Lettre ouverte contre ProtectEU
Nouveau nom, mêmes problèmes : L'UE appelle désormais le contrôle du chat "ProtectEU", mais il s'accompagne des mêmes problèmes qu'auparavant.
Matthias Pfau, PDG de Tuta, prévient que si l’UE continue sur cette voie, elle risque de perdre des entreprises innovantes et soucieuses de la protection de la vie privée, ainsi que la confiance de ses citoyens :
“Un chiffrement fort est essentiel pour protéger les droits de l’homme et l’infrastructure numérique de l’Europe. Toute tentative d’accorder aux forces de l’ordre un accès exceptionnel introduirait de dangereuses vulnérabilités. Il n’y a pas de solution technique miracle, l’accès pour les “gentils seulement” n’est pas possible. Les soi-disant solutions telles que l’analyse côté client sapent le cryptage et ouvrent une porte dérobée pour tout le monde, y compris les acteurs criminels et les services de surveillance parrainés par l’État. Nous demandons instamment aux dirigeants de l’UE de ne jamais affaiblir la sécurité lors de l’élaboration de la feuille de route technologique sur le chiffrement”, déclare Matthias Pfau, PDG de Tuta Mail.
Le chiffrement est fondamental pour la sécurité de tous et son affaiblissement peut avoir des conséquences dévastatrices, comme l’ont montré les récentes attaques de pirates informatiques chinois contre des fournisseurs de télécommunications américains. Il s’agit de l’une des pires atteintes à la sécurité de l’histoire des États-Unis, qui n’a été possible que parce que ces systèmes de télécommunications obsolètes n’utilisent pas le cryptage de bout en bout. À la suite du piratage de Salt Typhoon, les forces armées suédoises ainsi que l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont recommandé Signal, une alternative à WhatsApp chiffrée de bout en bout, pour sécuriser les communications sensibles.
Chez Tuta, nous estimons que les portes dérobées au chiffrement ne doivent pas être autorisées, car les acteurs malveillants en abuseront.
Points clés de la lettre ouverte
-
Menace pour les droits fondamentaux et la sécurité : Le projet de l’UE d’élaborer une feuille de route technologique sur le chiffrement inclut l’idée de permettre aux forces de l’ordre d’accéder aux données chiffrées.
-
Techniquement impossible: Les experts en cryptographie soulignent qu’il est impossible de fournir un tel accès sans affaiblir le chiffrement ; tout “accès exceptionnel” introduit des vulnérabilités exploitables par des acteurs malveillants et des régimes autoritaires.
-
Des solutions boiteuses: Les propositions telles que le balayage côté client ne préservent pas la vie privée ; elles permettent une surveillance de masse et augmentent le risque de failles de sécurité.
-
Le chiffrement doit être de bout en bout: Un chiffrement fort est essentiel pour sauvegarder les droits de l’homme et sécuriser l’infrastructure numérique dans toute l’Europe.
Lettre ouverte à l’UE
Des universitaires, des technologues et d’autres experts demandent que la feuille de route technologique de l’UE sur le chiffrement joue un rôle clé.
Chère Mme Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie,
Les parties prenantes soussignées sont des organisations de la société civile, des scientifiques, des chercheurs et d’autres experts spécialisés dans les droits de l’homme et la technologie. Le 1er avril, la Commission européenne a publié sa nouvelle stratégie de sécurité intérieure, ProtectEU, qui présente ses projets pour les cinq prochaines années dans le but de coordonner une réponse européenne aux menaces qui pèsent sur la sécurité. Assurer la sécurité, la protection et la justice pour tous les citoyens et toutes les communautés en Europe est un aspect important de la mission de l’UE. Pour ce faire, toutes les institutions doivent adopter une approche holistique fondée sur des données probantes afin de s’attaquer aux problèmes sociétaux à la racine et d’apporter des solutions structurelles adéquates.
