Cybersécurité : l’Europe prise en tenaille entre 5G, quantique et surveillance de masse

La Commission européenne prévoit d'investir plus de 400 millions d'euros d'ici 2022 dans 71 projets de recherche et développement destinés à améliorer les systèmes de surveillance et politiques sécuritaires déployés dans l'UE. Sont notamment visés le chiffrement, la 5G, l'informatique quantique, et la gestion des catastrophes à venir.

La Commission européenne vient de rendre public le programme de travail 2021-2022 de son programme Horizon Europe de recherche et développement en matière de sécurité civile pour la société. Un catalogue de 214 pages qui arborent un filigrane « brouillon », à mesure qu'il n'a pas encore été adopté par l'Union européenne.

Y sont présentés 19 projets de recherche en matière de lutte contre le crime et le terrorisme, 10 en termes de « gestion des frontières », 4 pour ce qui est des infrastructures résilientes, 8 afin de renforcer la cybersécurité, et 9 programmes de soutiens à la recherche et à l'innovation en matière de sécurité.

• Cybersécurité : on peut prouver que « la sécurité parfaite n'existe pas », le problème de l'humain

S'appuyant sur les leçons tirées de la crise de la COVID-19 en termes de prévention, d'atténuation, de préparation et de renforcement des capacités de gestion des crises (y compris sanitaires), y figurent en outre 21 projets visant à rendre la société plus résiliente aux catastrophes.

Il s'agira tout autant d'améliorer la compréhension et la préparation des citoyens à l'exposition aux risques (naturels, climatiques, pandémiques, nucléaires, radiobiologiques ou chimiques notamment) et à la résilience sociétale, mais également la gouvernance et le management des risques en cas de catastrophe, même et y compris « à faible probabilité mais fort impact, ou imprévus ».

5 millions d’euros pour les interceptions sur la 5G

La Commission prévoit également de subventionner à hauteur d'« environ 5 millions d'euros » un programme de recherche d'« interception légale à l'aide de technologies nouvelles et émergentes (5G et au-delà, informatique quantique et chiffrement) ». Elle précise néanmoins que « cela n'empêche pas la soumission et la sélection d'une proposition réclamant des montants différents ».

La Commission explique en effet que « les technologies de communication basées sur des logiciels telles que la 5G et au-delà apporteront de nombreux avantages, mais poseront également un certain nombre de nouveaux défis pour la police et la justice » :

« En particulier, les systèmes d'interception licites devront s'adapter à l'utilisation accrue du chiffrement, y compris le chiffrement de bout en bout, à l'informatique en périphérie de réseau [edge computing, ndlr] qui pourrait limiter la disponibilité et l'accessibilité aux données pertinentes et qui multipliera le nombre d'opérateurs virtuels.

En outre, les réseaux d'accès à large bande passante posent le défi pour la police et la justice d'être en mesure de gérer une énorme quantité de données et accéléreront le passage à une communication au niveau des applications qui est couramment utilisée par les criminels.

Enfin, l'informatique quantique pourrait casser les standards de chiffrement actuels et être utilisée pour développer de nouvelles méthodes de chiffrement des communications à des fins illicites, les rendant impénétrables à l'interception. »

Le potentiel de l'informatique quantique

Les résultats des projets devraient contribuer à :

• améliorer les outils et programmes de formation permettant aux polices européennes d'anticiper et faire face aux technologies émergentes (notamment la 5G et au-delà, ainsi que le potentiel de l'informatique quantique en matière de chiffrement des communications), et de faciliter la prévention, la détection et les enquêtes en matière d'infractions criminelles et terroristes ;
• améliorer l'élaboration et la mise au point de la réglementation par les décideurs en matière d'interception légale, y compris sur les procédures et les règles d'échange de données entre les membres États et à l'échelle internationale, en tenant compte de la nature à l'épreuve des tribunaux des preuves ;
• contribuer à l'activité de normalisation en matière d'interception licite et d'accès aux preuves numériques, en favorisant une approche européenne des défis posés par les nouvelles technologies dans le domaine de la communication pour la police et la justice ;
• améliorer la compréhension de la capacité et de l'utilité de l'interception légale pour lutter contre le terrorisme et d'autres formes de criminalité, et des principaux défis liés à sa capacité à faire face aux technologies nouvelles et émergentes.

Le programme, qui s'inscrit dans l'appel regroupant plusieurs autres projets de lutte contre le crime et le terrorisme en 2021, nécessitera la participation active d'au moins 3 autorités de police d'au moins 3 États membres de l'UE ou pays associés différents.

Cependant, la participation d'autorités de « pays associés » participant au financement de la recherche de l'UE est également possible, relève Matthias Monroy, qui a repéré le projet. La France a d’ailleurs récemment annoncé son plan quantique.

