvers a sommé Skype de fournir des messages et appels à la justice. La Belgique considère ainsi que l'entreprise est bien un opérateur télécom, soumis à une obligation de partage des données de communications. En France, la question reste ouverte, alors que les outils comme WhatsApp, Facebook Messenger ou Telegram sont utilisés en masse, notamment au sein du gouvernement.
En mars 2013, l'autorité des télécoms, l'Arcep, saisissait le procureur de la République de Paris pour que Skype se déclare en tant qu'opérateur. L'objectif : le soumettre aux obligations d'interception auxquelles sont soumis les groupes télécoms. Un an plus tard, L'Expansion révélait que le procureur de la République avait ordonné l'ouverture d'une enquête.
Depuis la loi Macron de 2015, l'Arcep peut déclarer de force le service comme opérateur. En septembre 2016, l'autorité affirmait travailler sur la déclaration de ces messageries en ligne. Pourtant, rien n'a été fait jusqu'ici, ces sociétés et l'État collaborant de mieux en mieux sur les enquêtes.
Aujourd'hui, une collaboration « volontaire et gracieuse » des grandes plateformes
Les communications via les services en ligne deviennent habituelles dans les enquêtes, même si aucune statistique précise n'existerait aujourd'hui. Dans ce cadre, les forces de l'ordre peuvent demander trois types de données : celles sur les clients, les « données de connexion » (métadonnées) et le contenu des communications.
Comment les services de messagerie répondent-ils ? « La plupart des opérateurs internationaux collaborent assez bien, pour les données clients et métadonnées. En revanche, il est généralement indispensable d'obtenir une commission rogatoire internationale pour avoir le contenu » nous explique le colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie.
Les services les plus populaires étant étrangers, il est difficile de les contraindre. « La loi française s'applique de manière coercitive sur les entreprises en France. Pour les entreprises étrangères, il s'agit d'une collaboration volontaire et gracieuse de leur part » poursuit le responsable. « Il faut une demande formelle des autorités françaises sur autorisation d'un procureur ou d'un juge d'instruction, pour une affaire donnée. »
Les discussions autour de la déclaration des services comme opérateurs ont débuté avec Skype. Pour Nicolas Duvinage, « Skype n'est pas un mauvais élève. Ils collaborent bien et nous fournissent les données client et de connexion, sous le contrôle d'un magistrat dans le cadre d'une enquête judiciaire ». Il refuse tout de même de détailler s'il s'agit des métadonnées des discussions écrites ou celles des appels audio ou vidéo. Cette collaboration nous a été confirmée par ailleurs.
Apple et Facebook collaboreraient aussi facilement avec les forces de l'ordre, envoyant données clients et métadonnées. Par contre, WhatsApp (filiale de Facebook) « ne fournit rien sans commission rogatoire internationale, ce qui est extrêmement complexe et extrêmement long ».
Depuis les attentats de 2015, une partie de ces entreprises participe à un groupe de contact permanent avec le ministère de l'Intérieur, qui devrait être étendu à l'ensemble des ministères. Un groupe stratégique, réunissant politiques et directions générales de ces sociétés, existerait depuis peu en parallèle, même si nous n'avons pas pu en avoir confirmation.
Des services assimilables à des opérateurs
Pour leur part, les services de messagerie français peuvent donc être déclarés comme opérateurs par l'Arcep. Même sans cela, ils sont assimilables auxdits opérateurs. Selon l'article L34-1 du Code des postes et des communications électroniques (CPCE), les opérateurs de communications électroniques incluent « les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne ».
Selon l'article L851-1 du Code de la sécurité intérieure, les « services de communications électroniques » sont tenus de fournir les métadonnées d'une personne ou d'une communication (numéros, géolocalisation, appels...), aux services de renseignement ou de certains ministères. Cela sous contrôle de la Commission nationale de contrôle des techniques de renseignement (voir notre analyse de son premier bilan).
Autrement dit, en principe, les opérateurs et services en ligne sont tenus de fournir ces métadonnées aux autorités. Pourtant, en 2013, Microsoft affirmait que Skype n'est pas l'un de ces services de communications électroniques. Il refusait donc de se déclarer à l'Arcep.
Comme indiqué, depuis la loi Macron de 2015, l'autorité peut le déclarer de force, en vertu de l'article L39 du CPCE, qui punit d'un an de prison et d'une amende de 75 000 euros l'exploitation d'un service de communication non déclaré.
