La France est sur le point d'adopter la pire loi de surveillance de l'UE

[Animateur]

La France est sur le point d'adopter la pire loi de surveillance de l'UE : une porte dérobée dans WhatsApp, Telegram et Signal, une proposition de loi qui provoque la stupéfaction

Un amendement controversé introduit dans la proposition de loi française visant à lutter contre le narcotrafic provoque une levée de boucliers. La proposition obligerait les messageries chiffrées comme Signal et WhatsApp à créer une porte dérobée permettant aux autorités de contourner le chiffrement de leurs applications. Cela compromettrait le principe même du chiffrement de bout en bout et offrirait aux forces de l'ordre un accès illimité aux discussions privées des utilisateurs. L'AFNUM (qui représente Google, Microsoft, Apple, etc.) et Tuta Mail dénoncent cette loi et rappellent qu'il n'est pas possible d'ouvrir une porte dérobée aux seules bonnes volontés.

La France veut briser le chiffrement au nom de la lutte contre le narcotrafic

La loi « Narcotrafic », proposée par les sénateurs Jérôme Durain et Étienne Blanc le 12 juillet 2024, va bien au-delà de son objectif affiché et inquiète les organisations de défense des droits et libertés numériques. Un amendement introduit par Cédric Perrin, président de la commission des Affaires étrangères et de la Défense au Sénat, obligerait les messageries chiffrées à compromettre les protections en matière de vie privée offertes par leurs services.

Concrètement, si elle est adoptée, la loi obligerait les services de messagerie privée, tels que Signal, WhatsApp ou Telegram, à mettre en place une porte dérobée au-dessus du chiffrement de bout en bout de leurs applications. Une fois la porte dérobée installée, les plateformes seront tenues de remettre aux forces de l'ordre les messages déchiffrés des criminels présumés dans les 72 heures suivant la demande. Les contrevenants risquent de lourdes amendes.

Pour faire respecter la loi, le texte prévoit une amende de 1,5 million d'euros pour les individus et une amende pouvant aller jusqu'à 2 % du chiffre d'affaires annuel mondial pour les entreprises. L'amendement a déjà été adopté par le Sénat français et passe maintenant rapidement à l'Assemblée nationale.

« En imposant des portes dérobées, le gouvernement français ne compromet pas seulement la sécurité de tous les utilisateurs, qu'il s’agisse de citoyens ou d'entreprises, mais cette loi modifiée est très probablement en contradiction avec les lois européennes sur la protection des données, telles que le RGPG, la loi allemande sur la sécurité des technologies de l'information (IT Security Act) et le TKG », note le fournisseur de la messagerie chiffrée Tuta Mail.

Le chiffrement est le fondement de la sécurité des communications numériques. Créer une porte dérobée pour les autorités revient à installer une faille volontaire dans ce système de protection. Absolument rien ne garantit que cette porte dérobée sera utilisée uniquement dans le cadre de son objectif initial. Et cette faille introduite de façon délibérée constituera une mine d'or pour les acteurs de la menace, ce qui représente un grand danger pour les utilisateurs.

Par le passé, la France et d'autres pays ont réussi à briser le chiffrement certaines messageries, telles que Encrochat et AN0M, utilisées presque exclusivement par les criminels. Ces opérations ont permis aux forces de l'ordre de ces pays de démanteler de vastes réseaux de criminels de tout genre.

Cependant, briser le chiffrement d'une application conçue par des criminels pour des criminels est une tout autre chose que de briser le chiffrement des messageries utilisées par des milliards de personnes. Selon le service de messagerie chiffrée Tuta Mail, les dommages collatéraux seraient terribles.

Dans un billet de blogue détaillé sur le sujet, Tuta Mail rappelle qu'il n'est pas possible d'ouvrir une porte dérobée aux seules bonnes volontés. Elle peut faire l'objet d'abus de la part des forces de l'ordre ou des autorités, conduisant ainsi à une surveillance de masse des citoyens et à des restrictions de liberté.

