La proposition politique revient régulièrement : il faudrait permettre aux autorités d’accéder au contenu des messages circulant par des messageries chiffrées - comme Signal ou WhatsApp. En 2023, la thématique est portée à la fois par le gouvernement britannique dans son projet de loi Online Safety Bill, par le parlement européen avec son projet de réglement pour la « protection de l’enfance sur Internet », aussi connu sous le nom de « Chat control », et par le ministre de l’Intérieur français, dans des déclarations faites, pour le moment, uniquement dans la presse.
De nombreuses organisations de défense des droits humains, ainsi que Signal et WhatsApp, s’opposent à une telle régulation qui mettrait en péril les fondements mêmes de la sécurité informatique. Leur mobilisation a porté en partie ses fruits du côté du gouvernement britannique, qui est revenu sur cette mesure en annonçant qu’elle ne serait appliquée que « quand ce sera techniquement faisable ». De la même manière, cette mesure affaiblissant le chiffrement a été sortie du projet de réglement européen, notamment grâce à la campagne « Stop scanning me ».
| Le chiffrement c’est quoi ? Le chiffrement (« cryptage » est parfois rencontré dans le langage courant mais recouvre une réalité technique différente), est une opération technique qui transforme des données de manière à ce qu’elles ne soient lisibles que par une personne détentrice d’un code précis. Ce code, appelé « secret » dans le langage de la science du chiffrement, la « cryptographie », peut être un nombre ou un mot de passe qu’on apprend par cœur, un fichier quelque part sur son ordinateur ou une clé stockée directement dans le processeur de son téléphone. Ce qui est important, c’est que si une personne arrive à récupérer des données chiffrées sans avoir accès au secret correspondant, les données sont incompréhensibles, inutilisables. Au lieu de devoir protéger les données en elle-mêmes, il suffit de protéger le secret pour que les données restent confidentielles. Le secret étant plus petit que les données, il est plus simple de garantir qu’il ne tombe pas en de mauvaises mains. |
Chiffrement sélectif
Chiffrer les communications est essentiel sur Internet puisque le fonctionnement même du réseau implique que la circulation des données repose sur des intermédiaires qu’on ne choisit pas forcément. Les fournisseurs d’accès, les opérateurs de cloud… sans chiffrement, chacun de ces intermédiaires a accès à toutes les données qui transitent par lui, et il peut donc les exploiter ou les transmettre à d’autres. La tentation pour un État d’empêcher le chiffrement est donc forte, puisque si les données ne sont pas chiffrées, il peut aller piocher dès qu’il a besoin dans les flux des données des intermédiaires techniques, avec tout le pouvoir légal à sa disposition.
Un État peut donc potentiellement intercepter automatiquement presque toutes les données circulant sur son territoire, ce qui a d’ailleurs déjà été tenté, comme l’a révélé l’affaire Snowden aux États-Unis. Cela signifie qu’à l’heure du numérique, sans chiffrement, la surveillance totale ou quasi-totale est possible. Le chiffrement est donc nécessaire pour garantir le droit effectif à la confidentialité des communications et donc la droit à la vie privée, comme le rappelle régulièrement l’ONU (Organisation des nations unies).
Face à cette objection, les États tentent depuis maintenant plusieurs décennies de défendre un chiffrement sélectif, qui pourrait être désactivé au cas par cas en cas de besoin judiciaire, en introduisant des portes dérobées dans les logiciels de chiffrement. Cette approche pose de nombreux problèmes, comme l’explique très bien l’ONG Internet Society dans son document « Le cryptage : Comment il peut protéger les groupes de pression et les mouvements sociaux ».
Pour résumer : le chiffrement sélectif n’est pas possible techniquement, le cadre judiciaire n’offre pas de garanties suffisantes dans de nombreux pays et cela met en danger les journalistes et la société civile.
Crypto Wars
Les attaques contre le chiffrement existent depuis le début du développement de cette technique, comme le rappelle La Quadrature du Net (voir la partie « Les États relancent leur guerre contre le chiffrement »). Les travaux de Martin Hellmann sur le sujet commencent en 1970 et s’inscrivent dès l’origine dans une logique de protection contre la « surveillance d’un État policier s’appuyant sur l’informatisation » et pour éviter que « l’utilisation croissante des outils de traitement automatisés représente une réelle menace pour l’économie et la vie privée ». Cela provoque une réponse immédiate des États-Unis qui vont tout faire pour garder le contrôle sur ces travaux en cherchant à les restreindre au champ militaire.
