La tentation est grande, parmi les gouvernements européens, d’exiger des portes dérobées au sein des systèmes d’exploitation et des messageries instantanées. La lutte contre le terrorisme pousse en effet certains dirigeants à réclamer une plus grande souplesse auprès des constructeurs et des éditeurs. Cela a encore été le cas pendant la visite récente de Theresa May à Paris : la Première ministre britannique, dont le pays fait face à une vague d’attentats, et Emmanuel Macron ont annoncé un plan de lutte contre le terrorisme.
Parmi les dispositifs que les deux pays veulent mettre en place, on trouve l’obligation faite aux opérateurs en ligne de « supprimer les contenus qui promeuvent dans tous types de médias la haine et le terrorisme », une nécessité selon Paris et Londres, qui passe entre autres par l’amélioration des « moyens d’accès aux contenus cryptés ».
En un mot comme en cent : des portes dérobées, même si les deux dirigeants prennent soin de souligner l’importance de préserver la « confidentialité des correspondances afin que les messageries ne puissent pas être l’outil des terroristes ou des criminels ». Seul hic : une backdoor pour les gentils, c’est aussi une backdoor pour les méchants.
Les gouvernements des États membres de l’UE sont cependant tombés sur un os. La Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a livré la semaine dernière la première version d’un texte sur la modernisation des systèmes de protection des données. L’amendement 116 est particulièrement intéressant, puisqu’il stipule que les fournisseurs de services de communication électronique doivent s’assurer qu’il y ait une protection suffisante contre « les accès non autorisés ou les altérations des données ».
La Commission ajoute que ces mêmes services doivent faire en sorte que « la confidentialité et la sûreté des transmissions soient également garanties par la nature même des moyens de transmission ou par le chiffrement bout-à-bout le plus moderne qui soit ». Autant dire que les backdoors ne font pas partie de ces systèmes, ce d’autant que la Commission prévient très clairement : « le déchiffrement, l’ingénierie inverse ou la surveillance de ces communications doivent être interdits ».
Les pays de l’Union européenne ne sauraient donc demander des portes dérobées aux fournisseurs de services. Ce texte, qui n’en est qu’au stade de brouillon pour le moment, passera-t-il la rampe auprès des États membres ?