Nouvelles de Tuta

Lettre ouverte contre ProtectEU

Nouveau nom, mêmes problèmes : L'UE appelle désormais le contrôle du chat "ProtectEU", mais il s'accompagne des mêmes problèmes de portes dérobées qu'auparavant.

The EU vs encryption? It's time that politicians understand that encryption protects us all!

Aujourd'hui, une coalition d'environ 90 organisations et individus, dont Tuta, a publié une lettre commune exhortant l'UE à ne pas compromettre le chiffrement avec le nouveau projet ProtectEU.

Matthias Pfau, PDG de Tuta, prévient que si l’UE continue sur cette voie, elle risque de perdre des entreprises innovantes et soucieuses de la protection de la vie privée, ainsi que la confiance de ses citoyens :

“Un chiffrement fort est essentiel pour protéger les droits de l’homme et l’infrastructure numérique de l’Europe. Toute tentative d’accorder aux forces de l’ordre un accès exceptionnel introduirait de dangereuses vulnérabilités. Il n’y a pas de solution technique miracle, l’accès pour les “gentils seulement” n’est pas possible. Les soi-disant solutions telles que l’analyse côté client sapent le cryptage et ouvrent une porte dérobée pour tout le monde, y compris les acteurs criminels et les services de surveillance parrainés par l’État. Nous demandons instamment aux dirigeants de l’UE de ne jamais affaiblir la sécurité lors de l’élaboration de la feuille de route technologique sur le chiffrement”, déclare Matthias Pfau, PDG de Tuta Mail.

Le chiffrement est fondamental pour la sécurité de tous et son affaiblissement peut avoir des conséquences dévastatrices, comme l’ont montré les récentes attaques de pirates informatiques chinois contre des fournisseurs de télécommunications américains. Il s’agit de l’une des pires atteintes à la sécurité de l’histoire des États-Unis, qui n’a été possible que parce que ces systèmes de télécommunications obsolètes n’utilisent pas le cryptage de bout en bout. À la suite du piratage de Salt Typhoon, les forces armées suédoises ainsi que l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont recommandé Signal, une alternative à WhatsApp chiffrée de bout en bout, pour sécuriser les communications sensibles.

Chez Tuta, nous affirmons que les portes dérobées au chiffrement ne doivent pas être autorisées, car les acteurs malveillants en abuseront.

Principales raisons de s’opposer à ProtectEU

  • Menace pour les droits fondamentaux et la sécurité : Le projet de l’UE d’élaborer une feuille de route technologique sur le chiffrement inclut l’idée de permettre aux forces de l’ordre d’accéder aux données chiffrées.

  • Techniquement impossible: Les experts en cryptographie soulignent qu’il est impossible de fournir un tel accès sans affaiblir le chiffrement ; tout “accès exceptionnel” introduit des vulnérabilités exploitables par des acteurs malveillants et des régimes autoritaires.

  • Des solutions boiteuses: Les propositions telles que le balayage côté client ne préservent pas la vie privée ; elles permettent une surveillance de masse et augmentent le risque de failles de sécurité.

  • Le chiffrement doit être de bout en bout: Un chiffrement fort est essentiel pour sauvegarder les droits de l’homme et sécuriser l’infrastructure numérique dans toute l’Europe.

Turn ON Privacy in one click.

Lettre ouverte à l’UE du 26 mai 2025

89 organisations de la société civile, entreprises et experts en cybersécurité appellent la Commission européenne à défendre un chiffrement fort.

En résumé, les auteurs de la lettre ouverte relative à ProtectEU veulent s’assurer que les droits de l’homme sont respectés et maintenus et que l’Union européenne conserve sa réputation mondiale de marché des technologies de l’information où la protection des données est garantie. Avec notre lettre ouverte, nous mettons l’accent sur les points suivants :

  • Un chiffrement fort n’est pas un obstacle à la sécurité de l’UE mais une condition préalable, positionnant l’utilisation généralisée du chiffrement de bout en bout comme un outil pour faire progresser la cybersécurité et la résilience de l’UE dans le contexte géopolitique actuel.

  • Le chiffrement est bénéfique pour l’UE et ses citoyens ; il est nécessaire pour renforcer la cyberdéfense en accord avec les stratégies de sécurité existantes de l’Union européenne.

Madame Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie, et Monsieur Magnus Brunner, membre de la Commission chargé des affaires intérieures et de la migration

Les organisations de la société civile, les entreprises et les experts en cybersécurité soussignés, y compris les membres de la Global Encryption Coalition, partagent d’urgence leurs préoccupations concernant certains aspects de la stratégie européenne de sécurité intérieure récemment annoncée (Protect EU) en raison de son impact potentiel sur le chiffrement de bout en bout.

Le 1er avril, la Commission européenne a présenté sa nouvelle stratégie quinquennale, ProtectEU, qui vise à répondre aux préoccupations de l’Union européenne en matière de sécurité dans un contexte géopolitique en rapide évolution. Cette stratégie comprend l’intention de la Commission européenne d’élaborer une “feuille de route technologique sur le chiffrement, afin d’identifier et d’évaluer les solutions technologiques qui permettraient aux autorités chargées de l’application de la loi d’accéder aux données chiffrées d’une manière légale”.

Tout en reconnaissant l’importance d’intensifier les efforts en matière de sécurité dans les moments d’instabilité géopolitique accrue, nous sommes préoccupés par le cadre de la feuille de route technologique. Les agences gouvernementales du reste du monde encouragent activement une utilisation accrue du chiffrement de bout en bout, et non une utilisation moindre, afin de protéger l’intégrité du cyberespace contre les menaces accrues en matière de sécurité. Un chiffrement fort, y compris le chiffrement de bout en bout, est un outil de cybersécurité essentiel qui protège l’Union européenne contre les cyberattaques, les menaces hybrides, l’espionnage et les attaques contre les infrastructures critiques.

La Commission européenne elle-même a reconnu la nécessité d’intensifier les efforts et les investissements pour protéger l’intégrité du cyberespace, comme en témoigne la directive révisée sur la sécurité des réseaux et de l’information (NIS2). La directive révisée introduit l’obligation pour les plateformes et les fournisseurs de services de mettre en œuvre des mesures appropriées et proportionnées de gestion des risques de cybersécurité, y compris le cryptage, afin de protéger la confidentialité, l’intégrité et la disponibilité de leurs systèmes et services. Le Contrôleur européen de la protection des données se fait l’écho de ce message en déclarant que “les restrictions sur le chiffrement posent des risques significatifs pour l’économie et la société en général”.

Pourtant, dans ce contexte, nous sommes profondément préoccupés par le fait que la Commission continue à se concentrer sur l’identification des moyens d’affaiblir ou de contourner le chiffrement. Cela va à l’encontre de ses propres objectifs de sécurité dans le cadre de la stratégie ProtectEU, qui souligne l’importance de la résilience et de la préparation face à des cybermenaces de plus en plus sophistiquées. En sapant le chiffrement, on affaiblit le fondement même de la sécurité des communications et des systèmes, ce qui rend les particuliers, les entreprises et les institutions publiques plus vulnérables aux attaques.

Les efforts passés et présents de l’Union européenne pour permettre aux forces de l’ordre d’accéder aux données cryptées se sont principalement concentrés sur l’analyse côté client, une technologie qui contourne le cryptage en analysant les appareils des utilisateurs avant que le mécanisme de cryptage ne démarre. Le balayage ne viole pas seulement les promesses du cryptage de bout en bout, mais crée également des vulnérabilités qui pourraient être exploitées par des criminels et des acteurs étatiques hostiles. Les experts techniques s’accordent largement à dire que les outils de contournement du chiffrement créent de nouveaux risques qui menacent la sécurité nationale, préoccupations récemment relayées par les autorités des États membres en Suède et aux Pays-Bas. La Cour européenne des droits de l’homme et l’Agence des droits fondamentaux de l’Union européenne ont souligné que les exigences légales qui “affaiblissent le mécanisme de cryptage pour tous les utilisateurs” seraient disproportionnées au regard de la Charte des droits fondamentaux de l’UE.

La feuille de route technologique annoncée par la Commission européenne reflète les efforts déployés par d’autres gouvernements pour identifier les outils de contournement du chiffrement, tels que le “Safety Tech Challenge” du Royaume-Uni, qui s’est engagé à financer des outils de validation de concept pour la prévention et la détection des contenus pédopornographiques dans des environnements chiffrés de bout en bout. Dans le cas des efforts britanniques, le tiers examinateur indépendant sélectionné, REPHRAIN, a constaté qu’aucune des preuves de concept obtenues ne répondait à son cadre d’évaluation des droits de l’homme, de la sécurité, de la responsabilité et d’autres critères. Nous pensons qu’une approche européenne similaire produirait les mêmes résultats, gaspillant ainsi des ressources précieuses.

Nous demandons à la Commission européenne de

  • Reconnaître qu’un chiffrement fort n’est pas un obstacle à la sécurité de l’UE mais une condition préalable, en positionnant l’utilisation généralisée du chiffrement de bout en bout comme un outil pour faire progresser la cybersécurité et la résilience de l’UE dans le contexte géopolitique actuel.

  • Recadrer la feuille de route technologique sur le chiffrement, en soulignant les avantages du chiffrement et en recensant les domaines dans lesquels son utilisation pourrait être accrue pour renforcer la cyberdéfense, conformément aux stratégies de sécurité existantes de l’Union européenne.

  • Élaborer la feuille de route technologique en s’appuyant sur un large éventail de points de vue, non seulement ceux des services répressifs, mais aussi ceux des experts en cybersécurité, de la société civile, des défenseurs des droits numériques et des entreprises privées. Toute feuille de route future qui se veut crédible et équilibrée doit tenir compte de la faisabilité de toutes les capacités technologiques potentielles et de leur impact sociétal, technique et juridique.

Veuillez adresser votre réponse à Callum Voge, directeur des affaires gouvernementales et du plaidoyer à l’Internet Society(voge@isoc.org), et à Silvia Lorenzo Perez, directrice du programme Sécurité, surveillance et droits de l’homme au Centre pour la démocratie et la technologie - Europe(sperez@cdt.org).

Organisations signataires

3 Steps Data

ACT | The App Association

Initiative africaine sur les médias et les technologies de l’information (AfriMITI)

Initiative africaine pour l’Internet rural et les STIM (AFRISTEMI)

Alternatif Bilisim

AMS-IX

Big Brother Watch

Bits of Freedom

Blacknight

Blockchain Association

Centre pour l’étude de la haine organisée (CSOH)

Centre pour la démocratie et la technologie en Europe

Centro Latinoamericano de Investigaciones Sobre Internet (Centre latino-américain de recherche sur l’internet)

Chaos Computer Club

Association Comunitatea Internet

Réseau des conseillers en cybersécurité (CyAN)

Danes je nov dan, Inštitut za druga vprašanja

Datenpunks

Digitale Gesellschaft

Digital Rights Ireland

Digital Society

Državljan D / Citizen D

eco - Association de l’industrie de l’Internet

Electronic Frontier Finland - Effi ry

Electronic Frontier Foundation

Electronic Frontier Norway

Élément

Oignon d’émeraude

Epicenter.works

EuroISPA - Association européenne des fournisseurs de services Internet

Droits numériques européens (EDRi)

FiCom ry

Fondation pour la liberté de la presse

Global Partners Digital

Centre Hermès

Conseil d’architecture de l’internet

Internet Australia

Internet Society

Chapitre brésilien de l’Internet Society

Chapitre catalan de l’Internet Society (ISOC-CAT)

Chapitre malien de l’Internet Society

Chapitre de l’Internet Society Nepal

Chapitre de l’Internet Society Portugal

IT-Pol Danemark

Centre japonais d’information sur les réseaux

JCA-NET

Kleindatenverein

LGBT Tech

Fondation Matrix.org

Mozilla

OpenMedia

Phoenix R&D GmbH

Politiscope

Conseil canadien de la protection de la vie privée et de l’accès à l’information

PrivID, Inc

Proton

Fondation SABOA

SecureCrypt

SkypLabs

Statewatch

SUPERRR Lab

Surfshark

Tech for Good Asia

Tuta Mail

Vircos Tecnologia

Vrijschrift.org

Wikimedia Europe

Xnet. Institut pour la numérisation démocratique

X-Lab

Experts en cybersécurité

Jon Callas, Université de l’Indiana

Sofia Celi, Brave

Claudia Diaz, KU Leuven

Donald E. Eastlake 3e, indépendant

Nicola Fabiano, cabinet d’avocats Fabiano

Stephen Farrell, Trinity College Dublin

Masayuki Hatta, Université Surugadai

Mallory Knodel, Université de New York

Sascha Meinrath, X-Lab

Peter Neumann, modérateur, ACM Risks Forum

Riana Pfefferkorn, Université de Stanford

Jonathan Rudenberg, Grace

Bruce Schneier,

Adam Shostack, auteur de Threat Modeling : Designing for Security

Eugene H. Spafford, Université de Purdue

Asli Telli, Université de Cologne

Peter Thomassen, deSEC

Kenn White

Matthew Wright, Institut de technologie de Rochester

Philip Zimmermann, professeur associé émérite en cybersécurité, Université de technologie de Delft

Lettre ouverte à l’UE le 5 mai 2025

Des universitaires, des technologues et d’autres experts demandent que la feuille de route technologique de l’UE sur le chiffrement joue un rôle clé.

