La France s’apprête à modifier un projet de loi contre le trafic de stupéfiants, la loi “Narcotrafic”, qui obligera les applications de messagerie cryptées telles que Signal et WhatsApp à mettre en place une porte dérobée pour pouvoir remettre les messages de chat décryptés des criminels présumés dans les 72 heures suivant la demande. Pour l’appliquer, le texte prévoit une “amende de 1,5 million d’euros pour les personnes physiques et une amende pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial pour les personnes morales”. L’amendement a déjà été adopté par le Sénat et passe maintenant rapidement à l’Assemblée nationale.

La France, comme d’autres pays, a réussi ces dernières années à pénétrer dans les applications de chat cryptées utilisées par les criminels, telles que Encrochat et AN0M. Ces vastes quantités de données décryptées provenant de criminels ont aidé les services répressifs de nombreux pays à poursuivre les criminels et à comprendre le fonctionnement de la criminalité organisée. Il semble que cette nouvelle loi vise le même objectif, puisqu’elle permettrait aux services répressifs de poursuivre plus facilement les criminels.

Cependant, briser le cryptage d’une application conçue par des criminels pour des criminels est une toute autre chose que de briser le cryptage d’applications de chat utilisées par des milliards de personnes, telles que WhatsApp, Signal et Tuta Mail. Dans ce dernier cas, les dommages collatéraux seraient terribles.

Une attaque contre la sécurité et la vie privée

Le chiffrement est le fondement de la sécurité des communications numériques. C’est ce qui permet de protéger nos données et nous-mêmes dans l’internet d’aujourd’hui. Malheureusement, l’internet n’est pas un lieu sûr, mais un endroit où des attaquants malveillants et des espions étrangers se cachent pour s’emparer de vos données afin de commettre des fraudes, des extorsions ou de l’espionnage industriel.

En imposant des portes dérobées, le gouvernement français ne compromet pas seulement la sécurité de tous les utilisateurs, qu’il s’agisse de citoyens ou d’entreprises, mais cette loi “nacrotrafic” modifiée est très probablement en contradiction avec les lois européennes sur la protection des données, telles que le GDPR, la loi allemande sur la sécurité des technologies de l’information (IT Security Act) et le TKG. Le GDPR rend le contrôle des données personnelles aux citoyens en obligeant les entreprises à protéger les données personnelles, éventuellement avec un cryptage de bout en bout. En outre, la loi allemande sur la sécurité des technologies de l’information (IT-Sicherheitsgesetz) prévoit que les infrastructures critiques (y compris les systèmes informatiques) doivent être protégées contre les cybermenaces et les accès non autorisés, et la loi allemande sur les télécommunications (TKG) réglemente la sécurité des services de communication et des données. Une loi comme la loi française “Narcotrafic” qui oblige les entreprises à mettre en œuvre des mesures techniques pour permettre l’accès des forces de l’ordre (comme les portes dérobées) pourrait être en conflit avec les obligations de protection des données imposées aux entreprises informatiques allemandes. La question se pose donc de savoir si et comment les entreprises européennes, et en particulier allemandes, pourraient se conformer à la loi française “Narcotrafic” .

Le Contrôleur européen de la protection des données, par exemple, clarifie la situation:

“Le cryptage, c’est-à-dire l’encodage de messages de manière à ce que seuls les destinataires prévus puissent les comprendre, est l’un des principaux outils permettant de garantir la sécurité de nos informations. Il est reconnu comme nécessaire à l’économie numérique et à la protection des droits fondamentaux, tels que la vie privée et la liberté d’expression.

”Si les services répressifs ont besoin de moyens pour lutter contre la criminalité sur l’internet, toute nouvelle mesure devrait d’abord passer le test de la nécessité et de la proportionnalité, sur la base de preuves étayées. Si le chiffrement rend difficile la collecte de données en vrac et la surveillance de masse, il n’est pas un facteur limitant pour des mesures plus ciblées et plus spécifiques. Les restrictions en matière de cryptage présentent des risques importants pour l’économie et la société en général.

Abolition de la sécurité pour tous

L’affaiblissement du chiffrement n’affecte pas seulement les criminels, mais aussi tous les particuliers, les entreprises, les journalistes, les militants et les organismes publics qui dépendent d’une communication sécurisée. Les portes dérobées créées pour les forces de l’ordre deviennent inévitablement des points d’entrée potentiels pour les acteurs malveillants, y compris les cybercriminels et les agences de renseignement étrangères de pays tels que la Russie et la Chine. Une fois que le chiffrement est compromis, il ne peut plus protéger de manière sélective uniquement les personnes jugées “légitimes” par l’État - il devient fondamentalement plus faible pour tout le monde. Compte tenu des menaces auxquelles nous sommes actuellement confrontés, en particulier ici en Europe, l’affaiblissement du chiffrement serait une mesure dangereuse qui nous mettrait tous en danger.

