En juin, un projet de loi belge a suscité l'inquiétude des défenseurs de la vie privée : il portait atteinte non seulement à la protection de la vie privée, mais aussi à la sécurité offerte par le chiffrement de bout à bout. En substance, une fois le projet adopté, les fournisseurs de services de télécommunication devaient permettre aux forces de l’ordre (police, justice, sécurité de l’État…) de déchiffrer ce qui est échangé dans les applications de messageries chiffrées de type Whatsapp ou Signal par certains utilisateurs spécifiques. Le but est évidemment de pouvoir traquer les criminels et les terroristes. Autrement dit, les fournisseurs de services seront obligés de « désactiver » le chiffrement pour des utilisateurs visés par des enquêtes policières et judiciaires.Il n’existe cependant aucun moyen de désactiver partiellement ce chiffrage et de le limiter à certains utilisateurs. Il était donc question de totalement désactiver les options de chiffrement pour l’ensemble de la population.
Des experts estiment qu’il est impossible de permettre aux forces de l’ordre d’accéder aux données chiffrées d’un utilisateur sans mettre en danger la sécurité de tous les utilisateurs.
Des experts ont pointé également du doigt les impacts que pourrait avoir l’application de cette loi. Sans ce chiffrement, les utilisateurs belges seraient beaucoup plus vulnérables aux attaques malveillantes que les autres utilisateurs. « C’est offrir des opportunités supplémentaires aux escrocs » indique Frédéric Taes, bénévole au sein de l’ONG Internet Society. Outre la protection de la vie privée, le chiffrement permet de garantir qu’un message n’a pas été modifié et qu’il a bien été envoyé par un certain expéditeur. Sans cette protection, il serait possible de se faire passer pour un autre utilisateur ou de modifier des messages pendant leur envoi.
Frédéric Taes craint également qu’en s’engageant dans cette voie, la Belgique ne crée un précédent en Europe et que d’autres pays ne s’engouffrent dans la même direction. Le professeur Bart Preneel, de la KUL, expert en cybersécurité, déclare dans L’Écho « Il est essentiel d’avoir la possibilité d’avoir des conversations chiffrées, protégées. Les citoyens ont droit à la vie privée. Cette loi est une menace pour la vie privée des Belges ».
« Il faut bien comprendre que si cette loi passe, les criminels trouveront d’autres plateformes et d’autres moyens de communication », explique Bart Preneel. « Si le chiffrement devient interdit, on va aussi rendre les réseaux 3G et 4G beaucoup moins sûrs, puisqu’ils ne pourront plus être cryptés . On met tout le monde en danger avec cette loi. Toutes les conversations sont susceptibles d’être écoutées. Pour moi, le gouvernement veut affaiblir la sécurité de nos communications. »
Au lieu de désactiver le chiffrement, Frédéric Taes propose d’autres alternatives : « Pour pister les criminels et les terroristes, il existe d’autres techniques. Il faut cibler davantage l’individu suspect et on peut avoir beaucoup d’informations en dehors des messages, en analysant simplement qui envoie un message, à quel moment, à quelle fréquence… »
Lettre ouverte aux ministres belges en charge des questions numériques et répressives
Le 29 septembre, 107 organisations et experts en cybersécurité, dont de nombreux membres de la Global Encryption Coalition, ont appelé le gouvernement belge à suspendre la législation visant à saper le chiffrement de bout en bout. Selon eux, il n'y a aucun moyen de fournir un accès tiers aux données chiffrées de bout en bout sans porter atteinte à la sécurité et à la confidentialité de tous les utilisateurs :
« Le chiffrement de bout en bout assure la sécurité de la Belgique.
Le chiffrement protège les activités quotidiennes, comme la gestion des comptes bancaires en ligne, la sécurisation des données confidentielles comme les bulletins de salaire ou les informations fiscales, et la communication avec vos amis et votre famille. Le chiffrement de bout en bout protège également les communautés et les professions vulnérables où les communications privées sont essentielles, comme pour les journalistes, les avocats et les professionnels de la santé.
Le gouvernement belge envisage une nouvelle législation, la plus dangereuse étant considérée parmi les États membres de l'Union européenne, qui porterait atteinte à la sécurité et à la confidentialité fournies par le cryptage de bout en bout.
Le projet de loi sur la collecte et le stockage des données d'identification, de trafic et de localisation dans le secteur des communications électroniques et leur accès par les autorités ou "la législation sur la conservation des données", exigeraient des opérateurs de systèmes cryptés qu'ils permettent aux forces de l'ordre de pouvoir accéder sur demande au contenu produit par des utilisateurs spécifiques après une date future spécifiée. Autrement dit, ils devraient être en mesure de "désactiver" le chiffrement pour des utilisateurs spécifiques. Il n'y a aucun moyen de simplement "désactiver" le chiffrement ; les fournisseurs devraient créer un nouveau système de distribution et envoyer des utilisateurs ciblés dans ce système de distribution distinct. Non seulement cela nécessiterait des changements techniques importants, mais cela briserait ainsi les promesses de confidentialité et de confidentialité des services de communication chiffrés de bout en bout.
Loin de rendre les Belges plus sûrs, ces exigences saperaient l'utilisation du chiffrement de bout en bout en Belgique et, comme l'Autorité belge de protection des données l'a écrit dans son avis contre la législation sur la conservation des données, obligeraient les entreprises à créer une "porte dérobée de facto". Le consensus parmi les experts en cybersécurité est clair : il n'y a aucun moyen de fournir à des tiers un accès à des communications chiffrées de bout en bout sans créer également des portes dérobées de chiffrement et des vulnérabilités qui peuvent être exploitées par quiconque les trouve. En d'autres termes, il Il n'y a aucun moyen pour les seules forces de l'ordre d'avoir accès aux portes dérobées, sans risquer que des acteurs malveillants y accèdent. La création de portes dérobées de chiffrement affaiblit la sécurité de l'ensemble du système et met tous ses utilisateurs en danger. Saper le chiffrement en introduisant des portes dérobées pour les communications chiffrées exposerait la Belgique à des attaques, y compris ses journalistes, médecins, avocats, employés du secteur public et autres citoyens, ainsi que les entreprises et les institutions, y compris les gouvernements.
Au-delà de l'introduction de portes dérobées dans les systèmes chiffrés de bout en bout existants, la législation sur la conservation des données découragerait également les entreprises d'offrir de nouveaux produits chiffrés de bout en bout. Comme on l'a vu dans d'autres pays qui ont adopté une législation similaire, la législation aura un impact négatif sur la confiance dans les entreprises technologiques belges et nuira à leur capacité à rivaliser sur les marchés internationaux et européens. En outre, la législation menace également d'avoir un impact plus large sur le marché unique numérique européen, car les entreprises d'autres États membres pourraient être contraintes de prendre en compte ces nouvelles exigences si elles souhaitent proposer leurs produits sur le marché belge.
Si la législation sur la conservation des données est censée rendre les Belges plus sûrs, elle ne peut le faire en sapant les protections solides sur lesquelles nous comptons tous pour vivre notre vie ; le chiffrement de bout en bout ne devrait pas être menacé ou compromis par cette législation ».
Le chiffrement protège les activités quotidiennes, comme la gestion des comptes bancaires en ligne, la sécurisation des données confidentielles comme les bulletins de salaire ou les informations fiscales, et la communication avec vos amis et votre famille. Le chiffrement de bout en bout protège également les communautés et les professions vulnérables où les communications privées sont essentielles, comme pour les journalistes, les avocats et les professionnels de la santé.
Le gouvernement belge envisage une nouvelle législation, la plus dangereuse étant considérée parmi les États membres de l'Union européenne, qui porterait atteinte à la sécurité et à la confidentialité fournies par le cryptage de bout en bout.
Le projet de loi sur la collecte et le stockage des données d'identification, de trafic et de localisation dans le secteur des communications électroniques et leur accès par les autorités ou "la législation sur la conservation des données", exigeraient des opérateurs de systèmes cryptés qu'ils permettent aux forces de l'ordre de pouvoir accéder sur demande au contenu produit par des utilisateurs spécifiques après une date future spécifiée. Autrement dit, ils devraient être en mesure de "désactiver" le chiffrement pour des utilisateurs spécifiques. Il n'y a aucun moyen de simplement "désactiver" le chiffrement ; les fournisseurs devraient créer un nouveau système de distribution et envoyer des utilisateurs ciblés dans ce système de distribution distinct. Non seulement cela nécessiterait des changements techniques importants, mais cela briserait ainsi les promesses de confidentialité et de confidentialité des services de communication chiffrés de bout en bout.
Loin de rendre les Belges plus sûrs, ces exigences saperaient l'utilisation du chiffrement de bout en bout en Belgique et, comme l'Autorité belge de protection des données l'a écrit dans son avis contre la législation sur la conservation des données, obligeraient les entreprises à créer une "porte dérobée de facto". Le consensus parmi les experts en cybersécurité est clair : il n'y a aucun moyen de fournir à des tiers un accès à des communications chiffrées de bout en bout sans créer également des portes dérobées de chiffrement et des vulnérabilités qui peuvent être exploitées par quiconque les trouve. En d'autres termes, il Il n'y a aucun moyen pour les seules forces de l'ordre d'avoir accès aux portes dérobées, sans risquer que des acteurs malveillants y accèdent. La création de portes dérobées de chiffrement affaiblit la sécurité de l'ensemble du système et met tous ses utilisateurs en danger. Saper le chiffrement en introduisant des portes dérobées pour les communications chiffrées exposerait la Belgique à des attaques, y compris ses journalistes, médecins, avocats, employés du secteur public et autres citoyens, ainsi que les entreprises et les institutions, y compris les gouvernements.