De ce point de vue, nous craignons que le cadre prévu pour l’accès aux données par les autorités répressives ne compromette l’exercice des droits fondamentaux et notre cybersécurité collective. En particulier, la “préparation d’une feuille de route technologique sur le chiffrement, afin d’identifier et d’évaluer les solutions technologiques qui permettraient aux autorités répressives d’accéder aux données chiffrées de manière légale” soulève plusieurs questions.
Les tentatives passées et récentes au niveau de l’UE nous ont appris que les “solutions” technologiques miracles sont non seulement inefficaces, mais qu’elles ont des conséquences néfastes, y compris pour les personnes qui ont le plus besoin d’être protégées. Il existe un large consensus scientifique sur l’impossibilité technique de donner aux forces de l’ordre un accès exceptionnel aux communications chiffrées de bout en bout sans créer de vulnérabilités que les acteurs malveillants et les gouvernements répressifs peuvent exploiter. Les experts ont constaté que même les technologies les plus récentes, comme le balayage côté client, qui sont présentées comme sûres et préservant la vie privée, portent en fait atteinte à la vie privée, permettent une surveillance de masse et augmentent les risques de failles de sécurité. Le chiffrement est un outil d’une importance vitale pour les droits et les libertés des personnes, ainsi que pour le développement de communautés, d’une société civile, d’administrations publiques et d’industries dynamiques et sûres. Face à un paysage de menaces complexe et à la numérisation croissante de tous les aspects de notre vie, le chiffrement n’est pas un luxe, mais une condition sine qua non de notre capacité à naviguer en ligne en toute sécurité.
Plutôt que d’investir davantage de ressources et de temps dans des systèmes qui causent manifestement des dommages, nous croyons fermement que toutes les parties prenantes doivent travailler ensemble pour trouver des solutions à long terme (à la fois techniques et non techniques) à des questions sociétales complexes, qui sont basées sur des preuves scientifiques et qui respectent tous les droits fondamentaux.
La Commission européenne ayant fait part de son intention de “sauvegarder la cybersécurité et les droits fondamentaux” lors de la réalisation de ce travail exploratoire, nous souhaiterions la soutenir dans la réalisation de cet objectif et nous vous prions donc de bien vouloir nous faire part de votre demande :
- Une réunion entre vous et les représentants des signataires de cette lettre pour discuter plus en détail de notre position et de nos contributions ;
- Des sièges à la table de la feuille de route technologique pour les universitaires, les technologues indépendants, les avocats spécialisés dans la technologie et les droits de l’homme et les acteurs de la société civile spécialisés dans ces questions, afin de garantir que nous puissions participer de manière significative.
Nous pensons en outre que nous serions bien placés pour vous fournir des informations techniques spécialisées, ainsi qu’à votre cabinet et à vos services, et nous serions ravis de nous mettre à votre disposition à cette fin.
Cordialement, Organisations de la société civile spécialisées dans la technologie et/ou les droits numériques :
-
Access Now (UE/International)
-
ACT | The App Association
-
ANSOL - Associação Nacional para o Software Livre (Portugal)
-
Asociația pentru Tehnologie și Internet (ApTI) (Roumanie)
-
Réseau des ONG du Bangladesh pour la radio et la communication (BNNRC)
-
Big Brother Watch (Royaume-Uni)
-
Bits of Freedom (Pays-Bas)
-
Chaos Computer Club (Allemagne)
-
Comité pour la protection des journalistes (CPJ) (Belgique)
-
Société informatique de Chypre (CCS)
