La semaine dernière, le parlement australien a adopté une loi visant à permettre aux agences nationales de sécurité et aux corps policiers d’exiger des entreprises offrant des services de messagerie chiffrée (ou cryptée, encrypted) qu’elles leur donnent accès aux messages de certains utilisateurs. Évidemment, on parle ici d’un accès aux messages originaux, non chiffrés, donc d’une manière pour l’État de contourner les mesures de confidentialité offertes par ces services de messagerie. C’est la première fois qu’une telle loi est votée dans le monde. Ses répercussions dépasseront largement le territoire australien.
Les services de messagerie chiffrée utilisent la cryptographie, aussi appelée chiffrement, dans le but de répondre à la demande croissante de confidentialité de la part des utilisateurs, face à la surveillance privée ou publique des communications et de l’activité en ligne. La cryptographie est un système d’encodage de messages visant à les rendre indéchiffrables pour qui ne possède pas la clef. Généralement, le chiffrement rend un message illisible pour un tiers qui intercepte la communication. Seuls les participants à cette communication et la plateforme par laquelle elle transite peuvent déchiffrer le message. D’autres services, le plus connu étant offert par l’application WhatsApp, utilisent une technique de chiffrement qui rend le message illisible même à la plateforme par laquelle transite la communication. Le chiffrement de bout en bout (end-to-end encryption) fait en sorte que seuls le destinateur et le destinataire d’un message peuvent le lire. La loi australienne cherche à contourner l’ensemble des techniques de chiffrement.
Au cœur de cette loi figurent trois exigences d’accès que pourront faire valoir les agences de sécurité, de renseignement ou policières autorisées. Les entreprises seraient obligées :
Les requêtes doivent recevoir l’aval des plus hautes autorités et ne peuvent être faites que dans le cadre d’enquêtes pour terrorisme, abus sexuel d’enfants, ou autre crime passible de trois ans ou plus de prison. Les personnes concernées n’auront aucune manière de savoir si la confidentialité de leurs communications a été compromise par l’application de ces dispositions de la loi.
En 2015, le gouvernement du Royaume-Uni, dirigé à l’époque par le premier ministre David Cameron, a jonglé avec l’idée de durcir la législation en matière de surveillance électronique, notamment en limitant la cryptographie. Dans un objectif de lutte antiterroriste, Cameron voulait interdire l’utilisation des logiciels d’encryptage sur le territoire britannique si le gouvernement ne peut avoir accès aux clés d’encodage. Nous en avions alors traité dans un Éthique Hebdo (23 janvier 2015) (voir notamment les ressources proposées en hyperlien dans cet Éthique Hebdo, pour approfondir davantage). Des régimes autoritaires comme la Chine, la Russie et la Turquie interdisent complètement l’usage de la technologie de chiffrement de bout en bout.
La loi australienne est beaucoup moins intrusive que la loi projetée jadis par Cameron. Elle ne vise pas à assurer l’accès par l’État à toute information chiffrée, mais bien à certains messages entre certains utilisateurs. Néanmoins, plusieurs experts et critiques provenant de la société civile ont fait mention d’enjeux importants soulevés par la nouvelle loi australienne.
Les arguments avancés en faveur de la loi par le gouvernement australien se fondent sur la sécurité nationale, sur la nécessité d’intensifier les moyens d’action dans la lutte contre le terrorisme et le crime organisé.
Bien qu’il soit admis que les services de messagerie chiffrée soient effectivement utilisés par les criminels pour échanger de l’information à l’abri du regard de la police, les critiques demeurent sceptiques quant à l’effet des mesures proposées à moyen ou long terme. D’une part, ce n’est qu’une question de temps avant que les terroristes et criminels de carrière ne trouvent une manière de se soustraire à nouveau au regard de la loi. D’autre part, et surtout, plusieurs experts craignent que toute faille introduite dans les services de chiffrement rende l’ensemble du réseau et des utilisateurs plus vulnérables. Ce ne sont pas que les criminels qui sont affectés, mais bien tout le monde qui utilise ces services, même de manière tout à fait légale et légitime. Le risque est alors de réduire le niveau de cybersécurité des réseaux et de miner la confiance des utilisateurs.
Pour répondre à cette crainte, la dernière mouture de la loi indique que les interventions ne doivent pas introduire de « fragilité systémique » (systemic weakness). Il est difficile de déterminer, d’abord, si cela est techniquement possible, mais aussi de s’assurer qu’une intervention, même bien ficelée, n’aurait pas cet effet de manière inattendue. Le fait que la loi ait été adoptée à la hâte avant les Fêtes fait que ces questions – et d’autres – demeurent encore en suspens.
Des questions en matière de protection de la vie privée et de contrôle sur les activités de surveillance de l’État
Des organismes citoyens ou voués à la protection des droits humains et des libertés fondamentales s’inquiètent de la possibilité pour l’État de s’immiscer secrètement dans les communications des citoyens. Des représentants d’entreprises offrant des services de messagerie chiffrée se sont aussi insurgés de ne plus pouvoir garantir la confidentialité à leurs clients, ce qui fait pourtant partie intégrante de leur offre de produits.
La question se pose : est-ce que les citoyens sont en droit de savoir lorsque la confidentialité d’un service qu’ils utilisent est compromise? S’ils ne sont pas eux-mêmes la cible de la surveillance de l’État, mais que leurs communications deviennent néanmoins plus vulnérables au piratage, devraient-ils en être informés?
La question devient d’autant plus épineuse lorsqu’il est question de la surveillance de parlementaires et de journalistes. Les premiers, s’ils ne sont pas informés, ne sont plus en mesure d’invoquer leur privilège parlementaire, qui protège la confidentialité des communications qu’ils effectuent dans le cadre de leurs fonctions. Les seconds ne peuvent plus garantir l’anonymat de leurs sources, ce qui compromet leur capacité de faire le travail et d’agir pleinement comme contre-pouvoir.
Pour être acceptables, de telles mesures doivent être justifiées par les risques. Une telle justification repose généralement sur un principe de proportionnalité, c’est-à-dire que les moyens employés doivent être une réponse proportionnelle aux risques (importance des dangers qu’on souhaite éviter et la probabilité qu’ils se produisent) et ne pas entraîner de risques encore plus grands. Aussi, de telles mesures doivent faire l’objet d’un contrôle indépendant, par un organisme public ou une instance démocratiquement habilitée, qui les évaluent régulièrement au regard des droits et libertés fondamentaux des personnes. En raison de l’empressement avec lequel la loi a finalement été adoptée, plusieurs se sont montrés insatisfaits de la prise en compte par le parlement des résultats des consultations tenues en amont, qui assurent un certain regard critique sur la législation. Face à des décisions ayant de telles implications, on aurait été en droit de s’attendre à plus de prudence et à de meilleurs remparts érigés dès le départ, pour éviter les dérives.
Si l’enregistrement des fichiers de témoins est activé sur votre navigateur, la visite de ce site placera un fichier de témoins sur votre ordinateur, ou un fichier de témoins sera lu si vous avez déjà visité ce site auparavant. Notre utilisation des fichiers de témoins vise uniquement à améliorer votre expérience comme utilisatrice ou utilisateur sur le site Web de la Commission.