Une autre attaque terroriste, un autre projet de loi sur la surveillance proposé. Les politiciens apprendront-ils un jour que casser le cryptage ferait plus de mal que de bien ?
Après l'attentat terroriste de Vienne, le Conseil de l'UE veut une clé générale pour la communication cryptée par chat.
La proposition détournée
Un document interne de la présidence allemande du Conseil aux délégations des États membres, daté du 6 novembre, fait le tour des cercles de l’UE, comme le rapporte l’émetteur de la télévision autrichienne ORF. L’objectif est de forcer les services tels que WhatsApp, Signal et bien d’autres qui ont mis en place un cryptage de bout en bout pour leurs utilisateurs à permettre aux autorités d’accéder aux messages de chat cryptés à l’aide d’une clé générale. Il est clair que l’attaque terroriste de Vienne est utilisée par le Conseil des ministres de l’UE pour faire passer une loi contre le cryptage sûr pour les citoyens de l’UE.
À Bruxelles, les attentats terroristes sont régulièrement utilisés pour faire passer des mesures de surveillance prévues de longue date. Par exemple, le règlement sur la conservation des données a été adopté dans l’UE après les attentats terroristes de Madrid (2004) et de Londres (2005). La conservation générale des données a ensuite été déclarée illégale dans l’UE par la Cour de justice européenne, “signalant que les préoccupations de sécurité ne justifient pas des atteintes excessives à la vie privée”, comme la conservation générale des données pour tous les citoyens.
Néanmoins, le Conseil de l’UE veut à nouveau faire pression en faveur d’une loi sévère sur la surveillance. Cette fois, il veut un “accès exceptionnel” aux communications cryptées à l’aide d’une clé générale fournie par les services en question. Les détails de cette méthode ont été publiés par Politico en août.
La proposition de l’UE examinée
Le “Projet de résolution du Conseil sur le chiffrement - Sécurité par le chiffrement et sécurité malgré le chiffrement” souligne le fait que “L’Union européenne soutient pleinement le développement, la mise en œuvre et l’utilisation d’un chiffrement fort. Le cryptage est un moyen nécessaire pour protéger les droits fondamentaux et la sécurité numérique des gouvernements, de l’industrie et de la société”.
Toutefois, cela ne constitue qu’un engagement de pure forme lorsqu’on poursuit :
“Il est extrêmement important de protéger la vie privée et la sécurité des communications par le cryptage tout en préservant la possibilité pour les autorités compétentes dans le domaine de la sécurité et de la justice pénale d’accéder légalement aux données pertinentes à des fins légitimes et clairement définies dans le cadre de la lutte contre la criminalité grave et/ou organisée et le terrorisme, y compris dans le monde numérique. Toute action entreprise doit soigneusement peser ces intérêts”.
Bien que le Conseil de l’UE ait intitulé cette section “Créer un meilleur équilibre”, il s’agit en fait de Avoir une clé générale pour casser le cryptage au cas où les autorités en auraient besoin.
En tant que défenseurs de la vie privée, nous comprenons toutefois les risques que cela comporte, mais nous y reviendrons plus tard. La principale raison pour laquelle les autorités déclarent vouloir une telle clé générale est qu’elle les aurait aidées à prévenir les attaques terroristes. Examinons donc le dernier attentat terroriste à Vienne. Si les autorités autrichiennes avaient eu accès au chat crypté du terroriste, auraient-elles pu prévenir l’attentat ?
L’attaque terroriste de Vienne
Au début de l’année, les autorités allemandes avaient demandé à des collègues autrichiens de surveiller une rencontre entre deux islamistes présumés et le futur agresseur à Vienne en juillet. Dans l’évaluation des risques qui a suivi, des erreurs ont été commises par le futur agresseur, qui était en liberté conditionnelle après une précédente condamnation pour terrorisme.
Bien que les autorités slovaques aient également informé les autorités autrichiennes que le terroriste avait tenté d’acheter des munitions en Slovaquie, ces renseignements n’ont pas conduit à une surveillance constante du futur agresseur. Les autorités autrichiennes auraient même pu émettre un mandat d’arrêt à cause de son casier judiciaire.
Il devient de plus en plus évident que ce sont apparemment des erreurs d’enquête qui ont rendu l’attentat possible et non l’absence de pouvoirs de surveillance numérique.
Le ministre autrichien de l’intérieur a lui-même admis : “Des erreurs d’enquête apparentes et intolérables ont été commises” Pourtant, les politiciens appellent à nouveau à la surveillance de tous les citoyens - au lieu d’améliorer et d’éduquer leurs agents pour mieux évaluer les menaces potentielles avec les données dont ils disposent déjà.