• Les détails du Plan Quantique : 1,8 milliard d’euros, un « ordinateur hybride » à l’horizon 2023

Les défis liés au chiffrement

L'ONG StateWatch note pour sa part que la prochaine réunion de haut niveau sur la justice et les affaires intérieures entre l'UE et les États-Unis comprendra un point de discussion sur les « défis liés au chiffrement et à l'interception légale », les deux parties étant désireuses de trouver un moyen d'accorder aux forces de l'ordre l'accès aux technologies de communication chiffrées.

Il y sera question de « la récente résolution du Conseil ». Adoptée à la fin de l'année dernière, elle appelle à « des solutions techniques pour accéder aux données chiffrées » grâce à la coopération entre les États, l'industrie et « d'autres parties prenantes ».

L'objectif serait de pouvoir « protéger la confidentialité et la sécurité des communications grâce au chiffrement et en même temps maintenir la possibilité pour les autorités compétentes dans le domaine de la sécurité et de la justice pénale d'accéder légalement aux données pertinentes à des fins légitimes et clairement définies dans la lutte contre la criminalité grave et/ou organisée et le terrorisme, y compris dans le monde numérique, et le respect de l’état de droit sont extrêmement importants ».

Biométrie et anonymisation

Horizon Europe, le programme de recherche paneuropéen, prévoit également de financer, pour les années 2021 et 2022, des dizaines d'autres projets, visant notamment à améliorer la lutte contre la désinformation, les deepfakes et l'usurpation d'identité, la violence domestique et sexuelle, la criminalité environnementale, l'exploitation sexuelle des enfants, ou encore :

• les techniques avancées de pseudonymisation et d'anonymisation, afin de faciliter le partage de données entre chercheurs
• l'exploitation de technologies et de données biométriques en matière de police technique et scientifique, ainsi que l'innovation en matière d'automatisation de l'identification, de protection des données et de la vie privée, d'harmonisation des standards et d'interopérabilité en matière d'échanges de données, ou encore la possibilité de débloquer des smartphones
• les connaissances sur l'utilisation de la culture et de la structure des jeux en ligne par les extrémistes violents ainsi que sur leur modus operandi grâce aux salons de discussion, utilisés comme outils de recrutement et de radicalisation

Éviter la surveillance de masse

Un autre programme, doté d'un budget prévisionnel de 3 millions d'euros, vise à « protéger les espaces publics tout en respectant la vie privée et en évitant la surveillance de masse ».

L'appel à projets relève à ce titre qu'au-delà des systèmes de vidéosurveillance, sont également visés les capteurs acoustiques, la lecture automatique des plaques d'immatriculation (LAPI/ANPR) « et, à l'avenir, la reconnaissance faciale éventuellement généralisée ».

Il s'agirait tout d'abord d'améliorer la compréhension par les autorités locales, les opérateurs et les décideurs politiques des effets engendrés par la surveillance de masse des espaces publics sur le comportement des citoyens et des effets négatifs possibles sur les communautés locales.

La Commission reconnaît en effet que « l'expansion significative des domaines surveillés risque de créer des effets négatifs sur le droit à la vie privée », et que des études scientifiques ont montré que les personnes qui sont conscientes d'être surveillées se comportent différemment :

« En outre, il est prouvé que de tels systèmes sont souvent concentrés dans des quartiers socialement défavorisés, ce qui crée des risques de stigmatisation de ses habitants. »

La surveillance n'est qu'une partie de la solution

La croissance quantitative de la surveillance tant publique que privée est telle, souligne la Commission, que les citoyens sont à peine en mesure de pouvoir suivre où leurs données ont été capturées, et incapables de faire valoir leurs droits garantis par la législation applicable, comme le RGPD :

« Alors que les citoyens en tant que sujets de surveillance deviennent transparents envers les opérateurs publics et privés, les opérateurs eux-mêmes restent dans de nombreux cas inaccessibles et peu d'innovations technologiques sont utilisées pour s'assurer que seules les données pertinentes sont stockées et traitées. »

L'objectif serait dès lors d'améliorer la transparence pour les citoyens sur les différentes formes de surveillance par les forces de l'ordre, les autorités locales et les acteurs privés dans les espaces publics, et leur sensibilisation aux droits applicables vis-à-vis des opérateurs de ces systèmes.

La Commission reconnaît également que ces technologies de (vidéo)surveillance « ne sont dans le meilleur des cas qu'une partie de la solution », tout en incitant à réduire le personnel sur le terrain, limitant les interactions entre la police et les citoyens. Or, « une telle interaction est essentielle pour aborder la prévention du crime et la réponse aux menaces criminelles de manière holistique ».