Selon des sources concordantes, l'Arcep aurait abandonné l'idée de forcer la main de Skype sur le sujet, au moins temporairement. L'enquête demandée par le procureur de la République n'a pas eu de suite publique connue. Désormais, Skype fournit bien des métadonnées aux autorités françaises. Le sujet serait donc devenu moins essentiel.
En Europe, un projet pour aligner messageries et opérateurs
Deux pistes éviteraient la déclaration de chaque service comme opérateur. La première est une éventuelle nouvelle loi française, qui pourrait servir de base à un cadre européen. « Ça parait difficile à ce stade au niveau franco-français. Il y a un gros travail à mon avis. Toutes les directions ne sont pas forcément très allantes sur ce projet » commente un connaisseur du dossier.
La seconde piste (plus crédible) est le futur Code télécom européen, débattu depuis septembre 2016. Le texte établit ainsi une équivalence directe entre opérateurs télécom et services en ligne. Dans la version du texte datée du 9 octobre (PDF), les points 10 et 15 mettent ces outils sur le même plan.
« Les utilisateurs remplacent de plus en plus la téléphonie traditionnelle et les SMS par des services en ligne fonctionnellement équivalents comme la VoIP, les services de messagerie et l'e-mail. Pour s'assurer de la protection égale des utilisateurs, une définition à long terme des services de communication électronique ne devrait pas se fonder sur des paramètres techniques mais sur une approche fonctionnelle » statue le texte.
Un Skype ou WhatsApp serait, de fait, soumis aux mêmes obligations nationales qu'un opérateur en matière de partage de données. Le projet de directive (à appliquer dans chaque pays) doit encore passer le parcours du combattant des institutions communautaires.
Le chiffrement, toujours une épine dans le pied
Au fond, pour les forces de l'ordre et services de renseignement, le problème ne se situerait plus tant sur les métadonnées que sur le chiffrement de bout en bout, intégré dans des services comme Facebook Messenger, Signal, Telegram, Viber ou WhatsApp. Ce dernier a bâti une partie de sa base d'un milliard d'utilisateurs sur la confidentialité des échanges, via l'activation par défaut de cette protection. Or cette dernière empêche les messageries de fournir le contenu des échanges.
En septembre 2016, le ministre de l'Intérieur d'alors, Bernard Cazeneuve, souhaitait que Skype et consorts procèdent à des interceptions... quand bien même tout ou partie des contenus sont chiffrés.
En juin dernier, Emmanuel Macron et Theresa May révélaient un plan pour s'attaquer au chiffrement, pour lutter contre le terrorisme. Depuis, les déclarations se sont multipliées, notamment du côté de la Commission européenne, qui a lancé une vaste campagne pour mieux équiper les forces de l'ordre face à cet obstacle aux enquêtes, à la fois techniquement et par les relations avec les services en ligne.
Face à cela, Sheryl Sandberg, la numéro deux de Facebook, estime qu'il serait contre-productif de briser le chiffrement, par exemple via des portes dérobées. Selon elle, un malfaiteur ou terroriste qui utilise WhatsApp fournit au moins ses métadonnées au service, donc potentiellement aux autorités. S'attaquer au chiffrement les ferait basculer sur des outils hors de portée des États, qui y perdraient le peu d'informations dont ils disposent aujourd'hui.
Depuis quelques mois, les responsables français assurent que les portes dérobées sont une piste évacuée, désormais hors des débats. La question de la méthode reste donc ouverte. Contacté, le délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces (Dmisc), Thierry Delville, au ministère de l'Intérieur n'a pas souhaité apporter de commentaire pour cet article.
Commentaires (26)
#1
Il y a tellement de services de messageries cryptées facile d’utilisation hors whatsapp mainstream …
Bon chance pour tous les chasser …
#2
pfff… rien qu’avec les métadonnées, nos chers gouvernements ont déjà bien plus de grain à moudre qu’il ne leur en faudrait. Je note aussi avec amusement que les autorités européennes veulent assurer la “protection” de l’utilisateur en le surveillant.
C’est très bien que les fournisseurs de service chiffrent de bout en bout: ça permettra au moins de faire tomber le masque.
j’aurais beaucoup plus de scrupules si l’Etat mettait autant d’énergie à surveiller (juridiquement) ceux qui surveillent qu’à surveiller.
