Tribune « Attachés aux libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement de nos communications »

Franciliens.net a cosigné cette tribune, rédigée à l’initiative de La Quadrature Du Net et publiée le 14 juin par Le Monde. Cette tribune fait suite à la dénonciation par LQDN de la criminalisation des pratiques numériques des inculpé·es de l’affaire du 8 décembre.

Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.

En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux États-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?

Le chiffrement des communications utilisé comme « preuve » d’un comportement clandestin… donc terroriste

La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation État islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.

Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».

Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).

Rejet de l’amalgame entre protection des données et terrorisme

Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.

Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.

Nous sommes scandalisé·es que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des indices d’« actions conspiratives » de personne vivant supposément dans le « culte du secret ».

Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme ».

Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.

Pour un numérique émancipateur, libre et décentralisé

De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.

En Grande-Bretagne, le projet de loi Online Safety Bill et, aux États-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.

Nous refusons que les services de renseignement, les juges ou les fonctionnaires de police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le chiffrement est un combat pour un futur juste et équitable.

Pour le rejet de l’article 19 de la LPM

Nous republions ici le communiqué de presse de la Fédération FDN, que Franciliens a participé à rédiger: ainsi que la Fédération, nous appellons également au rejet de l’article 19 de la Loi de Programmation Militaire 2019-2025.

La Fédération FDN appelle au rejet de l’article 19 de la LPM

Dans le cadre du projet de Loi de Programmation Militaire portant sur la période 2019-2025 [1], l’article 19 élargit les pouvoirs donnés à l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI), modifie le cadre législatif concernant les opérateurs, les hébergeurs, et touche donc au domaine d’activité de la Fédération des fournisseurs d’accès à Internet associatifs (dite Fédération FDN, ou FFDN).
En invoquant des exigences de sécurité des systèmes d’information, le texte prévoit la possibilité pour les opérateurs d’installer des sondes pour l’analyse du trafic, et la possibilité pour l’ANSSI de les exploiter. Dans un deuxième temps, l’article octroie également à l’ANSSI le droit de procéder à l’installation et l’exploitation de matériel auprès des opérateurs et des hébergeurs.
Alors que la Loi de Programmation Militaire de 2013 [2] avait autorisé l’ANSSI à toute action nécessaire pour organiser la défense à une attaque informatique, le texte en projet, sous couvert de répondre à des besoins de sécurité, autorise une analyse approfondie des flux et permet à l’ANSSI de s’implanter, si elle le souhaite, au cœur de l’infrastructure des opérateurs.

Si nous sommes en faveur d’une meilleure sécurité des équipements connectés à l’Internet – en particulier des objets connectés ainsi que des infrastructures critiques – les mesures évoquées posent de nombreux problèmes que la Fédération souhaite pointer :

Le texte est contraire au cadre juridique actuel

Esquivant toute formulation claire et précise, l’article laisse une très grande marge de manoeuvre à l’ANSSI, dont le directeur général, Guillaume Poupard, avoue souhaiter pouvoir effectuer des analyses jusque dans les pièces jointes des courriers électroniques. L’entrée en vigueur du texte dans sa version actuelle signifierait donc la fin du secret des correspondances.
Ce même niveau d’imprécision pose un autre problème, car les opérations d’analyse et marquage des flux préconisées par l’article permettent la mise en œuvre de discriminations qui sont incompatibles avec le réglement européen sur l’Internet ouvert.
Une observation automatisée du réseau directement au niveau des opérateurs constitue une forme de surveillance généralisée de l’ensemble du trafic (et donc des utilisatrices et utilisateurs) et n’apparaît pas proportionnée à la menace concernée. A notre sens, un tel dispositif n’est admissible, comme outil de détection des attaques, que s’il est utilisé avec le consentement explicite et éclairé de chaque utilisateur final concerné.

Aucun réel contrôle n’est instauré

Equipée de nouvelles prérogatives lui permettant d’agir sans entraves et de porter de graves atteintes aux libertés, l’ANSSI ne sera pas pour autant soumise à un strict contrôle de son action. Tout d’abord, le détail de ce qu’elle met en œuvre restera inconnu du public, l’ANSSI craignant, comme l’a indiqué Guillaume Poupard, que la transparence affecte son efficacité. Il est par ailleurs à souligner que ces nouveaux pouvoirs ne sont assortis d’/aucun/ mécanisme de sanction en cas d’abus, que ce soit du fait de l’ANSSI ou de l’un de ses agents. Seule l’Autorité de Régulation des Communications Éléctroniques et Postales (ARCEP) est chargée de veiller aux conditions de mise en place de ces mesures et nous ne pouvons que souligner que les simples remontrances d’une autorité administrative sont insuffisantes. L’ARCEP s’en inquiète elle-même dans son avis 2018-0101 du 30 janvier 2018 [5], soulignant l’absence totale de cadre de gouvernance pour ce contrôle et, qui plus est, l’inadéquation de l’ARCEP face à cette mission en l’état actuel de ses ressources humaines et financières.

L’impact sur les petits opérateurs est disproportionné

Si la loi de programmation militaire est un texte consacré avant tout à un encadrement budgétaire, l’article 19 semble se concentrer sur l’introduction de nouvelles exceptions aux libertés fondamentales alors qu’il en oublie les implications financières.
Notamment, le texte accorde à l’ANSSI la possibilité d’imposer aux opérateurs des actions dont le coût serait à leur charge. « Le coût marginal très faible » – d’après les mots de son directeur général – des actions que l’ANSSI serait en mesure de faire peser sur un opérateur n’est cependant pas tel lorsqu’il ne touche pas les grands acteurs du marché mais les FAI associatifs qui, opérant dans une optique de bien commun, disposent de budgets de fonctionnement bien plus réduits.

Par ailleurs, des considérations analogues sont à soulever pour les atteintes à la vie privée causées par ce texte. En effet, chez un opérateur comptant plusieurs millions d’abonné·e·s, les données de ceux-ci peuvent ne pas être immédiatement rapportables aux individus. En revanche, ce n’est pas le cas chez les opérateurs de petite taille dont le petit nombre d’utilisatrices et utilisateurs concerné·e·s facilite grandement leur observation, fine ou globale.
La mise à mal de ces petits acteurs est particulièrement malvenue, car, comme le reconnaît l’UNESCO [8], les opérateurs associatifs représentent un indicateur important de l’universalité de l’Internet dans les différents pays.

Le texte prépare le terrain pour de nouvelles atteintes à la neutralité du net

Alors que le débat sur la neutralité du Net est au cœur de l’actualité numérique depuis plusieurs années, la loi de programmation militaire remet en cause ce principe fondamental pour le fonctionnement d’Internet et le respect des libertés fondamentales. En effet, comme le souligne l’ARCEP dans son avis sur le texte, « pour produire tous ses effets, le dispositif envisagé pourrait mener à terme à la mise en place de mesures de gestion de trafic pour bloquer des flux malveillants. »
Or, cette automatisation d’un traitement différencié des paquets constitue une atteinte à la neutralité du Net, atteinte aggravée par le caractère flou et opaque exposé plus haut et sans garde-fous permettant de s’assurer d’une limitation au strict nécessaire d’un tel dispositif. À tout cela s’ajoute enfin le risque de faux-positif, dont aucun système ne saurait être à l’abri et qui aboutirait à une sur-censure de trafic ainsi qu’à une atteinte disproportionnée à la neutralité du Net.

Aucun recours effectif n’est mis en place

Le texte ne prévoit aucun recours pour les opérateurs et hébergeurs qui auraient des sondes de l’ANSSI installées sur leurs infrastructures. D’autre part, il n’existe pas de recours effectif pour les abonnés qui voudraient vérifier la légalité des mesures de surveillance mises en œuvre à leur encontre, alors qu’il s’agit d’une obligation réaffirmée par la Cour Européenne des Drois de l’Homme (§ 287, affaire Roman Zakharov c. Russie [6]).

Les équipements de surveillance seront des cibles de choix pour des attaques informatiques

Si le projet de loi prévoit des fortes atteintes aux libertés fondamentales et fait peser des menaces disproportionnées sur les petits acteurs de l’internet, il introduit aussi un autre risque important. En effet les équipements dont il autorise le déploiement pourraient être détournés de leur finalité par des personnes ou organisations malveillantes, comme tout équipement informatique. De par leur position privilégiée dans les réseaux des opérateurs et des hébergeurs, leur compromission offrirait un accès direct aux données de tous les Français. La mesure s’oppose donc à une véritable politique de défense des systèmes informatiques qui voudrait, au contraire, que l’on minimise les risques en évitant les systèmes ayant un accès disproportionné aux données transitant sur les réseaux.

En conclusion, la Fédération des fournisseurs d’accès à Internet associatifs reprend les remarques faites par l’ARCEP et par La Quadrature du Net [7] et ainsi souligne que l’article 19 de la Loi de Programmation Militaire menace aussi bien les libertés fondamentales des citoyens (vie privée, secret des correspondances) que l’intégrité du réseau Internet telle que protégée par le règlement européen sur l’Internet ouvert. Le texte, ayant recours à des termes et définitions trop vagues pour encadrer ces menaces de manière appropriée, ne prévoit pas non plus les instruments de contrôle ou de recours requis et adéquats.
Par ailleurs cet article, dont les mesures risquent d’introduire de nouveaux risques de sécurité et vont donc à l’encontre de l’intention affichée, se révèle aussi particulièrement inique et pénalisant pour les  dizaines de petits FAI et pour les milliers d’adhérents de la Fédération.
C’est pour ces raisons que cette dernière appelle au rejet de ce texte sous sa forme actuelle.

Sources

[1] Le texte du projet de loi de programmation militaire : https://www.defense.gouv.fr/content/download/523151/8769287/file/LPM%202019-2025%20-%20Projet%20de%20loi.pdf
[2] Article de LPM 2013 : https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071307&idArticle=LEGIARTI000028342546
[3] https://www.nextinpact.com/news/106233-du-deep-packet-inspection-dans-projet-loi-programmation-militaire-2019-2025.htm
[4] https://www.nextinpact.com/news/106115-comment-lanssi-compte-detecter-cybermenaces-chez-operateurs.htm
[5] Avis de l’ARCEP : https://www.arcep.fr/uploads/tx_gsavis/18-0101.pdf
[6] Avis de la CEDH pour l’affaire Zakharov : https://hudoc.echr.coe.int/eng?i=001-160008
[7] Avis de La Quadrature du Net : https://www.laquadrature.net/fr/Detection_cyberattaques_nouvelle_loi_surveillance
[8] Sur le rôle des FAI associatifs dans les indicateurs de l’universalité de l’Internet: https://netcommons.eu/?q=news/netcommons-unesco