Si la France ne peut pas le faire directement, cela pourrait devenir une directive émanant de l'Union européenne. Inlassablement, la question du chiffrement des messageries revient sur la table. Cette fois, c'est au travers d'un rapport de recommandations du High Level Group mandaté par le conseil européen.

regulation européenne

Alors que la France vient tout juste d'écarter un amendement visant à interdire le chiffrement des messageries dans le cadre de la Loi Narcotrafic, l'idée, elle, continue de susciter un certain intérêt au niveau européen. Europol estime que les messageries sécurisées compliquent beaucoup trop les enquêtes et souhaite obliger les géants de la tech à coopérer, quitte à bousculer les libertés numériques.

Au sein de l'Union européenne, le sujet divise les pays membres. La France et les Pays-Bas soutiennent Europol tandis que l'Allemagne et la Finlande s'y opposent. Pour traiter cette question complexe, la Commission européenne a donc fait appel à un groupe d'experts de haut niveau - High Level Group ou HLG - afin d'établir des recommandations. Ce groupe a récemment publié son rapport final (PDF) repéré par WebProNews.

Le casse-tête du chiffrement

En ce qui concerne les enquêtes criminelles, le groupe d'experts explique que le stockage de données sur certains types d'appareils modernes protégés par des enclaves sécurisées ou par des algorithmes de chiffrement robustes pose un problème réel aux autorités. Bien évidemment, cela concerne la collecte de preuves potentiellement incriminantes.

Dans 80 à 85% des cas, les autorités des pays membres n'arriveraient tout simplement pas à lire les données. Quand bien même ces dernières ont bel et bien été déchiffrées, le processus est jugé trop couteux et trop long à mettre en place. Il est nécessaire de passer par une solution commerciale, tel que le spyware Pegasus, afin d'exploiter une vulnérabilité.

HLG explique que par le passé, les autorités étaient informées des protocoles déployés par les fabricants et éditeurs, mais cette coopération s'est perdue avec l'avancement rapide des nouvelles technologies. Le groupe dresse une liste de pistes à suivre relativement vague pour le développement d'une technologie conciliant le respect de la vie privée répondant aux besoins des autorités. Il est tout de même souligné :

"Dans cette feuille de route technologique, une action-clé consisterait à évaluer s'il est techniquement possible d'obliger l'intégration d'accès légitimes (y compris pour accéder aux données chiffrées et aux enregistrements de vidéosurveillance chiffrés) pour les fichiers numériques et les appareils, tout en garantissant des mesures de cybersécurité solides et sans affaiblir ou compromettre la sécurité des communications. Cette évaluation serait menée en impliquant toutes les parties prenantes concernées."

On le sait, aujourd'hui, cela reviendrait donc aux éditeurs de messagerie à fournir une clé maîtresse, chose qu'il est parfois tout bonnement impossible à faire.

Repenser le RGPD pour obliger la collecte

Outre l'accès aux données, la collecte de ces dernières est aussi un élément-clé pour les autorités. À l'heure actuelle, le RGPD a été mis en place pour limiter la rétention d'informations, ce qui paradoxalement complique la tâche pour les autorités.

Le groupe d'experts propose tout simplement de faire marche arrière en affirmant : "des exigences minimales pour la conservation de certains types bien spécifique de données devraient s'appliquer (et être applicables) à tout opérateur économique (actuel ou futur) fournissant des services de communication électronique".

Simple, non ?

Par ailleurs, certains services, comme la messagerie française Olvid, par exemple, ne nécessitent aucun compte utilisateur. Il n'y a donc aucune donnée personnelle partagée, et ce pour garantir la vie privée de l'utilisateur. Ici l'idée est donc de forcer ces entreprises à mettre en place un système de compte utilisateur :

"Des obligations de ce type ont été considérées comme positives par les experts du HLG dans le contexte des discussions sur la nécessité d'augmenter la transparence et la responsabilité des fournisseurs concernant les données qu'ils collectent et stockent."

On le voit, il s'agit d'un projet d'envergure avec plusieurs impacts non négligeables sur les régulations européennes actuelles. Pour HLG, l'objectif est que les autorités puissent accéder aux contenus des messageries mobiles de la même manière qu'elles accèdent aujourd'hui aux SMS.

La question s'étend d'ailleurs à l'usage du VPN présenté comme un outil particulièrement efficace pour masquer des activités illégales.

Olvid
Olvid
  • Facile de prise en main
  • Aucune donnée collectée
Télécharger