Les polices européennes intensifient leur pression sur l’accès aux communications cryptées

Les chefs des polices de 32 pays, dont la France et le Royaume-Uni, ont déclaré conjointement que les entreprises IT déployaient des technologies de chiffrement de bout en bout, d’une manière qui compromettait la capacité de la police à enquêter sur les crimes.

Une intervention qui intervient à point nommé puisque de nombreux États sont sur le point – quand ce n’est pas déjà fait – d’introduire de nouveaux pouvoirs dans le cadre de lois sur les pouvoirs d’investigation (au Royaume-Uni, par exemple, le Parlement s’apprête à voter l’Investigatory Powers Act). Les entreprises IT s’y opposent estimant que de telles lois pourraient être utilisées pour empêcher le déploiement du chiffrement de bout en bout – censé répondre aux enjeux de confidentialité des données personnelles – sans possibilité d’accès par une porte dérobée.

Pour enfoncer le clou, la National Crime Agency britannique prend pour exemple les projets de Meta de déployer le chiffrement de bout en bout sur ses services Facebook et Instagram, faisant craindre que cela ne conduise à la perte de millions de signalements annuels de cas présumés d’abus d’enfants.

Graeme Biggar, directeur de la NCA, explique ainsi que si le chiffrement peut être extrêmement bénéfique et protéger les utilisateurs de certaines formes de criminalité, les entreprises IT mettent les gens en danger par le déploiement « brutal et de plus en plus répandu » du chiffrement de bout en bout intégral.

Le problème c’est qu’au final « elles ne peuvent pas vraiment protéger leurs clients, car elles ne sont plus en mesure de détecter les comportements illégaux sur leurs propres systèmes. La maltraitance des enfants ne s’arrête pas parce que les entreprises choisissent de ne plus regarder ».

Prenant l’exemple du Royaume-Uni, La NCA affirme que la « grande majorité » des rapports d’activités suspectes fournis à la police britannique sera perdue si Meta poursuit son projet de fournir des services de chiffrement sur Instagram et Facebook.

Or, Meta est responsable de la majorité des signalements d’activités suspectes par les entreprises IT au Centre national américain pour les enfants disparus et exploités (NMEC).

Le contenu de Facebook et d’Instagram a aidé les forces de police britanniques à protéger 1 200 enfants et à arrêter 800 suspects par mois.

Les chefs de police européens avertissent également qu’en plus de rendre difficile le fait, pour les entreprises IT, de contrôler ce qui circule sur leurs propres réseaux, le chiffrement de bout en bout entravera la capacité des forces de l’ordre à accéder légalement aux données pour enquêter sur des délits graves.

Une déclaration ratifiée par 32 forces de police européennes à Londres et publiée le 21 avril indique que la police n’accepte pas qu’il y ait un choix binaire entre la cybersécurité, la protection de la vie privée et la sécurité publique.

« Nous pensons que des solutions techniques existent ; elles nécessitent simplement une certaine flexibilité de la part de l’industrie et des gouvernements. Nous reconnaissons que les solutions seront différentes pour chaque capacité et qu’elles varieront également d’une plateforme à l’autre », mentionne le document.

« Les entreprises IT ont la responsabilité sociale de créer un environnement plus sûr dans lequel les forces de l’ordre et la justice peuvent également faire leur travail. »

« Nous appelons donc l’industrie IT à intégrer la sécurité dès la conception (le concept Security-by-design), afin de s’assurer qu’elle conserve la capacité d’identifier et de signaler les activités préjudiciables et illégales, telles que l’exploitation sexuelle des enfants, et d’agir légalement et exceptionnellement sur la base d’une autorité légale », a déclaré la Commission.

Catherine de Bolle, directrice exécutive d’Europol, estime ainsi que « nos maisons deviennent plus dangereuses que nos rues, car la criminalité se déplace en ligne. Pour assurer la sécurité de notre société et de nos concitoyens, nous devons sécuriser cet environnement numérique ».

« Les entreprises IT ont la responsabilité sociale de créer un environnement plus sûr dans lequel les forces de l’ordre et la justice peuvent également faire leur travail. Si la police perd la possibilité de recueillir des preuves, notre société ne sera pas en mesure de protéger les gens contre les crimes », ajoute la directrice.

La déclaration fait suite à une réunion informelle des chefs de police européens organisée par la National Crime Agency à Londres, le 18 avril. Elle a été ratifiée par le Royaume-Uni, les 27 États membres de l’UE, la Norvège, la Suisse, l’Islande et le Liechtenstein.