Elle peut également être la cible de pirates informatiques. L'ANSSI, l'agence française de la cybersécurité, et le Comité européen de protection des données, sont conscients des dangers liés à l'ajout délibéré d'une faille dans les services de communication et mettent en garde contre ces initiatives. L'AFNUM (Alliance française des industries du numérique), qui compte dans ses rangs Apple, Samsung, Google et Microsoft, dénonce également cette loi.

« L'efficacité du chiffrement de bout en bout repose, par nature, sur le fait qu'aucune personne extérieure aux échanges ne doit disposer de la clé de déchiffrement », note l'AFNUM. Le groupe de défense des droits et libertés numériques La Quadrature du Net tire la sonnette d'alarme. Le groupe a lancé une campagne de mobilisation contre ce qu'elle qualifie de « l'une des lois les plus dangereuses pour les libertés publiques proposées ces dernières années ».

L'Union européenne a déclaré la guerre au chiffrement de bout en bout il y a quelques années. Elle exige l'accès aux messages privés sur n'importe quelle plateforme au nom de la protection des enfants, de la lutte contre la pédocriminalité et de la diffusion du CSAM (Child Sexual Abuse Materia) ou matériel pédopornographique. Toutefois, les experts en cybersécurité et les groupes de défense des consommateurs dénoncent cette posture de l'UE.

Plus récemment, le Royaume-Uni a exigé d'Apple qu'il crée une porte dérobée au-dessus du chiffrement d'iCloud afin de permettre aux agents de sécurité britanniques d'accéder librement aux données chiffrées des utilisateurs dans le monde entier. Apple s'y est longuement opposé. Mais à la suite du bras de fer avec les autorités britanniques, ce mois-ci, Apple a décidé de retirer les fonctionnalités de chiffrement de bout en bout d'iCloud au Royaume-Uni.

Il n'est pas certain que la décision d'Apple a satisfait le gouvernement britannique, mais le fabricant de l'iPhone a menacé de retirer ses services de messagerie chiffrés du Royaume-Uni en cas d'autres exigences. WhatsApp et Signal ont aussi menacé de quitter le pays s'ils recevaient une telle demande.

Sources :

https://droit.developpez.com/actu/369584/La-France-est-sur-le-point-d-adopter-la-pire-loi-de-surveillance-de-l-UE-une-porte-derobee-dans-WhatsApp-Telegram-et-Signal-une-proposition-de-loi-qui-provoque-la-stupefaction/

Agence nationale de la sécurité des systèmes d'information / ANSSI

https://next.ink/13042/100863-lanssi-defend-chiffrement-bout-en-bout-sans-portes-derobees

https://www.zdnet.fr/actualites/la-riposte-sorganise-contre-lexplosive-backdoor-dans-les-messageries-demandee-par-le-senat-407223.htm

https://www.laquadrature.net/

[Animateur]

Fiche Wikipédia Eric Bothorel : https://fr.wikipedia.org/wiki/%C3%89ric_Bothorel

https://www.senat.fr/amendements/2024-2025/254/Amdt_73.html

[Animateur]

« La proposition de loi de lutte contre le narcotrafic ne peut affaiblir la sécurité des entreprises et des citoyens ! »
Tribune Collectif

Loin de se limiter au trafic de stupéfiants, le texte, actuellement débattu à l’Assemblée nationale, donne à l’Etat des pouvoirs considérables pour espionner numériquement les Français et porter atteinte au secret des correspondances, alerte un collectif de spécialistes du numérique dans une tribune au « Monde ».

Des parlementaires peu informés pris par surprise au détour d’un amendement, des ministères régaliens tentés par l’accroissement des moyens de surveillance afin de répondre à des problématiques malheureusement bien réelles : voilà comment la pire évolution possible en matière de sécurité numérique est en train de se frayer un chemin dans nos lois ! Une évolution unanimement crainte et dénoncée depuis des années par tous les experts de la sécurité numérique, par toutes les associations et institutions préoccupées de protéger nos droits et libertés dans ce dangereux et complexe monde numérique. Elle se veut être la loi pour lutter contre le narcotrafic, elle ne peut devenir la loi qui favorise l’espionnage et le piratage !