Une bande dessinée l’a bien montré à l’époque où le FBI voulait qu’Apple mette à mal le chiffrement de bout en bout utilisé sur les iPhones.

Cette bande dessinée montre le PDG d’Apple, Tim Cook, en train de déverrouiller l’iPhone tandis que le FBI, les pirates informatiques, les régimes répressifs et d’autres encore font la queue pour avoir accès aux données décryptées.

Les partisans du chiffrement gagnent du terrain

Des informations plus récentes montrent que les agences gouvernementales soutiennent de plus en plus le chiffrement de bout en bout. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a notamment recommandé l’** utilisation du chiffrement de bout en bout à** la suite du piratage de Salt Typhoon, une attaque des Chinois qui leur a permis (et leur permet toujours) d’écouter les appels téléphoniques passés par les fournisseurs de services de télécommunications américains. En février dernier, les forces nationales suédoises ont fait de même, recommandant l’utilisation d’applications cryptées pour les appels et les messages au lieu des appels téléphoniques traditionnels. Toutes deux mentionnent l’application de chat chiffré à sécurité quantique Signal comme moyen de protéger toutes les communications, et pas seulement les messages très sensibles. Mais aujourd’hui, le chiffrement même qu’offrent les applications comme Signal et les fournisseurs de messagerie électronique comme Tuta est menacé par la loi française “Narcotrafic”.

Qu’est-ce que la loi “Narcotrafic” ?

L’organisation La Quadrature du Net a rédigé une explication détaillée sur ce que comprend l’amendement de la loi “Narcotrafic”. Elle montre que les risques pour la sécurité et la vie privée de chacun l’emportent largement sur les avantages qu’en tireraient les forces de l’ordre.

• La loi dite “Narcotrafic” s’attaque à la protection des messageries cryptées (telles que Signal ou WhatsApp) en imposant l’installation de portes dérobées pour la police et les services de renseignement.

• En modifiant le régime juridique de la criminalité organisée, applicable dans d’autres cas, cette loi ne s’applique pas seulement au trafic de drogue. Elle peut même être utilisée pour surveiller les activistes.

• Le dossier, une disposition de la loi, rend secrètes les pièces d’un dossier détaillant les modalités d’utilisation des techniques de surveillance au cours d’une enquête. Cela porte atteinte au droit à la légitime défense et empêche la population de connaître l’étendue de la capacité de contrôle de la police judiciaire.

• Le texte prévoit la possibilité pour la police d’activer à distance les microphones et les caméras des appareils connectés fixes et mobiles (ordinateurs, téléphones, etc.) pour espionner les personnes.

• Il élargit l’autorisation de l’utilisation des “boîtes noires”, une technique d’analyse des données de toutes nos communications et échanges sur Internet à des fins de “lutte contre la criminalité et la délinquance organisée”.

• La police pourra renforcer sa politique de censure des contenus sur Internet en l’étendant aux publications liées à l’usage et à la vente de stupéfiants. Les risques d’abus pour la liberté d’expression sont donc amplifiés.

Luttons pour le chiffrement

Avec l’introduction du GDPR en 2018, l’Union européenne s’est placée en première ligne pour défendre le droit à la vie privée et à la sécurité des citoyens. Permettre à la France de mettre en œuvre des mesures de surveillance aussi extrêmes que celles proposées dans le cadre de la loi “Narcotrafic” créerait un dangereux précédent qui porterait atteinte aux valeurs défendues par l’UE. Nous ne devons pas permettre que des politiques motivées par la peur érodent la sécurité et la liberté de tous les citoyens européens.

Tuta appelle fermement l’Assemblée nationale française à rejeter cet amendement et à défendre les droits fondamentaux de la vie privée, de la sécurité et de la liberté d’expression. N’oubliez pas : Une porte dérobée pour les gentils seulement n’est pas possible.

Faites passer le message et impliquez-vous ! Voici comment.

La Quadrature du Net a rassemblé d’excellentes ressources que vous pouvez utiliser pour contacter votre représentant.

Appelez votre représentant dès maintenant et dites-lui de voter “Non” à l’amendement de la loi “Narcotrafic” !