Le projet de surveillance des réseaux sociaux fait un tollé à Maurice

Supermen in the middle
Droit 9 min
Le projet de surveillance des réseaux sociaux fait un tollé à Maurice
Crédits : ICTA

La proposition du régulateur mauricien des télécommunications (ICTA) de déployer un « nouvel ensemble d'outils techniques » afin d'intercepter, décrypter, archiver, inspecter voire bloquer le trafic https des réseaux sociaux fait bondir les ONG de défense des libertés, mais également Mozilla et Google, qui avaient déjà bloqué un projet kazakh similaire.

La proposition de l'ICTA, soumise à consultation depuis le 14 avril, avait rapidement fait scandale, d'abord sur Twitter, puis dans la presse mauricienne, comme le rappelle cette chronologie de lexpress.mu.

Pour rappel, elle permettrait à l'ICTA, en cas de plainte, de : 

  • bloquer la page web incriminée sans bloquer l'ensemble du site de médias sociaux ;
  • bloquer un faux profil et en déterminer l'auteur sans qu'il soit nécessaire de contacter l'administrateur du réseau social) ;
  • déterminer l'adresse IP d'origine d'un commentaire offensant ;
  • une fois le décryptage effectué, envoyer le trafic à un logiciel d'analyse de données doté d'une fonction de rapport avancée pour pouvoir rechercher des mots-clés spécifiques, des commentaires postés, etc. 

Fin avril, l'ICTA avait réagi en publiant un communiqué précisant qu'elle « réaffirme que seuls les abus sur les réseaux sociaux publics font l’objet de sa proposition ». Elle réfutait « catégoriquement » les « fausses informations » comprenant « de nombreuses erreurs », à commencer par le fait que l'outil proposé pourrait « filtrer toutes les connexions de n’importe quel site web ou application », ou encore qu'il pourra « dans le futur monitorer et sauvegarder toutes les données » des internautes mauriciens.

Réitérant que « les communications privées sont inviolables de par la Constitution », l’ICTA précisait « encore une fois que ce ne sont que les données relatives aux réseaux sociaux publics qui pourraient transiter par l’outil technologique que le régulateur se propose d’utiliser » :

« Tout le reste du trafic Internet n’est absolument pas concerné par cette proposition. De ce fait, contrairement à ce qui est dit, à aucun moment l’ICTA n’aura accès aux mots de passe, login, et autres données privées des internautes ».

Elle concluait son communiqué en rappelant que « l’objectif de la proposition et de la consultation élargie a pour objectif de trouver la meilleure solution possible aux nombreux abus, dérapages et « fake news » sur les réseaux sociaux à caractère public uniquement ».

Mais également qu'« il sera également nécessaire d’établir des cadres légaux et techniques pour garantir que cet outil soit utilisé d’une manière qui respecte la Constitution et les droits des citoyens », laissant donc également, et paradoxalement, entrevoir que ces derniers pourraient donc pâtir de ces futurs « cadres légaux et techniques » encore indéterminés.

Elle vient en outre de publier une vidéo, en créole mauricien, censée dénoncer ce qu'elle présente comme 7 contre-vérités : 

 

Les défenseurs des libertés pas (du tout) convaincus

De fait, ce démenti n'a pas du tout convaincu la cinquantaine d'ONG de défense des libertés, dont Access Now, RSF, l'Electronic Frontier Foundation, le Committee to Protect Journalists, Global Voices et Wikimedia France qui ont, ce mercredi 12 mai, appelé Maurice à abandonner son projet.

Elles estiment en effet que « dans sa forme actuelle, ce projet potentiellement dangereux menace la vie privée et la liberté d'expression des habitants de Maurice ».

« Les amendements proposés dans le document de consultation de l'Autorité des technologies de l'information et de la communication de Maurice vandaliseraient la vie privée et porteraient atteinte à la liberté d'expression pour les années à venir », a déclaré Bridget Andere, chargée de politique africaine chez Access Now .

La coalition soulève une série de problèmes :

  • L'ensemble d'outils techniques nécessitant l'interception, le décryptage et l'archivage de tout le trafic Internet – y compris le trafic des réseaux sociaux – cassera le chiffrement et, avec lui, la confidentialité et la sécurité des communications des utilisateurs. De plus, cela permettrait aux autorités de fermer facilement des sites Web et des services entiers ;
  • Le décryptage et l'archivage obligatoires de tout le trafic des réseaux sociaux constituent une atteinte à la vie privée, à la liberté d'expression et à d'autres droits, et ne sauraient entraîner les utilisateurs qui ne consentent pas à cette proposition à se voir refuser l'accès aux services en ligne, ce qui équivaudrait à une censure arbitraire et illégale ;
  • Un organe administratif tel que le Comité national d'éthique numérique ne devrait pas avoir l'autorité finale, ses décisions devraient être soumises à un contrôle juridictionnel afin de faire respecter l'état de droit et contribuer à garantir leur indépendance globale ;
  • Les pouvoirs discrétionnaires proposés par le Comité national d'éthique numérique quant au contenu « illégal et préjudiciable » constituent des menaces importantes pour la liberté d'expression, la vie privée et la sécurité ;
  • Le type de réglementation « où les agences gouvernementales, plutôt que les autorités judiciaires, deviennent les arbitres de l'expression légale » est en contradiction avec la procédure régulière et ne permet que des possibilités extrêmement limitées de faire appel des renvois.