-
D64 - Center for Digital Progress (Allemagne)
-
Danes je nov dan, Inštitut za druga vprašanja (DJND) (Slovénie)
-
Dataföreningen i Sverige (Suède)
-
Dataföreningen Väst (Association informatique suédoise ouest)
-
Defend Democracy (Pays-Bas/Belgique)
-
Deutscher Anwaltverein (DAV) (Allemagne)
-
Digital Rights Ireland (Irlande)
-
Digitale Gesellschaft e.V. (Allemagne)
-
Državljan D / Citizen D (Slovénie)
-
Electronic Frontier Foundation (EFF)
-
Electronic Privacy Information Center (EPIC) (États-Unis)
-
Droits numériques européens (EDRi)
-
Homo Digitalis (Grèce)
-
Initiative für Netzfreiheit. (Netzfreiheit / IfNf) (Autriche)
-
Internet Society (États-Unis/international)
-
Chapitre ISOC Inde Hyderabad
-
ISOC India Hyderabad Chapter (ISOC Hyderabad)
-
IT-Pol (Danemark)
-
JCA-NET (Japon)
-
Panoptykon Foundation (Pologne)
-
Politiscope (Croatie)
-
Privacy First (Pays-Bas)
-
Privacy International
-
SHARE Foundation (Serbie)
-
Société slovène INFORMATIKA (SSI)
-
Statewatch (Royaume-Uni)
-
Association pour les technologies de l’information et les communications de Roumanie (ATIC)
-
Le Centre pour la démocratie et la technologie en Europe (CDT Europe)
-
Xnet, Institut pour la numérisation démocratique (Espagne)
Signataires individuels spécialisés dans la technologie et/ou les droits numériques :
-
Assist. Giovanni Apruzzese, Université du Liechtenstein
-
Assist. Lili Nemec Zlatolas, Université de Maribor
-
Carsten Baum, Université technique du Danemark
-
Aureli Gómez i Vidal, ingénieur en services internet critiques
-
Professeur émérite Douwe Korff, Université métropolitaine de Londres
-
Dr Dan Bogdanov, Académie estonienne des sciences
-
Dr. David Galadi-Enriquez, Université de Cordova
-
Eyal Ronen, Université de Tel Aviv
-
Dr. Jordi Cortit, Clarivate
-
Dr. Juanjo Llórente Albert, Universidad Popular Valencia
-
Dr. María Iglesias Caballero, Institut national de la santé Carlos III
-
Stephen Farrell, Trinity College Dublin
-
Ing. Jorge Pinto, technologue indépendant
-
Filippos Frantzolas Msc, Société hellénique des professionnels de l’informatique (HePIS)
-
M. Henrique California Mendes, ingénieur en sécurité des applications
-
Matthias Pfau, cofondateur de Tuta.com et expert en cryptographie
-
Anja Lehmann, Institut Hasso-Plattner, Université de Potsdam
-
Aurélien Francillon, EURECOM
-
Bart Preneel, Université de Louvain
-
Prof. Carmela Troncoso, MPI-SP & EPFL
-
Diego F. Aranha, Université d’Aarhus
-
Daniel Loebenberger, Sprecher Fachbereich Sicherheit der Gesellschaft für Informatik e.V.
-
Jaap-Henk Hoepman, Université Radboud / Université de Karlstad
-
René Mayrhofer, Université Johannes Kepler de Linz
-
Simone Fischer-Hübner, Université de Karlstad et Université de technologie de Chalmers
-
Tanja Lange, Université de technologie d’Eindhoven
-
Ian Goldberg, Université de Waterloo
-
Keith Martin, Royal Holloway, Université de Londres
-
Kenneth G. Paterson, ETH Zurich
-
Kimmo Halunen, Université d’Oulu
-
Levente Buttyán, Université de technologie et d’économie de Budapest (chef du laboratoire de cryptographie et de sécurité des systèmes)
-
Manuel Barbosa, Université de Porto (FCUP)
-
Marko Hölbl, Université de Maribor
-
Martin Albrecht, King’s College London
-
Panos Papadimitratos, Institut royal de technologie KTH
-
Simona Levi, directrice du diplôme d’études supérieures en technopolitique et droits à l’ère numérique à l’Universitat de Barcelona
-
Srdjan Čapkun, ETH Zurich
-
Stefano Calzavara, Università Ca’ Foscari Venezia
-
Vaclav Matyas, Université Masaryk
-
Vasile Balatac, Université nationale d’études politiques et d’administration publique - SNSPA
-
Simone Aonzo, PhD, EURECOM
-
Matteo Maffei, Université de Vienne
-
Yigit Aydinalp, Université de Sheffield