À terme, il s'agirait donc d'améliorer la protection des espaces publics sans avoir besoin d'y collecter des données 24/7, et de développer un ensemble de normes communes et de bonnes pratiques en matière d'anonymisation et de minimisation des données « permettant une utilisation proportionnée des systèmes de surveillance déjà installés (tels que la vidéosurveillance) dans les espaces publics, réduisant le risque d'utilisation abusive des données collectées données et respect des droits fondamentaux, notamment la protection des données personnelles ».

« Alors que des ressources importantes de l'industrie et de la recherche sont investies dans la conception de nouveaux systèmes et la modernisation des systèmes de surveillance existants des espaces publics », la Commission en appelle pour sa part à une « recherche responsable et innovante » faisant appel à des experts et institutions ès sciences humaines et sociales, afin de stimuler la recherche d'alternatives :

« Une telle alternative pourrait identifier des moyens de protéger les espaces publics grâce à une interaction accrue avec les communautés locales, reconcevoir les capteurs pour s'assurer qu'ils capturent les données de la manière la plus proportionnée, via des fonctionnalités garantissant que seules les données pertinentes sont conservées, traitées et accessibles par les acteurs autorisés, et enfin explorer les technologies respectueuses de la vie privée. »

Au-delà du sentiment d'insécurité

Un autre projet part du constat que « les citoyens et les communautés locales ne sont pas suffisamment impliqués dans la co-création de processus socialement innovants pour développer des solutions de sécurité » et, par conséquent, les conceptions qu'ils se font de la sécurité pourraient être principalement façonnées par la couverture médiatique ».

Or, « cela peut entraîner un biais dans l'évaluation de la gravité et de la probabilité des différentes menaces à la sécurité », et donc de l’« acceptabilité sociale des technologies de sécurité ».

La Commission en appelle donc à une discussion approfondie impliquant les citoyens de toutes les parties de la société directement dans la co-conception, « par exemple par le biais de la recherche et de l'innovation responsables et de l'innovation sociale ».

Elle devrait dès lors intégrer les préoccupations du public « au-delà des interprétations basées sur les incidents, sentiments et perceptions subjectifs de la sécurité personnelle dans la vie quotidienne », d'une part.

Et, d'autre part, davantage orienter le développement de solutions de sécurité vers des approches de recherche et d'innovation socialement innovantes et responsables, co-crées avec les citoyens de sorte d'améliorer leur acceptabilité sociale.

Mettre ainsi l'accent sur une procédure de co-création dès la phase de conception pourrait également pallier le manque de connaissances correspondant sur la manière dont des solutions socialement innovantes peuvent contribuer à une sécurité et une perception de la sécurité accrues.

Dans le même temps, souligne la Commission, « l'industrie serait en mesure d'identifier de nouvelles opportunités commerciales dans la production et la fourniture de produits et services de sécurité, qui correspondent aux besoins, aux valeurs et aux attentes des citoyens et des communautés locales et soutiennent leur bien-être ».

Des drones, et des sous-marins

En matière de « gestion des frontières », la Commission n'en financera pas moins des projets de recherche visant à améliorer les capacités de surveillance visuelle et acoustique des frontières maritimes, terrestres et aériennes de l'espace Schengen :

« Les activités de recherche et d'innovation pourraient être menées à l'aide d'une gamme d'approches technologiques, y compris, mais sans s'y limiter, les drones, les ballons, les dirigeables, les plates-formes à haute altitude (HAP), les solutions Lighter-Than-Air (LTA), les microsatellites, l'imagerie satellite, etc. »

Un second projet visera, en 2022, à améliorer la surveillance sous-marine, des organisations criminelles ayant pour modus operandi de cacher des cargaisons de stupéfiants sous la surface de l'eau de grands et moyens navires, et d'utiliser des sous-marins dédiés.

Un autre programme de recherche voudrait améliorer et automatiser la détection d'armes, d'explosifs, de drogues (même et y compris sous les vêtements ainsi qu'à l'intérieur d'un corps humain) et tabacs de contrebande, d'argent liquide et de contrefaçons, sans perturber les flux des opérateurs de transport de personnes, courriers et colis.

71 projets, 413 millions d'euros

En termes de cybersécurité, plusieurs projets visent à améliorer :

• la sécurité des objets connectés et logiciels embarqués reposant sur l'open source et l'open hardware ;
• la compréhension des potentielles utilisations de l'intelligence artificielle pour aggraver la puissance ou la furtivité de cyber-attaques ;
• technologies évolutives et fiables de préservation de la confidentialité des registres de données personnelles fédérés (telles que le chiffrement homomorphe) et leur intégration dans des systèmes du monde réel via un écosystème européen renforcé de développeurs open source et de chercheurs de solutions de protection de la vie privée ;
• solutions et méthodes de transition vers la cryptographie quantique résistante, afin de combler les écarts entre ses possibilités théoriques et ses implémentations pratiques.

Au total, la Commission estime que le budget prévisionnel de ces 71 projets de recherche devrait atteindre 413 millions d'euros.