Le chiffrement a finalement connu une démocratisation dans les années 90, suscitant de nouvelles limitations du gouvernement états-unien. En France, il faut attendre 1999 pour que le chiffrement des communications individuelles soit autorisé.
Régulièrement, les gouvernements du monde entier cherchent à limiter la portée de cette technologie. La question des messageries en ligne est particulièrement sensible :
- Aux États-Unis, la remise en cause du droit à l’avortement est centrale, les exemples se multipliant d’utilisation de messages privés pour poursuivre des femmes ayant avorté
- En Tunisie, un décret-loi sur la « cybercriminalité » publié en décembre 2022 a instauré la possibilité pour la police d’accéder aux communications « pour les besoins de l’enquête », sans aucune restriction concernant le type d’enquête ou le type de communication
- En Inde, une loi de 2021 introduit une obligation pour les opérateurs de messagerie en ligne de garantir la traçabilité des messages, avec des interprétations divergentes de différents services gouvernementaux sur ce que cela implique en terme de chiffrement
-* En Turquie, une loi de 2022 oblige les fournisseurs de service à donner accès au contenu des messages privés.
Dans d’autres pays, ce n’est pas tant sur la question des messagerie que le gouvernement agit, mais plutôt sur la question de la censure des sites et applications et de la lutte contre les VPN et le réseau Tor, deux dispositifs permettant d’anonymiser les connexions et de contourner la censure dans le réseau Internet :
- La Jordanie bloque ainsi le site de rencontre gay Grindr depuis l’été 2023
- Au Sénégal, de nombreux sites d’information et des réseaux sociaux ont été rendus inaccessibles pendant plusieurs semaines pour tenter de limiter des mouvements sociaux
- En Russie, les VPN ont été interdits dès 2017.
- Au Venezuela, les VPN et le réseau Tor sont bloqués, ces mesures faisant partie d’un paysage plus vaste de censure d’Internet.
Plus largement, on constate que plus un gouvernement est autoritaire, plus il va chercher à contrôler les communications et donc à empêcher au maximum l’accès au chiffrement.
En Iran, Reporters Sans Frontières décrit dans un rapport comment l’interdiction des messageries chiffrées, des VPN et globalement de tous les moyens de communication chiffrées vise à obtenir un contrôle total des communications et de l’information dans le pays. Cet arsenal inclut des kits techniques sophistiqués pouvant cibler des participant⋅es à des manifestations pour bloquer complètement leurs communications.
Depuis maintenant 30 ans, la Chine a développé un système complet de censure et de contrôle d’Internet, qui oblige les citoyen⋅nes à n’utiliser que des sites et applications dont les données sont accessibles aux autorités chinoises. Ce système de surveillance peut aussi inclure des entreprises multinationales, qui acceptent de céder à la Chine le contrôle des données des citoyen⋅nes chinois⋅es pour pouvoir continuer à vendre en Chine, comme Apple, qui a annoncé en 2018 que les données iCloud de ses utilisateurices chinois⋅es seraient dorénavant stockées en Chine.
Le chiffrement comme activité suspecte
Les attaques actuelles contre le chiffrement menacent directement les libertés associatives, qui permettent l’organisation collective notamment. Ces libertés sont déjà mises à mal par d’autres mécanismes, que ce soit par des entraves juridiques, policières, financières ou par attaques réputationnelles. La criminalisation du chiffrement des communication entre dans le continuum des restrictions aux libertés, comme on a pu le voir dans le décret de dissolution des soulèvements de la Terre (qui a été annulé depuis), où le fait d’éteindre son téléphone et de refuser de communiquer les clés de déverrouillage de ses appareils est considéré, parmi d’autres, comme éléments constitutifs de modes opératoires violents. Alors même que l’utilisation de messageries chiffrées n’est, en France, pas illégale, les services de renseignement vont jusqu’à assimiler la pratique du chiffrement à un comportement terroriste.
La protection des pratiques numériques, dont le chiffrement fait partie, doit être considérée comme un élément fondamental des luttes menées partout dans le monde et, à ce titre, être défendue sur le même plan.