L’Europe va proposer une législation affaiblissant le chiffrement

La Commission travaille à un ensemble de mesures – accords de gré à gré et législation sur le chiffrement – visant à forcer les messageries chiffrées type WhatsApp à collaborer avec les forces de l’ordre.

Après une initiative franco-allemande sur le sujet, après la volonté affichée du Royaume-Uni d’obtenir une collaboration plus poussée des éditeurs de messageries chiffrées, au tour de la Commission européenne de s’attaquer au chiffrement. Par la voix de la commissaire Věra Jourová, Bruxelles a annoncé cette semaine sa volonté de durcir la législation européenne en lançant une initiative dès le mois de juin.

La Commission se focalise sur les messageries chiffrées de bout en bout, de type WhatsApp ou Telegram, et prévoit d’offrir « 3 ou 4 options » à l’industrie, incluant une législation contraignante et des accords permettant aux forces de l’ordre de requérir des éditeurs de messagerie des données. « Avec une réponse rapide et fiable » de ces derniers, précise Věra Jourová. « À l’heure actuelle, les procureurs, les juges ainsi que les forces de l’ordre dépendent de la bonne volonté des fournisseurs à fournir volontairement l’accès aux données et aux preuves. Ce n’est pas ainsi que nous pouvons assurer la sécurité des Européens », ajoute la commissaire.

S’aligner sur la législation des télécoms

L’UE imagine un cocktail mélangeant législation et accords de gré à gré avec les entreprises du secteur. Une façon d’aménager le calendrier, les seconds permettant de disposer « d’une solution rapide », la discussion des textes de loi pouvant demander des années dans l’UE. Selon Věra Jourová, les mesures couvriront aussi le cas des fournisseurs localisés en dehors de l’Union.

Suite à l’attentat de Londres la semaine dernière, la ministre de l’Intérieur britannique a plaidé pour une possibilité d’accès aux contenus des messageries chiffrées, l’auteur de l’attaque ayant utilisé WhatsApp juste avant ses crimes. Des circonstances tragiques qui semblent avoir relancé l’initiative franco-allemande de l’été dernier, où, dans une lettre, Bernard Cazeneuve et Thomas de Maizière, les ministres de l’Intérieur des deux pays, plaidaient pour un alignement de la législation touchant les opérateurs du Net sur celle des opérateurs télécoms. Avec, pour conséquence, l’accès sur demande aux données pour les forces de l’ordre. Une volonté confirmée cette semaine par Thomas Fekl, le nouveau locataire de la place Beauvau. « Nous devons passer d’un système où nous réglementons en fonction de la technologie à une logique basée sur l’usage de la technologie », dit de son côté Thomas de Maizière. Bref, Skype devrait être soumis aux mêmes obligations que les opérateurs télécoms.  

La tentation des backdoors ?

Ces législations en gestation font peser un risque important sur les services de messagerie. Ces derniers sont en effet en train de généraliser le chiffrement de bout en bout, au sein duquel même le fournisseur du service ne peut accéder au contenu des échanges. Se conformer à la future législation européenne impliquerait donc des changements technologiques significatifs pour les WhatsApp, Telegram et autre Signal. Les solutions envisageables passent par l’introduction de backdoors ou d’une clef maître, permettant de déchiffrement tous les échanges. Avec, dans chaque cas, des risques de détournement du système par des tiers. 

Une difficulté structurelle qu’a reconnue Gilles de Kerchove, le coordinateur de l’anti-terrorisme au sein de l’Union, dans les colonnes d’Eurativ. « La question est : pouvez-vous ouvrir une porte dérobée à Europol uniquement ou cela implique-t-il de créer en même temps une vulnérabilité et d’ouvrir une porte dérobée à la mafia russe ou à des espions tiers ? Cela fait partie de la discussion même si nous n’en sommes pas encore là. Il y a un travail interne à mener – c’est une question délicate », expliquait-il. 

A l’industrie de résoudre la quadrature du cercle 

En 2016, en réponse à un questionnaire du gouvernement slovaque, occupant alors la présidence du Conseil de l’Union européenne, 5 pays sur 12 (Hongrie, Croatie, Italie, Lituanie et Pologne) s’étaient prononcés clairement pour une législation européenne sur le chiffrement. L’Allemagne avait fait valoir que ce texte ne devait pas remettre en cause le respect de la vie privée, une question essentielle sur la scène politique intérieure outre Rhin. La France n’avait pas répondu. 

Mais, en février dernier, le ministre de l’Intérieur français (alors Bruno Le Roux), associé à son homologue allemand Thomas de Maizière, relançait la Commission européenne. Et de plaider pour une nouvelle législation définissant « de nouvelles obligations à la charge des prestataires de services de communication par voie électronique tout en garantissant la fiabilité de systèmes hautement sécurisés ». Autrement dit, charge à l’industrie de résoudre la quadrature du cercle, en proposant des solutions de chiffrement à la fois sécurisées et offrant un accès à l’information en clair aux services de police en cas de besoin.  

Et ce, même si les experts du sujet, y compris l’Agence nationale de la sécurité des systèmes d’information en France (dirigée par un spécialiste du chiffrement, Guillaume Poupard) et son équivalent européen (l’Enisa), pointent régulièrement les dangers que font peser l’introduction de backdoors. « L’affaiblissement du chiffrement, les portes dérobées, ces solutions ne marchent pas », disait encore Guillaume Poupard en janvier dernier. 

A lire aussi :

Backdoors dans le chiffrement : la France et l’Allemagne insistent

Chiffrement : pour l’Anssi, la tentation des backdoors a disparu

Cazeneuve s’attaque au chiffrement fort, sans l’appui du CNNum, ni de Lemaire

© European Union , 2016 / Source: EC – Audiovisual Service  / Photo: Jean-François Badias