Plusieurs experts dans le domaine du numérique ainsi qu’un grand nombre de responsables politiques considèrent l’article 8 ter du projet de loi comme une menace pour le principe du chiffrement des communications. Selon eux, cela pourrait créer une vulnérabilité que des cybercriminels pourraient notamment exploiter.
Le texte législatif baptisé « visant à libérer la France du narcotrafic », bien qu’il ne soit pas central, suscite bien des débats. Initié par Bruno Retailleau, ministre de l’Intérieur, et approuvé unanimement par le Sénat le 4 février, il s’articule autour de mesures telles que la mise en place d’un régime pénitentiaire « exceptionnel » pour les détenus particulièrement dangereux, ainsi que l’établissement d’un Parquet national dédié à la lutte contre la criminalité organisée. Cependant, c’est l’amendement du sénateur Cédric Perrin – plus précisément, l’article 8 ter – qui suscite la controverse chez les professionnels du numérique, diverses associations, certains élus, et même au sein du gouvernement. Leur crainte : une menace pour la confidentialité et la sécurité des utilisateurs du numérique.
L’amendement vise à accorder aux services de renseignement l’accès aux messages et données protégés par un chiffrement de bout en bout. Ce mode de chiffrage, adopté par défaut par des applications telles que WhatsApp et Signal, et disponible en option pour Messenger et Telegram, empêche même la plateforme de lire le contenu des messages échangés. En cryptant le message à l’envoi, seul le destinataire, doté d’une clé particulière, peut le déchiffrer.
« Le chiffrage doit être universel »
La proposition législative souhaite contraindre les services de messagerie à développer des solutions techniques capables de contourner ce chiffrement, sous la demande des services de renseignement français. En cas de non-conformité, les entreprises concernées risquent des sanctions financières allant jusqu’à 2% de leur chiffre d’affaires mondial annuel.
Le dispositif semble condamner le chiffrement de bout en bout. Les experts en sécurité informatique et des entreprises de messagerie craignent que cela n’installe une « porte dérobée » : un accès secret accordé à certaines entités, à l’insu des utilisateurs classiques, permettant de consulter des données confidentielles, une pratique dénoncée par la Commission nationale de l’informatique et des libertés.
Critiques et mises en garde insistent sur le fait qu’une telle « porte dérobée » pourrait affaiblir globalement la sécurité, impactant ainsi tous les utilisateurs, non uniquement les criminels. Comme le souligne Meredith Whittaker, présidente de Signal, le chiffrement doit bénéficier à tous, ou alors à aucun, une réalité mathématique indéniable.
Ce dispositif offrirait aussi une opportunité dorée aux cybercriminels. Par le passé, en 2017, une faille découverte par la NSA fut exploitée par le logiciel malveillant Wannacry, affectant des centaines de milliers d’ordinateurs à travers le monde après une fuite de données sensibles de l’agence américaine de renseignement.
« Possibilité d’abus par les régimes autoritaires »
Un expert en cybersécurité, Baptiste Robert, s’inquiète sur les réseaux sociaux quant au risque que tous les pays s’arrogent ce type de capacité si les plateformes consentent (ce qui semble improbable). Il craint que des gouvernements autoritaires utilisent cette capacité pour surveiller avocats, militants et dissidents politiques.
Le danger ne vient pas uniquement des régimes autoritaires, avertissent les experts. Comme l’ont démontré les révélations d’Edward Snowden et Julian Assange, même certains États démocratiques n’hésitent pas à exploiter les outils digitaux pour exercer une surveillance de masse, avec le risque de dérive vers l’autoritarisme, soulignent chercheurs et élus dans une tribune publiée dans Le Monde.
Après l’adoption de cet amendement par le Sénat, les critiques se sont multipliées. Meredith Whittaker a averti qu’en cas de choix entre obéir à une injonction de créer une « porte dérobée » pour Signal ou quitter une région, l’entreprise préfèrerait suspendre ses activités plutôt que de revenir sur ses engagements de confidentialité. Des avis similaires ont été évoqués par WhatsApp et Olvid, messagerie recommandée pour les ministres, dont un des fondateurs, Thomas Baignères, affirme qu’il refusera d’implanter des « portes dérobées » dans ses systèmes, en défense de ses convictions fermes concernant le chiffrement.
Le syndicat Numeum, représentant 2 500 entreprises dont des grands noms comme Meta, IBM et Capgemini, fait part de ses inquiétudes dans une note interne rapportée par le site L’Informé. Divers autres collectifs partagent cette préoccupation, tels que l’Association française des correspondants à la protection des données personnelles et La Quadrature du Net.
Discorde au sein du gouvernement
Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, exprime également son opposition au texte. Elle souligne que sans garanties solides, des principes essentiels seraient compromis : libertés civiles, confidentialité des communications et cybersécurité. « Une faille mise au service de certains peut toujours bénéficier à d’autres », alerte-t-elle. Affaiblir le chiffrement ne serait pas qu’une menace pour les criminels, mais expose aussi citoyens, entreprises et infrastructures à des cyberattaques. Chappaz espère une révision de l’article à l’Assemblée.
Face à cette opposition, Bruno Retailleau rassure qu’il n’est pas question de faiblesse, « pas de faille, pas de ‘backdoor’, aucun affaiblissement du chiffrement ». Le ministre explique que la plateforme doit être capable de chiffrer une communication ainsi qu’en créer une parallèle destinée aux enquêteurs sans altérer la communication d’origine.
« Les organisations criminelles usent des technologies les plus modernes. Nous devons renforcer notre défense face aux outils qu’ils utilisent. »
Bruno Retailleau, ministre de l’Intérieuren commission des lois à l’Assemblée nationale
Cependant, cet argumentation ne convainc pas les critiques. Pour Baptiste Robert, il ne s’agit pas de créer une « porte dérobée », mais plutôt d’ajouter les forces de l’ordre comme observateur dans une conversation sans en informer les autres participants. C’est un affaiblissement de la sécurité et de la protection du chiffrement qui, en pratique, risque de compromettre cette sécurité même pour les enquêteurs, ajoute Alexandre Archambault, avocat spécialiste du numérique, qui partage ses réflexions sur les réseaux sociaux.
Philippe Latombe, député Les Démocrates, rejoint cet avis critique. Il estime que l’article est inefficace puisque les criminels ne se serviront plus des messageries conformes aux exigences françaises. C’est une violation grave de nos valeurs, écrit-il dans un message posté mercredi.
Un avenir incertain pour l’amendement
Dès sa proposition, l’amendement avait reçu un avis défavorable des rapporteurs de la loi. Pour le sénateur socialiste Jérôme Durain, il était « surprenant qu’un amendement d’une telle ampleur » et conséquences possiblement « graves » soit introduit sans études d’impact ni auditions préalables, plutôt que par l’initiative gouvernementale. Néanmoins, Bruno Retailleau avait donné son aval, soulignant que les opérateurs doivent être capables de remettre aux enquêteurs les clés de chiffrement, au-delà des clauses contractuelles.
Pour autant, le ministre n’entretient que peu d’illusions. Il admet que l’article 8 ter pourrait être supprimé lors des débats à l’Assemblée, étant donné que plusieurs amendements déposés par députés différentes tendances politiques en réclament l’élimination.