Au-delà de l'introduction de portes dérobées dans les systèmes chiffrés de bout en bout existants, la législation sur la conservation des données découragerait également les entreprises d'offrir de nouveaux produits chiffrés de bout en bout. Comme on l'a vu dans d'autres pays qui ont adopté une législation similaire, la législation aura un impact négatif sur la confiance dans les entreprises technologiques belges et nuira à leur capacité à rivaliser sur les marchés internationaux et européens. En outre, la législation menace également d'avoir un impact plus large sur le marché unique numérique européen, car les entreprises d'autres États membres pourraient être contraintes de prendre en compte ces nouvelles exigences si elles souhaitent proposer leurs produits sur le marché belge.
Si la législation sur la conservation des données est censée rendre les Belges plus sûrs, elle ne peut le faire en sapant les protections solides sur lesquelles nous comptons tous pour vivre notre vie ; le chiffrement de bout en bout ne devrait pas être menacé ou compromis par cette législation ».
Le gouvernement belge supprime « l'exigence de déchiffrement »
Le tollé général contre le projet de loi belge était si fort que les politiciens au sein du gouvernement lui-même ont changé de cap. Enfin, le passage proposé qui aurait contraint les entreprises à décrypter les données cryptées à la demande des autorités a été retiré du projet de loi.
Vendredi dernier, lors du Conseil fédéral des ministres, le gouvernement a approuvé une version remaniée de la loi, dans laquelle l'exigence de porte dérobée a été entièrement abandonnée.
Au lieu de cela, le texte indique désormais : « Pour promouvoir la sécurité numérique, l'utilisation du cryptage est gratuite. »
Le chiffrement gagne du terrain
Alors que nous entrons dans ce que certains appellent « l'ère de la vie privée sur Internet », le chiffrement gagne du terrain également parmi les politiciens.
C'est la même chose dans d'autres pays comme l'Allemagne où le nouveau gouvernement a inscrit le « droit au chiffrement » dans son contrat de coalition.
Selon Jens Zimmermann, les négociations de la coalition allemande avaient indiqué « assez clairement » que le nouveau gouvernement des sociaux-démocrates (SPD), des Verts et du parti libéral-démocrate (en allemand : Freie Demokratische Partei, abrégé en FDP) favorable aux entreprises rejetterait « l'affaiblissement du chiffrement, qui est tenté sous l'apparence de la lutte contre la maltraitance des enfants » par les partenaires de la coalition.
De telles réglementations, qui sont déjà inscrites dans la solution provisoire du règlement ePrivacy, par exemple, « contredisent diamétralement le caractère de l'accord de coalition », car un chiffrement sécurisé de bout en bout y est garanti, a déclaré Zimmermann. L'introduction de portes dérobées saperait cet objectif de l'accord de coalition, a-t-il ajouté.
« Ce qui est parfois proposé dans le règlement ePrivacy va bien au-delà de ce que nous envisageons en termes de gestion des vulnérabilités », a déclaré Zimmermann, ajoutant que la mise en œuvre « signifierait la création active de vulnérabilités ».
Zimmermann a également souligné que le prochain gouvernement allemand représenterait ses intérêts beaucoup plus fortement au niveau de l'UE. « Nous voulons faire de la politique numérique européenne un moule unique », a-t-il déclaré.
Lors des négociations de coalition, il a été convenu que « l'Allemagne a eu tendance à adopter une position attentiste sur le thème du numérique en Europe ».
Selon Zimmermann, cela s'applique principalement aux grands dossiers de l'UE comme la loi sur les services numériques ou la loi sur les marchés numériques (DMA), où l'Allemagne n'a pas réussi à s'imposer comme une force motrice et s'est isolée sur certaines questions.
La nouvelle coalition s'est ainsi mise d'accord sur l'objectif de poursuivre « une politique numérique cohérente en Europe », a déclaré le responsable politique du SPD. Le prochain gouvernement veillerait à ce que la réglementation sur le DMA, qui vise à limiter le pouvoir de marché des grandes entreprises numériques, ne soit pas en deçà de la loi sur les restrictions de la concurrence, a également déclaré Zimmermann.
C'est une excellente nouvelle pour tous ceux qui luttent pour la confidentialité en ligne. L'Europe semble changer de direction en se montrant favorable et en maintenant un chiffrement fort pour tous les citoyens.
Sources : Standaard (décision de la Belgique), lettre ouverte
Et vous ?
Quelle lecture en faites-vous ?Voir aussi :
L'alliance franco-allemande contre le chiffrement appelle à une législation européenne, l'Europe va-t-elle affaiblir le chiffrement ? La plus grande menace de rançongiciels serait le chiffrement des fichiers cloud partagés, selon les chercheurs de Vectra La cryptanalyse des algorithmes de chiffrement GPRS GEA-1 aurait une faille intentionnellement cachée, selon l'IACR L'Allemagne est sur le point de modifier sa constitution afin de permettre aux 19 services secrets de pirater n'importe qui à tout moment, pour n'importe quelle raison, en secret 
