RESTON, VIRGINIE - Procédé simple consistant à rendre des données illisibles par des tiers, le chiffrement assure notre sécurité, celle de nos proches et de nos communautés, en protégeant toutes nos informations, qu'il s'agisse de nos messages privés, de nos données bancaires en ligne ou encore de nos dossiers médicaux. Il constitue le pilier de la confiance dans notre société numérique, et s'avère aussi indispensable pour notre sécurité personnelle que pour la sécurité nationale.

Le chiffrement est pourtant aujourd'hui menacé comme jamais auparavant dans les démocraties établies, qui ouvrent par mégarde une voie dangereuse, que les autocrates du monde entier ne demandent qu'à emprunter. Plus précisément, les dirigeants politiques de ces démocraties présentent souvent le chiffrement sécurisé comme s'inscrivant à l'encontre de l'application efficace de la loi. Or, il s'agit d'un faux dilemme. En réalité, nous avons à la fois besoin d'une législation qui protège les citoyens sur la toile, et du maintien d'une infrastructure de sécurité qui préserve nos données. Ces objectifs ne sont pas incompatibles.

Les dirigeants politiques continuent de prétendre que la mise en place de « portes dérobées » réservées aux forces de l'ordre (ou « backdoors ») - permettant à l'État d'accéder exceptionnellement à des communications protégées par chiffrement - serait nécessaire pour contribuer à l'arrestation des criminels. Or, les recherches menées dans le domaine de la cybersécurité démontrent systématiquement qu'il est impossible de créer une porte dérobée que seuls des acteurs bien intentionnés pourraient utiliser. Une backdoor reste une backdoor.

L'affaire Salt Typhoon, dans laquelle un groupe de pirates informatiques soutenu par le gouvernement chinois a pu accéder aux systèmes de télécommunication américains en exploitant des backdoors créées à l'origine pour les services de police et de renseignement des États-Unis, aurait dû suffire à démontrer qu'il n'existe aucun moyen d'empêcher l'exploitation de vulnérabilités techniques intégrées à un système. Aussi nobles leurs objectifs soient-ils, ces outils finiront inévitablement par être utilisés comme une arme par des criminels, des acteurs étatiques hostiles et des pirates informatiques malveillants.

Prenons l'exemple de la proposition de règlement de l'Union européenne dit « Chat Control » sur les abus sexuels commis sur des enfants, qui imposerait aux fournisseurs d'accès d'examiner les communications privées pour détecter les contenus pédopornographiques (CSAM). Bien que l'objectif de lutte contre les atteintes sur mineurs soit urgent et crucial, le règlement proposé compromettrait la confidentialité assurée par le chiffrement de bout en bout.

En vertu de ce règlement, les fournisseurs d'accès seraient tenus de mettre en œuvre une analyse côté client, technologie consistant à examiner les messages sur les appareils des utilisateurs avant qu'ils ne soient protégés par chiffrement et envoyés. Pour imager la situation, si briser le chiffrement équivaut à ouvrir une enveloppe durant son transport par la poste, effectuer une analyse côté client revient à observer par-dessus l'épaule d'une personne pendant qu'elle écrit un message. Le résultat est le même : la vie privée et la confidentialité disparaissent. Par ailleurs, la mise en œuvre de l'analyse côté client ne stopperait pas les contenus CSAM, dans la mesure où les auteurs auraient la possibilité de contourner cette analyse en compressant les contenus ou en les copiant-collant dans un autre format de fichier.

Une fois ces systèmes mis en place, ils créeraient de nouvelles vulnérabilités préjudiciables pour la liberté d'expression. Rien ne garantit par exemple qu'ils ne seraient pas utilisés pour détecter d'autres types de contenus - dissidence politique, mobilisation syndicale ou encore informations compromettantes pour de puissants acteurs.