Chère Mme Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie,

Les parties prenantes soussignées sont des organisations de la société civile, des scientifiques, des chercheurs et d’autres experts spécialisés dans les droits de l’homme et la technologie. Le 1er avril, la Commission européenne a publié sa nouvelle stratégie de sécurité intérieure, ProtectEU, qui présente ses projets pour les cinq prochaines années dans le but de coordonner une réponse européenne aux menaces qui pèsent sur la sécurité. Assurer la sécurité, la protection et la justice pour tous les citoyens et toutes les communautés en Europe est un aspect important de la mission de l’UE. Pour ce faire, toutes les institutions doivent adopter une approche holistique fondée sur des données probantes afin de s’attaquer aux problèmes sociétaux à la racine et d’apporter des solutions structurelles adéquates.

De ce point de vue, nous craignons que le cadre prévu pour l’accès aux données par les autorités répressives ne compromette l’exercice des droits fondamentaux et notre cybersécurité collective. En particulier, la “préparation d’une feuille de route technologique sur le chiffrement, afin d’identifier et d’évaluer les solutions technologiques qui permettraient aux autorités répressives d’accéder aux données chiffrées de manière légale” soulève plusieurs questions.

Les tentatives passées et récentes au niveau de l’UE nous ont appris que les “solutions” technologiques miracles sont non seulement inefficaces, mais qu’elles ont des conséquences néfastes, y compris pour les personnes qui ont le plus besoin d’être protégées. Il existe un large consensus scientifique sur l’impossibilité technique de donner aux forces de l’ordre un accès exceptionnel aux communications chiffrées de bout en bout sans créer de vulnérabilités que les acteurs malveillants et les gouvernements répressifs peuvent exploiter. Les experts ont constaté que même les technologies les plus récentes, comme le balayage côté client, qui sont présentées comme sûres et préservant la vie privée, portent en fait atteinte à la vie privée, permettent une surveillance de masse et augmentent les risques de failles de sécurité. Le chiffrement est un outil d’une importance vitale pour les droits et les libertés des personnes, ainsi que pour le développement de communautés, d’une société civile, d’administrations publiques et d’industries dynamiques et sûres. Face à un paysage de menaces complexe et à la numérisation croissante de tous les aspects de notre vie, le chiffrement n’est pas un luxe, mais une condition sine qua non de notre capacité à naviguer en ligne en toute sécurité.

Plutôt que d’investir davantage de ressources et de temps dans des systèmes qui causent manifestement des dommages, nous croyons fermement que toutes les parties prenantes doivent travailler ensemble pour trouver des solutions à long terme (à la fois techniques et non techniques) à des questions sociétales complexes, qui sont basées sur des preuves scientifiques et qui respectent tous les droits fondamentaux.

La Commission européenne ayant fait part de son intention de “sauvegarder la cybersécurité et les droits fondamentaux” lors de la réalisation de ce travail exploratoire, nous souhaiterions la soutenir dans la réalisation de cet objectif et nous vous prions donc de bien vouloir nous faire part de votre demande :

  • Une réunion entre vous et les représentants des signataires de cette lettre pour discuter plus en détail de notre position et de nos contributions ;
  • Des sièges à la table de la feuille de route technologique pour les universitaires, les technologues indépendants, les avocats spécialisés dans la technologie et les droits de l’homme et les acteurs de la société civile spécialisés dans ces questions, afin de garantir que nous puissions participer de manière significative.

Nous pensons en outre que nous serions bien placés pour vous fournir des informations techniques spécialisées, ainsi qu’à votre cabinet et à vos services, et nous serions ravis de nous mettre à votre disposition à cette fin.

Cordialement, Organisations de la société civile spécialisées dans la technologie et/ou les droits numériques :

  • Access Now (UE/International)

  • ACT | The App Association

  • ANSOL - Associação Nacional para o Software Livre (Portugal)

  • Asociația pentru Tehnologie și Internet (ApTI) (Roumanie)

  • Réseau des ONG du Bangladesh pour la radio et la communication (BNNRC)

  • Big Brother Watch (Royaume-Uni)

  • Bits of Freedom (Pays-Bas)

  • Chaos Computer Club (Allemagne)

  • Comité pour la protection des journalistes (CPJ) (Belgique)

  • Société informatique de Chypre (CCS)

  • D64 - Center for Digital Progress (Allemagne)

  • Danes je nov dan, Inštitut za druga vprašanja (DJND) (Slovénie)