La preuve par les RFC

Mozilla et Google viennent par ailleurs de répondre à l'ICTA, estimant eux aussi que « les changements proposés porteraient un préjudice disproportionné à la sécurité des utilisateurs mauriciens sur Internet et devraient être abandonnés : la sécurité et la vie privée des individus sur Internet sont fondamentales et ne doivent pas être traitées comme étant facultatives » :

« Cette action brutale et disproportionnée permettra au gouvernement de décrypter, lire et stocker tout ce qu'un utilisateur tape ou publie sur Internet, y compris d'intercepter leurs informations de compte, leurs mots de passe et leurs messages privés ».

A contrario, « elle sapera la confiance dans l'infrastructure de sécurité fondamentale qui sert actuellement de base à la sécurité d'au moins 80 % des sites web qui utilisent HTTPS, y compris ceux qui effectuent du commerce électronique et d'autres transactions financières critiques, tout en ne faisant rien pour répondre aux préoccupations légitimes de modération du contenu dans les langues locales ».

De plus, relèvent-ils dans leur réponse à l'ICTA, l'approche proposée par l'Autorité « ne fonctionnera pas avec les appareils mobiles qui limitent l'utilisation des certificats conçus pour l'interception ». De même, ce type d'interception « n'est pas compatible avec l'utilisation et le déploiement de technologies telles que le DNS over HTTPS (DoH), le RPKI et le TLS Encrypted Client Hello, qui sont toutes essentielles pour renforcer la sécurité et la confidentialité sur Internet ».

Ils renvoient en outre l'ICTA au RFC 7754 du Conseil de l'architecture Internet (IAB) consacré aux considérations techniques liées aux services de blocage et de filtrage de l'Internet, qui « met en évidence les nombreux défis techniques de l'approche proposée par l'Autorité Internet, ainsi que les impacts intentionnels et les limites de leur efficacité ».

Le précédent kazakh

« Nous sommes d'accord avec la déclaration de l'Autorité selon laquelle "le cadre statutaire proposé interférera sans aucun doute avec les droits et libertés fondamentaux du peuple mauricien, en particulier son droit à la vie privée, à la confidentialité et à la liberté d'expression" », concluent-ils de façon somme toute ironique, et exhortent dès lors l'Autorité « à ne pas poursuivre cette approche ».

Les deux fournisseurs de navigateurs avaient déjà pris des mesures pour empêcher le gouvernement kazakh d’intercepter le trafic Internet de ses citoyens avec un projet similaire, en 2019, et 2020, en bloquant le certificat que les autorités voulaient obliger les internautes à installer dans leurs navigateurs afin de pouvoir effectuer ce type d'attaque dite de l'homme du milieu (HDM, ou MITM, pour man-in-the-middle attack, en VO).

« Maurice a beau être l’un des pays africains salués comme des modèles de démocratie et de respect des droits humains », relève pour sa part RSF, « le manque d’indépendance de l’organe de régulation ne contribue pas à l’émergence d’un journalisme de qualité ».

De plus, des amendements à la loi sur l’information et les télécommunications adoptés en 2018 « renforcent fortement les sanctions prévues en cas d’abus sur internet (et) permettent de sanctionner de peines de prison les auteurs de contenus en ligne "contrariants" ou "dérangeants" », les poursuites pouvant aboutir à une condamnation allant jusqu’à 10 ans de prison.

Un outil pour le moins flou

Dans un communiqué publié ce jeudi, l'ICTA « souhaite faire le point à ce sujet », et indique avoir d'ores et déjà reçu 1 569 réponses à ce jour, émanant d'« une majorité de citoyens Mauriciens, mais aussi des professionnels du secteur des TIC, des associations et ONGs diverses locales, des leaders ou mouvements religieux, des associations internationales liés à ce secteur ou à la défense de la liberté d’expression, ou encore des multinationales telles que Google » :

« Pour l’ICTA, le fait que des compagnies aussi importantes que Google ou Mozilla se soient exprimées sur cette question prouve qu’il s’agit d’une problématique internationale, qui ne touche pas uniquement Maurice ».

Dans une FAQ associée, l'ICTA précise que l’une de ses prérogatives est de « réguler et réduire tout contenu nuisible sur Internet ou d’autres services de télécommunication », mais également que « les citoyens se tournent automatiquement vers le régulateur lorsqu’ils sont victimes d’abus sur Internet ou pour signaler des contenus nuisibles ».

Or, « Maurice étant un petit pays, nous n’avons pas la même force de négociation avec les réseaux sociaux que les grandes nations », et « le problème est que les procédures prennent énormément de temps, et certaines publications violentes, incendiaires voire criminelles peuvent rester visibles pendant des semaines ou des mois ».

Pour autant, la description que donne l'ICTA de sa proposition reste pour le moins floue, et l'on peine à comprendre comment elle pourrait ainsi se substituer à Facebook : « Il s’agit d’un outil technologique nous permettant de bloquer et d’archiver une page sur le site d’un réseau social après réception d'une plainte sans avoir à bloquer le site complètement » :

« Nous n'activerons l’archivage avec l’outil qu'après avoir reçu une plainte, et la page incriminée serait bloquée seulement dans les cas où le contenu en question aura été jugé illégal et dangereux selon les lois en vigueurs ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !