Loi sur le narcotrafic, revers pour Big Brother

Après une intense bataille parlementaire, l’article 8 ter a été retiré du projet de loi sur la lutte contre le narcotrafic. Il prévoyait de donner aux autorités l’accès aux messageries cryptées. Professionnels de la cybersécurité et défenseurs des libertés publiques respirent, services de police et de renseignement font grise mine. Décryptage.

« Ce soir, le chiffrement ne sera pas menacé, les amendements ne sont pas votés », s’est félicité sur X Éric Bothorel, député centriste (Ensemble pour la République) le 20 mars dernier. Raison de sa satisfaction : le polémique article 8 ter du projet de loi sur le narcotrafic a été définitivement enterré.

C’est à un véritable bras de fer que se sont livrés les parlementaires et les ministères de l’Intérieur et de la Justice à propos de cet article visant à permettre aux services de l’État d’avoir accès aux messageries cryptées dans le cadre de la lutte contre la criminalité organisée.

Si l’ensemble de ce projet de loi transpartisan a plutôt fait l’unanimité – soutenu par le bloc central, il a été porté par un député LR et un député PS –, le fameux article 8 ter a focalisé les oppositions. Introduit dans le texte initial, voté par le Sénat, il a été retoqué par la Commission des lois de l’Assemblée nationale, avant d’être réintroduit sous une forme modifiée… et finalement définitivement rejeté par les députés, le 20 mars dernier, par 119 voix contre 24.

Pourquoi une telle levée de boucliers alors que l’objectif semblait louable et partagé ? « Loin de moi une quelconque volonté de remettre en question la nécessité d’un texte, issu des travaux d’une commission d’enquête sénatoriale qui a documenté avec précision la menace que représente le narcotrafic pour les intérêts fondamentaux de la Nation », écrit ainsi le député centriste Philippe Latombe sur le réseau social LinkedIn.

Un projet qui « mettrait à mal toute la stratégie cyber de la France

Les mauvaises langues affirment que les parlementaires ne voulaient courir le risque de voir un jour leurs petits secrets dévoilés, mais les vraies raisons sont bien plus sérieuses. « Porter atteinte au chiffrement mettrait à mal toute la stratégie cyber de la France et de l’Europe », poursuit le représentant de la 1^re circonscription de Vendée.

En faisant le forcing pour imposer leur article 8 ter, Bruno Retailleau et Gérald Darmanin allaient en effet contre l’avis même des services de l’État, à commencer par l’Anssi. « On ne peut pas faire de la bonne sécurité sans chiffrement. Nous ne pouvons pas tolérer l’affaiblissement généralisé qui découlerait de la possibilité donnée à quelqu’un qui nous veut du mal d’ouvrir nos conversations », s’est inquiété Vincent Strubel, son directeur. La crainte de l’Agence nationale de la sécurité des systèmes d’information – et des entreprises de la Base industrielle et technologique de cybersécurité (BITC) – était que d’introduire une porte dérobée ne laisse… la porte ouverte à des acteurs malveillants sur l’ensemble des communications cryptées des plates-formes visées par le projet de loi.

Impossible en effet de créer une backdoor uniquement pour les narcotrafiquants. Appauvrir le chiffrement pour une personne, c’est l’appauvrir pour tout le monde, ce dont n’auraient pas manqué de profiter hackers, puissances étrangères et régimes autoritaires en mal de contrôle de leur population. En effet, « il est impossible de créer une porte dérobée par laquelle seuls les gentils pourraient passer », soulignait en 2023 Meredith Whittake, présidente de Signal, dont la société a menacé de quitter la France si le projet de loi passait en l’état.

« Moins idiot que totalement crétin n’est pas nécessairement synonyme d’intelligent »

Le risque est en effet inacceptable pour les particuliers, entreprises et services de l’État consommateurs de tels services, mais aussi des fournisseurs eux-mêmes. Signal, donc, mais aussi Telegram, Olvid, Meta (WhatsApp), ou encore Apple (iMessage), Google, Samsung, Microsoft, par la voix de l’AFNUM (l’Alliance Française des Industries du Numérique) étaient vent debout contre cette mesure.

Dans une ultime manœuvre pour la faire passer, le gouvernement et ses alliés au Parlement – Paul Midy (EPR), Mathieu Lefèvre (EPR) et Olivier Marleix (LR) – ont tenté de contourner l’obstacle en proposant un procédé différent : faire envoyer aux services de sécurité une copie en clair des messages des personnes visées par une enquête, arguant qu’il ne s’agirait plus alors d’une backdoor.