D'autres protagonistes seraient disproportionnellement impactés par la fragilisation du chiffrement. Si leurs communications étaient compromises, les journalistes perdraient leur capacité à préserver leurs sources, ce qui entraverait par exemple les efforts de dénonciation de la corruption. Les professionnels de santé ont besoin du chiffrement pour maintenir confidentielles les données de leurs patients. Les avocats en ont besoin pour que soit respecté le secret qui les unit à leurs clients. Les entreprises en ont besoin pour protéger leurs secrets commerciaux. Les gouvernements en ont besoin pour assurer la sécurité nationale. Pour quelqu'un qui fuit des violences domestiques, ou qui vit dans une communauté au sein de laquelle l'identité peut représenter un danger, le chiffrement des messages peut aller jusqu'à constituer une question de vie ou de mort.

Enfin, oui, les enfants eux-mêmes ont besoin du chiffrement. Les recherches menées par l'Information Commissioner's Office du Royaume-Uni démontrent que le chiffrement renforce la sécurité en ligne pour les enfants, en empêchant les prédateurs d'accéder à des informations sensibles leur permettant de solliciter l'enfant à des fins sexuelles. Briser le chiffrement de bout en bout afin de « protéger les enfants », ce serait paradoxalement les exposer à un risque accru. La pression de l'opinion publique peut faire la différence. Si le gouvernement australien n'a pas encore contraint les entreprises technologiques à modifier leurs services dans le cadre de sa loi controversée de 2018 sur le chiffrement, qui lui confère le pouvoir d'émettre des « avis de capacité technique », c'est probablement parce que les autorités sont conscientes qu'elles s'exposeraient à des risques politiques en usant d'un tel pouvoir. De même, au Royaume-Uni, à l'issue d'une mobilisation de la société civile contre la loi sur la sécurité en ligne, plusieurs grandes entreprises ont promis de supprimer certains services plutôt que de se conformer à des ordres visant à fragiliser le chiffrement.

Tandis que la proposition de règlement « Chat Control » suit les étapes du processus législatif de l'UE, les États membres s'affrontent sur la question du chiffrement. Pologne, République tchèque, Pays-Bas et Finlande s'opposent à cette législation au sein du Conseil de l'UE, considérant qu'elle menace la vie privée, qu'elle soulève des problèmes de sécurité nationale, et qu'elle est propice à des abus. Le Danemark, la France, la Hongrie et plusieurs autres jugent en revanche nécessaire de l'adopter, estimant que ces risques valent la peine d'être pris pour protéger les enfants. Le dénouement de ces désaccords politiques importera bien au-delà de l'Europe. Les services de messagerie chiffrée sont utilisés dans le monde entier, et la pression exercée par un marché aussi important que l'UE pourrait contraindre les entreprises à affaiblir la sécurité et la confidentialité de leurs produits, créant ainsi des risques pour les utilisateurs à travers le monde.

À l'approche de la cinquième Journée mondiale du chiffrement, nous devons comprendre que ce débat ne concerne pas des spécifications techniques abstraites. L'enjeu consiste à faire en sorte qu'Internet soit sûr et fiable pour tous. En ce qui concerne la sécurité de nos enfants, cela signifie adopter des réglementations qui les protègent réellement, plutôt que de susciter un faux sentiment de réconfort tout en créant des vulnérabilités systémiques. Cela signifie par ailleurs faire respecter les lois de manière ciblée, en se fondant sur des preuves, pas sur une surveillance de masse, mais également entretenir une coopération transfrontalière pour veiller au retrait rapide des CSAM connus, soutenir pleinement les victimes, et mener des campagnes de prévention.

Dans d'autres domaines également, nous avons besoin de solutions pour prévenir les préjudices en ligne sans porter atteinte à la vie privée, à la confidentialité et à la liberté d'expression. Un avenir numérique digne de nos plus hautes aspirations repose sur le chiffrement. Si nous souhaitons qu'Internet permette à tous les êtres humains d'entrer en relation, de communiquer et d'innover en toute sécurité, nous ne devons pas laisser ce pilier s'éroder.



*Présidente-directrice générale de l'Internet Society et de l'Internet Society Foundation