La nouvelle a laissé beaucoup d'internautes sans voix lorsqu’elle a été annoncée la semaine dernière : l’Allemagne a décidé de réviser la loi sur la protection constitutionnelle afin de donner le droit à ses 19 unités de renseignements de pirater secrètement quiconque à tout moment et pour n’importe quelle raison. Pour que cela soit possible, la loi obligera les FAI (les fournisseurs d’accès Internet) à installer des chevaux de Troie d’État au sein de leurs matériels dans le but de rediriger les données utilisateur vers les services et autorités concernés.
Cette proposition de loi est arrivée l’année dernière est une proposition du ministre allemand de l’Intérieur, Horst Seehofer. Le projet de loi verrait les agences fédérales de renseignement d'État du pays se voir accorder le pouvoir d'espionner les citoyens allemands grâce à l'utilisation de chevaux de Troie. Le projet a fait l’objet de plusieurs critiques et s’est heurté à la contestation de certaines organisations, notamment le SPD, le parti social-démocrate allemand. Mais le projet de loi a subi une légère modification depuis l’année dernière et dans sa forme actuelle, le SPD semble être d'accord.
Selon Seehofer, cette loi est très importante pour le pays, à un moment où les terroristes, les extrémistes et plusieurs autres acteurs malintentionnés se cachent derrière le chiffrement pour agir en toute impunité. Il a déclaré que la loi représente une « étape attendue depuis longtemps dans la lutte contre les terroristes et les extrémistes militants » mercredi dernier, après l’adoption de la loi. Selon le site officiel du ministère de l’Intérieur, cela est surtout important pour la surveillance des communications numériques et chiffrées, souvent offertes par les services de messagerie.
Dans l'article publié mercredi, le ministère a expliqué que la surveillance des télécommunications commence dans l'appareil terminal avant que les messages (données) ne soient techniquement chiffrés ou lorsqu'ils sont à nouveau déchiffrés. Le règlement sur la source TKÜ (la surveillance des télécommunications) n'étend pas les possibilités légales de surveillance des télécommunications, mais garantit que les auteurs n’ont plus, de façon technique, la possibilité d’échapper à la détection en choisissant le moyen de communication.
Avec cette loi qui vient d'être adoptée, le ministre de l'Intérieur Seehofer l'a emporté. Le cheval de Troie d'État ne sera pas limité à l'Agence fédérale de renseignements (Verfassungsschutz) ou à l'Agence de renseignements étrangers (Auslandsgeheimdienst BND). Outre l'Agence de renseignements militaires (Militärgeheimdienst MAD), les 16 bureaux d'État responsables de la protection de la Constitution vont aussi être autorisés à pirater des terminaux pour acheminer les communications. Le projet de loi inclut aussi un point visant à obliger les FAI à faciliter l'installation des chevaux de Troie d’État.
Le chiffrement est attaqué par l'UE et de nombreux pays dans le monde
Ce n’est pas la première fois que le gouvernement fédéral allemand prend des dispositions pour espionner les communications par l'intermédiaire de logiciels malveillants, principalement des chevaux de Troie. Le BKA (Office fédéral de la police criminelle d'Allemagne) utilisait déjà des chevaux de Troie sur des smartphones individuels pour accéder aux communications avant qu'elles ne soient chiffrées. Il est important de noter que tout le chiffrement est inutile si votre appareil est compromis et qu'un texte clair est accessible avant qu'il ne soit chiffré de bout en bout.
Il en va de même s'il y a une caméra derrière votre écran qui peut voir ce que vous tapez. Même les changements dans le gyroscope/accéléromètre de votre smartphone peuvent être utilisés pour deviner votre mot de passe. Cette surveillance va certainement atteindre un niveau plus élevé avec cette nouvelle loi, car installer du matériel d’espionnage dans les centres de données des FAI lui permettra d'envoyer ces chevaux de Troie vers de nouveaux smartphones, ordinateurs et autres appareils lors d'une mise à jour. De quoi collecter encore plus de données.
En France, avant même de devenir président de la République, Emmanuel Macron s’était déjà lancé dans une guerre contre le chiffrement dès 2017. Il a aussi brandi l’argument de la lutte contre le terrorisme, comme le font la plupart des États qui sont contre le chiffrement en ligne. Macron estime qu’il est inacceptable que « les grandes entreprises d’Internet refusent de communiquer leurs clés de chiffrement ou de donner accès au contenu » sous prétexte « qu'ils ont garanti contractuellement aux clients que leurs communications étaient protégées ».
En février 2019, Macron s’est de nouveau opposé au chiffrement déclarant qu’il ne veut plus de l’anonymat en ligne. Avant cela, en janvier 2019, il avait plaidé en faveur d'une « levée progressive de toute forme d'anonymat » devant les maires réunis pour le deuxième acte du grand débat national au Palais des congrès de Souillac. Le Président français avait déclaré que pour améliorer la qualité de la démocratie participative, « il faut aller vers une levée progressive de toute forme d'anonymat ». Macron estime en effet « qu’il est important de distinguer le vrai du faux ».
Il a également déclaré « qu’il est important de savoir d’où les gens parlent et pourquoi ils disent les choses ». Par ailleurs, en juillet dernier, la Commission de l’UE a procédé à la présentation d’une ébauche de la nouvelle stratégie de l’Union en matière de cybersécurité. En gros, il est question d’aller en guerre contre la pédophilie en ligne au travers d’une proposition de loi qui sera soumise plus tard dans l’année. Dans le texte, la Commission indique sa position quant au choix entre sécurité et libertés individuelles : elle est pour la sécurité et entend justement mettre le chiffrement en ligne à mal.
Aux USA, le climat est semblable à certains pays de l’Europe. Les autorités, notamment les services de renseignements tels que le FBI et la NSA, veulent que le chiffrement en ligne soit contrôlé par le gouvernement. En d’autres termes, ils demandent au gouvernement fédéral d’obliger les FAI ainsi que les grandes entreprises technologiques à leur fournir des accès ou à leur accorder des privilèges spéciaux afin d’accéder aux communications des consommateurs.