En matière de surveillance, la proposition de loi donne à l’Etat des pouvoirs considérables pour espionner numériquement les citoyens sur suspicion de « crime en bande organisée », une dénomination très large qui, loin de se limiter au narcotrafic, pourra permettre l’atteinte au secret des correspondances numériques de militants de causes variées. Et quand on dit espionnage, c’est l’ensemble des moyens techniques qui est concerné : logiciels espions, activation à distance des caméras et micros, etc. Et cela restera secret même pendant l’instruction du dossier, privant les personnes surveillées de leurs droits fondamentaux de contradiction. Il ne nous appartient pas de juger de la proportionnalité de telles mesures, mais les révélations de MM. Snowden et Assange ont malheureusement déjà amplement démontré la tentation des démocraties libérales à utiliser largement les techniques numériques pour espionner massivement, avec le risque de glisser insensiblement sur une pente illibérale...

https://www.lemonde.fr/idees/article/2025/03/05/la-proposition-de-loi-de-lutte-contre-le-narcotrafic-ne-peut-affaiblir-la-securite-des-entreprises-et-des-citoyens_6576531_3232.html

[Animateur]

Narcotrafic et messageries privées : le parlement a écarté la surveillance de masse par « backdoor »

L’accès des services de police aux contenus des messageries chiffrées est un serpent de mer qui refait surface dès qu’il s’agit de montrer les muscles face à la pédophilie ou à la grande criminalité. Dans le cadre de la loi sur le narcotrafic, un article défendu par le ministre de l’Intérieur a été rejeté par les élus de l’Assemblée nationale en seconde lecture. Pourquoi cet article était-il aussi dangereux que contreproductif ?

Il a été massivement retoqué à l'Assemblée nationale. Exit, l'article 8 Ter de la proposition de loi contre le narcotrafic. L'amendement rattaché au texte soutenu par le ministre de l'intérieur Bruno Retailleau était passé allègrement en première lecture au Sénat le 4 février. Il ne s'agissait certes pas de la colonne vertébrale de cette proposition de loi, mais parmi ses articles, ce fameux 8 Ter visait à obliger les fournisseurs de messageries chiffrées de bout en bout, comme WhatsApp, Facebook Messenger, Telegram, ou Signal, à ouvrir en clair le contenu des correspondances aux services de renseignement. Autrement dit, cette capacité concerne l'ensemble des utilisateurs de ces messageries.

Rappelons que même ces services ne peuvent pas accéder en clair aux contenus des messages qu'ils font transiter. Tout se passe au niveau des correspondants, ce qui vient garantir justement la confidentialité des données. Alors, comment faire pour passer outre ce chiffrement ? Plutôt que d'intégrer un backdoor, comme ont pu le faire à leurs dépens les services de renseignements américains, l'idée de cet amendement consistait à conserver le chiffrement de bout en bout des messageries, mais d'autoriser un tiers, c'est-à-dire le service de renseignement à être ajouté en « secret » aux discussions. Autrement dit, le principe reposait sur l'équivalent d'une conversation de groupe. Mais avec une contrainte : la présence d'un membre secret. C'est ce que l'on appelle la technique du « ghost » ou du fantôme. En hacking, c'est même ce que l'on nomme une attaque de bifurcation de trafic.

Par analogie, c'est un peu la stratégie qu'ont employée dernièrement les hackers du Kremlin pour pouvoir accéder en clair aux contenus de l'application Signal des soldats ukrainiens lors d'une campagne de quishing (hameçonnage par QR-Code).

Pour défendre cet article, Bruno Retailleau a insisté en expliquant « qu'il n'y a pas d'affaiblissement du chiffrement » et que ce n'est pas une « mesure massive ». Autre argument, « ce n'est pas une solution backdoor, où on crée une faille où à tout moment un service peut s'infiltrer ».