  • Dataföreningen i Sverige (Suède)

  • Dataföreningen Väst (Association informatique suédoise ouest)

  • Defend Democracy (Pays-Bas/Belgique)

  • Deutscher Anwaltverein (DAV) (Allemagne)

  • Digital Rights Ireland (Irlande)

  • Digitale Gesellschaft e.V. (Allemagne)

  • Državljan D / Citizen D (Slovénie)

  • Electronic Frontier Foundation (EFF)

  • Electronic Privacy Information Center (EPIC) (États-Unis)

  • Droits numériques européens (EDRi)

  • Homo Digitalis (Grèce)

  • Initiative für Netzfreiheit. (Netzfreiheit / IfNf) (Autriche)

  • Internet Society (États-Unis/international)

  • Chapitre ISOC Inde Hyderabad

  • ISOC India Hyderabad Chapter (ISOC Hyderabad)

  • IT-Pol (Danemark)

  • JCA-NET (Japon)

  • Panoptykon Foundation (Pologne)

  • Politiscope (Croatie)

  • Privacy First (Pays-Bas)

  • Privacy International

  • SHARE Foundation (Serbie)

  • Société slovène INFORMATIKA (SSI)

  • Statewatch (Royaume-Uni)

  • Association pour les technologies de l’information et les communications de Roumanie (ATIC)

  • Le Centre pour la démocratie et la technologie en Europe (CDT Europe)

  • Xnet, Institut pour la numérisation démocratique (Espagne)

Signataires individuels spécialisés dans la technologie et/ou les droits numériques :

  • Assist. Giovanni Apruzzese, Université du Liechtenstein

  • Assist. Lili Nemec Zlatolas, Université de Maribor

  • Carsten Baum, Université technique du Danemark

  • Aureli Gómez i Vidal, ingénieur en services internet critiques

  • Professeur émérite Douwe Korff, Université métropolitaine de Londres

  • Dr Dan Bogdanov, Académie estonienne des sciences

  • Dr. David Galadi-Enriquez, Université de Cordova

  • Eyal Ronen, Université de Tel Aviv

  • Dr. Jordi Cortit, Clarivate

  • Dr. Juanjo Llórente Albert, Universidad Popular Valencia

  • Dr. María Iglesias Caballero, Institut national de la santé Carlos III

  • Stephen Farrell, Trinity College Dublin

  • Ing. Jorge Pinto, technologue indépendant

  • Filippos Frantzolas Msc, Société hellénique des professionnels de l’informatique (HePIS)

  • M. Henrique California Mendes, ingénieur en sécurité des applications

  • Matthias Pfau, cofondateur de Tuta.com et expert en cryptographie

  • Anja Lehmann, Institut Hasso-Plattner, Université de Potsdam

  • Aurélien Francillon, EURECOM

  • Bart Preneel, Université de Louvain

  • Prof. Carmela Troncoso, MPI-SP & EPFL

  • Diego F. Aranha, Université d’Aarhus

  • Daniel Loebenberger, Sprecher Fachbereich Sicherheit der Gesellschaft für Informatik e.V.

  • Jaap-Henk Hoepman, Université Radboud / Université de Karlstad

  • René Mayrhofer, Université Johannes Kepler de Linz

  • Simone Fischer-Hübner, Université de Karlstad et Université de technologie de Chalmers

  • Tanja Lange, Université de technologie d’Eindhoven

  • Ian Goldberg, Université de Waterloo

  • Keith Martin, Royal Holloway, Université de Londres

  • Kenneth G. Paterson, ETH Zurich

  • Kimmo Halunen, Université d’Oulu

  • Levente Buttyán, Université de technologie et d’économie de Budapest (chef du laboratoire de cryptographie et de sécurité des systèmes)

  • Manuel Barbosa, Université de Porto (FCUP)

  • Marko Hölbl, Université de Maribor

  • Martin Albrecht, King’s College London

  • Panos Papadimitratos, Institut royal de technologie KTH

  • Simona Levi, directrice du diplôme d’études supérieures en technopolitique et droits à l’ère numérique à l’Universitat de Barcelona

  • Srdjan Čapkun, ETH Zurich

  • Stefano Calzavara, Università Ca’ Foscari Venezia

  • Vaclav Matyas, Université Masaryk

  • Vasile Balatac, Université nationale d’études politiques et d’administration publique - SNSPA

  • Simone Aonzo, PhD, EURECOM

  • Matteo Maffei, Université de Vienne

  • Yigit Aydinalp, Université de Sheffield