L’Inde retire un projet de loi sur le chiffrement

« Je pense personnellement que certaines expressions utilisées dans le projet ouvrent la voix à des appréhensions inappropriées ». C’est ainsi que Ravi Shankar Prasad, ministère indien des télécommunications, a expliqué à l’agence de presse locale PTI le retrait du projet de loi sur le chiffrement des communications. Et d’insister : le projet soumis précédemment au public « n’était qu’un brouillon » et ne présentait pas « les vues du gouvernement ».

Ce projet a provoqué un tôlé dans le sous-continent, certains, comme Medianama, dénonçant une approche « totalitaire » dans le cœur du texte, susceptible de faire de « toute personne dans ce pays un criminel en puissance » : « tous les citoyens, y compris les personnels du gouvernement, les professionnels, exerçant des fonctions personnelles/non-officiels, doivent stocker le texte en clair de correspondances chiffrées pendant 90 jours à partir de la date de transaction, et fournir un texte en clair vérifiable aux agences de l‘ordre lorsque cela leur est demandé dans le cadre de la loi ».

En outre, le projet de loi disposait que seul le gouvernement indien puisse définir algorithmes et longueurs de clés utilisés dans le pays.

Dans un effort présenté comme une « clarification », le DeitY – département en charge de l’électronique et des technologies de l’information –, à l’origine du projet, rapidement fait référence à des exceptions : les « produits utilisant le chiffrement en masse, qui sont actuellement utilisés dans les applications Web, les sites de réseau social, et les applications sociales telles que WhatsApp, Facebook, Twitter, etc. », mais également « les produits de chiffrement SSL/TLS utilisés pour la banque et les paiements en ligne », et enfin ceux utilisés « pour le commerce électronique et les transactions basées sur des mots de passe ». Une forme de lâcher de lest, certes, mais assurément pas une clarification…

Fortement attaqué en Europe et aux Etats-Unis, depuis plusieurs mois, le chiffrement est au centre des préoccupations du gouvernement indien depuis de nombreuses années. A l’été 2010, un bras de fer s’était engagé avec le créateur du BlackBerry : les autorités locales voulaient pouvoir intercepter en direct les messages chiffrés transitant par les serveurs BIS et BES ; une réaction aux attentats d’Ahmedabad, de Bangalore et de Mumbai, en 2008.