Les portes dérobées de chiffrement violent les droits de l’homme, selon un tribunal européen
Il a été constaté que la demande de la Russie que Telegram lui remette les clés de chiffrement violait le droit à la vie privée des utilisateurs.
La Cour européenne des droits de l’homme (CEDH) a statué que permettre aux gouvernements d’accéder aux messages cryptés de chacun constitue une violation des droits de l’homme. Cela ne les empêchera probablement pas de continuer à essayer.
Dans un arrêt de 27 pages rendu mardi, la CEDH a estimé que la législation russe concernant les services de messagerie en ligne viole l’article 8 de la Convention européenne des droits de l’homme, qui protège le droit à la vie privée. L’affaire a été portée par un utilisateur russe de Telegram qui s’est opposé aux lois exigeant que les services de messagerie stockent les communications des utilisateurs pendant six mois, conservent leurs métadonnées pendant un an et fournissent aux forces de l’ordre des clés pour décrypter leurs conversations sur demande.
La Russie a cessé d’être partie à la Convention en septembre 2022, six mois après avoir été exclue du Conseil de l’Europe, mais la CEDH a décidé qu’elle était toujours en mesure d’entendre l’affaire car les événements en question se sont produits avant cela.
Le demandeur a fait valoir avec succès qu’il est impossible pour Telegram de fournir de manière sélective aux autorités des clés de déchiffrement pour certains utilisateurs et pas pour d’autres, car la technologie ne fonctionne tout simplement pas de cette façon. Créer la possibilité d’accéder à tous les messages cryptés permettrait d’accéder à tous les messages cryptés, affaiblissant ainsi la sécurité et compromettant la confidentialité de tous sur l’ensemble de la plateforme.
Lorsque le chiffrement est une affaire de tout ou rien, il semble préférable de pécher du côté de tous.
« À l’ère du numérique, les solutions techniques visant à sécuriser et à protéger la confidentialité des communications électroniques, y compris les mesures de cryptage, contribuent à garantir la jouissance d’autres droits fondamentaux, comme la liberté d’expression », écrit la CEDH.
« (Dans le cas présent, l’obligation légale (des organisateurs de communications Internet) de décrypter les communications cryptées de bout en bout risque de revenir à une exigence selon laquelle les fournisseurs de tels services affaiblissent le mécanisme de cryptage pour tous les utilisateurs ; elle n’est donc pas proportionnée à les buts légitimes poursuivis. »
La CEDH a également considéré les exigences russes en matière de conservation des données comme étant « extrêmement larges », avec des implications « exceptionnellement vastes et graves » qui nécessiteraient d’importantes garanties contre les abus. Malheureusement, de telles garanties n’existaient nulle part.
Le tribunal a accepté l’affirmation du demandeur selon laquelle les lois russes violent le droit à la vie privée en permettant au gouvernement d’accéder arbitrairement aux journaux de communication de quiconque, même sans motif. Les forces de l’ordre russes ne sont pas tenues de présenter une autorisation judiciaire aux services de messagerie avant d’accéder aux clés de décryptage, ce qui leur permet théoriquement de mener une surveillance extrajudiciaire secrète des utilisateurs.
« Bien que la possibilité d’une action inappropriée de la part d’un fonctionnaire malhonnête, négligent ou trop zélé ne puisse jamais être complètement exclue, quel que soit le système, la Cour considère qu’un système, tel que celui russe, qui permet aux services secrets d’accéder directement aux communications Internet des chaque citoyen sans qu’il lui soit demandé de présenter une autorisation d’interception au fournisseur de services de communication ou à quiconque est particulièrement sujet aux abus », écrit la CEDH.
Telegram a refusé la demande de la Russie d’affaiblir le cryptage
L’affaire de la CEDH concernait une ordonnance de 2017 du Service fédéral de sécurité russe, qui exigeait que Telegram fournisse des informations lui permettant de décrypter les communications de six utilisateurs soupçonnés d’« activités liées au terrorisme ». Telegram a refusé de se conformer à l’ordre, affirmant qu’il était impossible de le faire sans créer une porte dérobée qui affaiblirait le cryptage pour tous ses utilisateurs. Il a également noté que les utilisateurs en question avaient activé le cryptage de bout en bout optionnel de Telegram, ce qui signifie que même l’entreprise ne pouvait pas accéder à leurs messages.
La Russie a ensuite infligé une amende et bloqué Telegram dans le pays. Bien que l’interdiction ait finalement été levée en 2020, elle a été confirmée par les tribunaux nationaux malgré les contestations du demandeur actuel et d’autres. Le requérant a donc porté l’affaire devant la CEDH, alléguant qu’il n’avait pas pu obtenir justice pour la violation de ses droits humains devant les tribunaux russes.
L’arrêt rendu mardi par la CEDH a accordé au requérant 10 000 euros (10 725 dollars) de dommages et intérêts, mais la question de savoir s’il recevra réellement cet argent est une autre question. En 2015, la Russie a adopté une loi nationale permettant à sa Cour constitutionnelle d’annuler les arrêts de la CEDH, une décision critiquée par Human Rights Watch car elle porte atteinte à la capacité des victimes à demander justice.
Gouvernements contre chiffrement
Les gouvernements du monde entier tentent depuis des années d’obliger les entreprises technologiques à affaiblir leur cryptage. En 2016, le PDG d’Apple, Tim Cook, s’est publiquement opposé à la demande du gouvernement américain concernant une porte dérobée de cryptage pour l’iPhone, affirmant que la création d’une telle porte aurait des implications « effrayantes » en matière de confidentialité et de surveillance. Néanmoins, les États-Unis ont continué de faire pression sur Apple pour qu’il mette en place un moyen permettant aux forces de l’ordre de déverrouiller les appareils des utilisateurs. WhatsApp a également rejeté une demande du gouvernement britannique visant à créer une porte dérobée pour son cryptage en 2017 – un conflit qui pourrait encore se terminer par son retrait complet du pays.
Le cryptage est en outre menacé aux États-Unis par la loi Eliminating Abusive and Rampant Neglect of Interactive Technologies (EARN IT), un projet de loi qui a été présenté au Congrès en 2020. À l’époque, l’application de messagerie Signal avait averti qu’elle ne pourrait peut-être pas continuer. opérant aux États-Unis si le projet de loi était adopté, alléguant que la loi nuirait au cryptage de bout en bout. Le projet de loi a ensuite été modifié pour tenter de répondre à ces préoccupations, mais cela n’a pas suffi à apaiser les experts en matière de protection de la vie privée.
Il est peu probable que l’arrêt rendu cette semaine par la CEDH mette un terme à ce problème de cryptage de longue date. Il s’agit néanmoins d’une victoire notable pour les défenseurs de la vie privée et de la sécurité du monde entier.