Un backdoor qui ne serait donc pas un backdoor…. Vraiment ? © LCP

La technique du fantôme

Or, techniquement l'argument de la conservation de l'intégrité du chiffrement ou de l'absence de faille ne tient pas. Pour ajouter ce membre fantôme, il ne faut pas que les correspondants aient vent de sa présence. C'est bien là tout le problème. Cela signifie que les clés de chiffrement des deux correspondants ne peuvent pas être regénérées, car cela leur donnerait un indice. De fait, cela signifie que le service de renseignement dispose d'une clé dite « maître », à partir de laquelle les autres clés sont délivrées.

De cette façon, le service de renseignement dispose d'un mode « Dieu » et peut consulter en clair l'ensemble des discussions. Dire qu'il n'y a pas d'affaiblissement du chiffrement est donc totalement faux. À partir du moment où un tiers peut lire les conversations chiffrées, autant dire que la faille est énorme et que le chiffrement ne garantit plus du tout la protection des données privées.

Le pire dans l'histoire, c'est qu'il faut partir du principe que les criminels ne se sentent pas vraiment concernés par les lois et notamment ce type de loi. De fait, ils ne seront jamais impactés par ces « écoutes ». Leur premier réflexe va consister à exploiter d'autres systèmes garantissant le chiffrement de leurs données.

En conséquence, avec un tel procédé, contrairement à ce qu'indiquait le ministre de l'Intérieur, seuls les innocents sont impactés par l'affaiblissement du chiffrement des données. Mais il y a pire encore. Cette vulnérabilité pourrait bien profiter à des tiers malveillants, tels des hackers affiliés à des services de renseignement étrangers. C'est encore mieux que d'implanter un logiciel de type Pegasus, sachant que le président Macron utilise lui-même Signal et Olvid. Et se dire que la solution d'interception est suffisamment sécurisée pour que cela n'arrive pas est faux. Ce n'est qu'une question de temps avant qu'un acteur malveillant - voire des réseaux de criminels - ne parvienne à s'introduire et exploiter cette faille.

Les criminels pas concernés

Cette rengaine sur l'accès en clair au chiffrement des communications dure depuis des années et la France n'est pas la seule à œuvrer dans ce sens. Quand il était ministre de l'Intérieur, Gérald Darmanin prônait l'accès à ces données. Encore faudrait-il l'imposer aux fournisseurs de solutions de messageries chiffrées. Signal avait d'ailleurs indiqué qu'il refuserait de se plier à cette obligation. Malgré la pression que pourrait exercer l'autorité en imposant à l'entreprise une amende de 2 % de son chiffre d'affaires mondial, celle-ci pourrait tout simplement choisir de couper son service en France. Dans cette situation, un simple VPN viendrait régler le souci, pour tous, narcotrafiquants y compris. L'engouement récurrent des parlementaires pour cette technique pourtant contreproductive reste donc très surprenant. S'agit-il de montrer aux électeurs que les criminels ne seront jamais à l'abri ? Ces derniers le savent déjà de toute façon et prennent les mesures adéquates pour ne jamais être inquiétés.

Ce qui est surprenant, c'est que tous les signaux allaient à l'encontre de cette idée. Ainsi, l'Anssi, c'est-à-dire l'agence gardienne de l'intégrité des systèmes d'information d'État a eu beau qualifier l'approche de « dangereuse », malgré son apparente séduction, rien n'y a fait. L'amendement a été défendu mordicus par l'actuel ministre de l'Intérieur Bruno Retailleau. Outre l'agence française, cette mesure est également totalement contraire aux recommandations des autorités européennes et venait notamment contredire le règlement de la fameuse RGPD.

Alors oui, les impératifs de sécurité publique avec le respect des droits fondamentaux à la vie privée et à la protection des données sont souvent difficiles à concilier. Mais aussi innocent que l'on soit, sans rien avoir à se reprocher, la protection de la vie privée est une question d'intimité qui doit être garantie, comme le stipule l’article 12 de la Déclaration universelle des droits de l'Homme.


Par Sylvain Biget / Journaliste

Publié le 7 mars 2025 à 19:04 futura-sciences.com

https://www.futura-sciences.com/tech/actualites/tech-narcotrafic-messageries-privees-parlement-ecarte-surveillance-masse-backdoor-120190