Peine perdue. Il s’agit en fait de « la “technique du fantôme” poussée en 2018 par le GCHQ [renseignement électronique britannique, NDLR] et dont les dangers et l’inefficacité avaient alors été largement démontrés », a souligné sur LinkedIn Guillaume Poupard, ancien directeur de l’ANSSI. « Est-ce que cette méthode est moins dangereuse que l’affaiblissement des mécanismes de chiffrement ou le séquestre des clés ? Ça ne fait aucun doute. Mais moins idiot que totalement crétin n’est pas nécessairement synonyme d’intelligent… », s’est-il encore emporté dans la même publication, adoucie depuis. Il traduisait en tout cas le sentiment général des opposants « cyber » à l’article 8 ter finalement retoqué.

« L’État sera destinataire de tous vos échanges, avec tout le monde »

Et si la mesure a fait largement consensus contre elle, de la gauche à l’extrême droite de l’hémicycle, ce n’est pas seulement à cause des dangers qu’elle représentait pour la sécurité. La Commission européenne des droits de l’homme résume bien les enjeux de libertés publiques de ce projet : « les technologies de chiffrement contribuent de manière fondamentale au respect de la vie privée et de la confidentialité des communications, à la liberté d’expression, ainsi qu’à l’innovation et à la croissance de l’économie numérique ». « Nous considérions cette disposition, qui pose la question de la protection des données numériques, comme liberticide. Elle comportait un risque d’atteinte au secret des correspondances qui n’aurait sans doute pas passé le filtre du Conseil constitutionnel », complète Julie Couturier, présidente du Conseil national des barreaux (CNB), qui représente les 77 598 avocats de France.

L’article de la discorde contreviendrait également à plusieurs textes communautaires, comme la charte des droits fondamentaux de l’Union européenne ou la directive vie privée et communications électroniques de 2002. Bref, la mesure ardemment défendue par Bruno Retailleau, Gérald Darmanin et Céline Berthon, directrice de la DGSI (Direction générale de la Sécurité intérieure) ne fleurait pas bon l’État de droit. « Ce qu’explique le ministre de l’Intérieur, c’est que l’État sera destinataire de tous vos échanges, avec tout le monde. Vos proches, vos amours, vos enfants, vos parents, vos collègues, vos clients. Votre avocat. Tous. À tout moment. Et il pourra les consulter quand il le souhaitera », s’était emporté sur X l’avocat Juan Branco le 4 mars dernier, à la présentation de la première mouture de l’article 8 ter.

« Système de surveillance à la chinoise »

Sans aller jusque-là, force est de constater que le temps se gâte pour les citoyens des pays européens soucieux de leur vie privée. L’affaire de l’article 8 ter évoque en effet irrésistiblement celle du projet de règlement européen CSAM, dit « chat control ». Au noble motif de lutter contre le contenu pédopornographique en ligne, celui-ci se proposait de contrôler a priori le contenu des messages envoyés, y compris sur messagerie cryptée. Un projet que l’eurodéputé Moritz Körner, membre du FDP (Parti libéral-démocrate allemand), qualifiait dans nos colonnes de « bafouement des droits fondamentaux sans précédent ». « Mettre en place un vaste système de surveillance à la chinoise n’est pas la bonne solution. Ceci ne nous aiderait pas vraiment à combattre la pédopornographie et porterait atteinte à nos États de droit et nos libertés », insistait-il.

L’opposition a eu raison du projet et de ses multiples moutures, mais, chassé par la porte européenne, il semble vouloir revenir par la fenêtre des États membres. La France était sur les rangs au motif de la lutte contre le narcotrafic, mais la Suède a également un projet de loi similaire. La Cour constitutionnelle belge a validé pour l’essentiel un projet de loi datant de 2022 sur la « conservation des données » (des métadonnées, en fait) dans le cadre de la lutte contre la criminalité. Elle comprend une mesure permettant à la police de demander la levée exceptionnelle du chiffrement des messageries cryptées.

Apple renonce au chiffrement des données utilisateurs

Mais c’est bien sûr le cas britannique qui – bien que le pays ait quitté l’UE – retient le plus l’attention. Les autorités britanniques avaient en effet discrètement sommé Apple de permettre aux forces de l’ordre un accès complet – photos, messages, fichiers, etc. – aux données stockées sur le Cloud, qu’elles soient encryptées ou non. Face à la pression, la marque à la pomme a préféré renoncer au chiffrement de bout en bout des données de ses utilisateurs britanniques plutôt que d’implémenter une porte dérobée dans ses systèmes. Les échanges iMessage et FaceTime ne sont toutefois pas concernés par cette mesure.

En portant cette affaire sur la place publique et en renonçant à la sécurité de ses appareils, pourtant l’un des arguments marketings majeurs de la marque, Apple espérait sans doute provoquer une réaction massive du public ou du moins de ses clients. Le moins que l’on puisse dire est que ses espoirs ont été déçus, l’affaire ayant fait peu de bruit en dehors des cercles de défense des droits de l’homme et des libertés publiques. Big Brother a de beaux jours devant lui.