#3
il ne s’agit pas de ça, les services s’intéressent à la masse.
pour les 3 utilisateurs d’une messagerie exotique, une action ciblée suffit.
#4
C’est ça qui est bien avec ces applis ayant plusieurs centaines de millions d’utilisateurs : elles captent toute l’attention. Pour être tranquille, il suffit d’en prendre une confidentielle
" />
#5
Bon chance pour taper sur des services hébergés en mémoire sur des VM …
#6
ça dépend.
se fondre dans la masse est une des composantes de la sécurité opérationnelle.
#7
je te renvois à Meltdown et Spectre.
" />
mais sinon quand je parle d’action ciblée je parle pas forcément des tuyaux ou des serveurs (s’il y en a).
on peut aussi attaquer les terminaux, ou les gens.
#8
Si les portes dérobées n’est plus un sujet c’est peut-être que ce n’est plus un problème.
#9
Les gens, c’est le plus simple.
#10
pas le plus discret par contre. ^^
et pas le plus facile si t’as rien de substantiel contre eux.
sachant que la plupart du temps la récup d’infos a pour but de trouver des choses compromettantes, c’est chaud.
enfin en France quoi. ^^
#11
On n’est plus au temps du Minitel, mais on sent bien que les politiques aimeraient y revenir
" />
#12
Depuis les attentats de 2015, une partie de ces entreprises participe à un groupe de contact permanent avec le ministère de l’Intérieur, qui devrait être étendu à l’ensemble des ministères.
Bah tiens…
Bientôt un redressement fiscal parce que l’IA du fisc a détecté sur les messages FB que quelqu’un a travaillé au noir ?
#13
#14
#15
#16
Une fois l’article lu, il me vient la question (réellement): qu’elle est l’info?
ça me semble être uniquement un récapitulatif. Le dernier paragraphe précise bien qu’il n’y a aucune nouvelle info.
Y a-t-il une date pour ce code européen brandi?
#17
Il y a plusieurs infos propres à cette actu : que l’Arcep a lâché l’idée de déclarer de force chaque messagerie en ligne comme opérateur (après un gros débat sur la question en 2013 et 2015), que les services en ligne collaborent déjà bien avec les autorités, qu’une loi française est envisagée et que les espoirs se portent dans le Code télécom européen. Des infos que j’ai obtenu des premiers concernés.
Jusqu’ici, on était dans l’idée que la déclaration “de force” d’un service comme opérateur était toujours la principale piste de la France sur la question, et ce volet du Code télécom européen était largement passé inaperçu.
Et pas encore de date pour le Code télécom, le processus législatif européen n’est pas si prévisible.
#18
#19
En quoi mon message a-t-il un rapport avec la surveillance de masse? (même si la question particulière est inquiétante).
Peu importe que tu veuille le croire ou non, les moyens d’interception et les capacités d’intrusion de l’Etat (pas nécessairement même l’usage qui en est fait) n’ont jamais été aussi performants, et le contrôle judiciaire sur leur utilisation est toujours plus remis en question.
Certaines personnes regardent trop enquête d’action et croient que la police est complètement démunie face aux “méchants” alors qu’en fait, ses moyens augmentent presque exponentiellement.
#20
toi t’as raté la news sur le contrat DGSI/Palantir visiblement.
" />
#21
Et des spécialistes du monitoring répondent que fouiller tout le trafic d’un opérateur demanderait des moyens énormes pour un résultat qui ne les mérite pas.
#22
des spécialistes qui disent au gouv que ses idées sont inapplicables ou inefficaces en regard du coût, il y en a tous les jours, mais oui effectivement. sans compter les faux positifs. ^^
Reste que fouiller le trafic d’un opérateur n’a à priori rien à voir avec le fait d’accéder aux données des messageries (qui est déjà un ciblage en soi).
la volonté de traiter des masses de données est bien là, celle d’accéder au contenu des conversations chiffrées aussi…
#23
#24
OK mais quand on voit avec qui ils travaillent et où, j’ai du mal à croire qu’ils n’arrivent pas à traiter les données de quelques dizaines de milliers de personnes.
#25
Ce serait pas envisageable un protocole décentralisé comme le mail appliqué a la messagerie ?
#26