L’ORF commente cela avec ironie : “Ce sont les “autorités compétentes” : GCHQ, DGSE, BND, etc., dont les méthodes de nettoyage par aspiration sur les fibres optiques produisent de moins en moins de données traitables en raison du cryptage croissant des transports. Afin d’éviter cette pauvreté imminente des données, des clés générales ont maintenant été demandées et il semble que le Conseil va les approuver. Cela signifie que le BVT (Office fédéral autrichien pour la protection de la constitution et la lutte contre le terrorisme), qui n’est même pas en mesure d’éliminer un terroriste servi deux fois sur un plateau d’argent par deux autres services, pourra à l’avenir enquêter pendant des semaines dans des sessions de chat sans succès”.
Si ce n’était pas si triste, cela nous ferait sourire.
Le résultat final est le suivant : Les autorités et les services de renseignement disposent déjà de nombreuses données sur les menaces potentielles. Il faut du temps et des personnes qualifiées pour évaluer ces données en profondeur et ainsi réduire les menaces potentielles les plus dangereuses. Rien ne prouve que l’ajout de données supplémentaires dans les bases de données aidera d’une quelconque manière à trouver des agresseurs potentiels.
Danger de la surveillance
Malheureusement, les dangers d’une telle surveillance générale dépassent largement les avantages. Ainsi, amener le cryptage à un “meilleur” équilibre avec les exigences des autorités, comme le dit le Conseil de l’UE, est loin d’être la vérité.
Le problème est - comme toujours avec le cryptage - de savoir qui contrôle la clé. Une fois qu’il existe une clé de décryptage générale pour les messages de chat cryptés, les autorités voudront l’utiliser. Les attaquants malveillants voudront l’obtenir. Les organismes publics voudront y avoir accès pour l’utiliser non seulement contre des criminels, mais aussi pour l’espionnage industriel, pour surveiller l’opposition dans les pays autocratiques, etc.
Les principales questions sont les suivantes :
- Qui décide quand la clé peut être utilisée ? (= Qui a accès aux clés ? Seuls les “bons” y auront-ils accès ?)
- Pour les historiques de chat de qui? (= Qui sera la cible de cette surveillance ? S’agira-t-il uniquement de criminels potentiels ou aussi de citoyens innocents, de militants, de politiciens d’opposition)
- Dans le cas de quels crimes ? (= Qui définit les crimes pour lesquels la clé peut être utilisée ? Qui fait les lois pour définir les crimes, même dans les pays non démocratiques)
Etant donné que nous avons déjà des gouvernements dans l’UE qui ont des tendances autocratiques comme la Pologne et la Hongrie, des pays qui rendent l’avortement illégal, qui discriminent les LGBT et d’autres minorités, nous devrions être bien conscients du mal qui pourrait être fait en donnant une clé de décryptage générale aux autorités de ces Etats membres européens.
Une clé générale pour tous les messages WhatsApp et Signal constituerait une cible de choix pour les criminels et les organismes d’État (criminels). Ce ne serait qu’une question de temps avant qu’une telle clé ne tombe entre des mains malveillantes. Ironiquement, l’UE elle-même a récemment recommandé à ses employés d’utiliser Signal pour chatter en toute sécurité avec des personnes extérieures à l’institution.
Une surveillance accrue
L’attentat de Vienne n’est qu’un des nombreux attentats perpétrés en Europe qui montrent que ce n’est pas une surveillance accrue qui est nécessaire pour lutter contre le terrorisme. Au contraire, une analyse effectuée par des journalistes a permis de conclure que tous les terroristes islamiques depuis 2014 étaient connus des autorités avant que les attentats n’aient eu lieu.
De même, le programme de surveillance téléphonique de la NSA aux États-Unis a non seulement été déclaré illégal récemment, mais il s’est également révélé coûteux et inefficace. Il n’a pas permis d’arrêter un seul attentat terroriste.
Lorsque les politiciens demandent de casser le cryptage - même si c’est pour les “bons” - ils ne nous proposent pas de choisir entre plus de sécurité ou moins. Ils nous font choisir aucune sécurité.
Appel aux politiciens européens pour qu’ils refusent la surveillance
Cette proposition du Conseil de l’UE ne doit jamais devenir une loi car
- Elle porte gravement atteinte au droit à la vie privée et à la liberté d’expression de chaque citoyen de l’UE.
- Il constitue une menace pour la sécurité et l’intégrité des données de chaque citoyen de l’UE.
- Il va à l’encontre du GDPR, qui visait à assurer la sécurité des données des citoyens européens.
Nous appelons les responsables politiques européens à s’informer sur la sécurité en ligne, sur l’importance du cryptage et sur les menaces qu’il représente pour les individus, ainsi que sur les menaces pour une société ouverte et démocratique.
En tant que société libre et ouverte, nous partageons les valeurs de la liberté d’expression et de la protection de la vie privée en Europe. Aujourd’hui, nous devons rester forts pour protéger ces valeurs.
Si ces libertés nous sont retirées, les terroristes ont déjà gagné.