Le ministère de l’Intérieur britannique veut pouvoir interdire des mises à jour de sécurité

Après avoir tenté d'imposer une porte dérobée dans les messageries chiffrées, les autorités britanniques veulent désormais pouvoir interdire la mise à jour de logiciels exploités aux fins de surveillance et d'interception des télécommunications.

En 2022, raconte John Naughton, éditorialiste technologique à The Observer, le ministère de l'Intérieur britannique a conclu que de nouvelles réformes importantes étaient nécessaires « compte tenu de l'évolution des technologies et des exigences en matière de protection de la sécurité nationale et de lutte contre la grande criminalité ».

John Naughton traduit, avec un peu d'exagération : « les barbouzes ont plus de mal à faire leur travail à cause de la manière dont l'industrie technologique met en œuvre des mesures telles que le chiffrement de bout en bout pour protéger la vie privée des citoyens » et ont donc besoin d'un changement législatif leur autorisant de plus grandes marges de manœuvres.

Ce qu'elles avaient déjà tenté de faire avec le très décrié « Online Safety Bill », censé faire du Royaume-Uni « l’endroit le plus sûr au monde où être en ligne », mais qui avait notamment entraîné les principales messageries chiffrées à menacer de cesser leurs activités au Royaume-Uni, seul moyen d'éviter d'avoir à y installer une porte dérobée.

• Une lettre ouverte contre les sept projets de loi anti-chiffrement
• Le Royaume-Uni adopte le « projet de loi européen le plus critiqué de tous les temps »

Surveillance massive des métadonnées et des sources des journalistes

Un projet de loi, en discussion au Parlement, l'Investigatory Powers (Amendment) Bill (IPA), propose dès lors de mettre à jour les pouvoirs de surveillance et d'interception des télécommunications dévolus aux services de renseignement et forces de l'ordre tels qu'ils avaient été autorisés par la Regulation of investigatory powers bill (RIPA) de l'an 2000, puis l'Investigatory Powers Act (surnommé « snooper’s charter », la « charte du fouineur ») adopté en 2016.

S'il ne devrait pas, dans la pratique, remettre en cause le chiffrement de bout en bout, une coalition d'ONG (réunissant notamment l'Open Rights Group, l'Internet Society, Privacy International et Big Brother Watch) souligne que le projet de loi autorise « la collecte et le traitement des enregistrements de connexion Internet [c'est-à-dire les métadonnées – les numéros que vous avez appelés, votre localisation, l'application que vous avez utilisée…] à des fins de surveillance massive et généralisée ».

Il s'agirait de faciliter la constitution et l'exploitation d' « ensembles de données en vrac [bulk datasets, comme explicité sur le site web du MI5, ndlr] d'informations personnelles » concernant des personnes « dont les attentes en matière de respect de la vie privée sont faibles ou inexistantes ».

En vertu du projet de loi révisé, cela pourrait inclure « toutes les données du domaine public partagées avec consentement, comprenant des documents officiels, des livres audio et des podcasts, ainsi que du contenu dérivé du partage de vidéos en ligne », précise Gov Info Security.

Le projet de loi supprime en outre les garanties mises en place pour sécuriser les sources journalistiques en vertu de la réglementation précédente, afin de permettre aux organismes chargés de l'application de la loi « d'identifier tout matériel journalistique confidentiel » ou encore « d'identifier ou de confirmer une source d'information journalistique ».

Le mémorandum préparé par le gouvernement et consacré aux implications du projet de loi en matière de droits de l'homme reconnaît que « l'acquisition de données de communication peut, exceptionnellement, conduire à l'identification d'une source d'information journalistique ».

La section 195A du texte précise à ce titre que le commissaire chargé des pouvoirs d'investigation devra « déterminer si [...] l'intérêt du public à obtenir les informations qui seraient obtenues par la sélection du matériel à examiner l'emporte sur l'intérêt du public à la confidentialité du matériel journalistique confidentiel ou des sources d'information journalistique ». Cet Investigatory Powers Commissioner est en effet chargé d'assurer un contrôle indépendant de l'utilisation des pouvoirs d'investigation par les agences de renseignement, les forces de police et d'autres autorités publiques.

Un pouvoir discrétionnaire d'interdictions des mises à jour de sécurité

Mais la proposition encore plus étonnante, soulignent les ONG, « obligerait les entreprises technologiques, y compris celles basées à l'étranger, à informer le gouvernement britannique de tout projet visant à améliorer les mesures de sécurité ou de protection de la vie privée sur leurs plateformes avant que ces changements ne soient mis en œuvre, afin que le gouvernement puisse envisager d'envoyer une notification pour empêcher de tels changements ».

Ce qui, résument les ONG, reviendrait à transformer les entreprises privées « en bras armés de l'État de surveillance et érodant la sécurité des appareils et de l'Internet ».

L'objectif serait en effet d'empêcher ces mises à jour de sécurité d'interférer, voire d'empêcher l'exploitation de techniques de renseignement préalablement mises en œuvre par les autorités qui, de plus, pourraient aussi leur interdire toute modification de leurs systèmes et plateformes.

Les entreprises auraient en outre interdiction de divulguer les requêtes de ce type qui leur seraient transmises par les autorités, et seraient également empêchées de pouvoir les contester devant la Justice.

Apple dénonce « une ingérence sans précédent du gouvernement »

« Les opérateurs de télécommunications existent pour permettre aux gens de communiquer librement, et non pour exercer une surveillance étatique », déplorent les ONG, pour qui, « dans l'ensemble, la proposition est un reflet glaçant de l'attitude du gouvernement à l'égard des droits légalement protégés à la vie privée et à la liberté d'expression, qui sont protégés par la loi, ainsi qu'un coup porté à l'innovation technique et à la cybersécurité ».

John Naughton relève à ce titre que pour Apple, cette clause représente « une ingérence sans précédent du gouvernement » qui pourrait permettre au Royaume-Uni de « tenter d'opposer secrètement son veto à de nouvelles protections des utilisateurs au niveau mondial, nous empêchant ainsi de les proposer à nos clients ».

La société « supprimera des services tels que FaceTime et iMessage au Royaume-Uni plutôt que d'affaiblir la sécurité si les nouvelles propositions deviennent une loi et sont suivies d'effet », prévient-elle. Une menace qu'elle avait déjà érigée à l'aune de l'Online Safety Bill.

• Apple bloquera FaceTime et iMessage au Royaume-Uni plutôt que d'en affaiblir la sécurité
• Apple dénonce elle aussi le projet britannique de surveillance du chiffrement de bout en bout

De la portée extraterritoriale du droit britannique

TechUK, une organisation professionnelle représentant 1 000 entreprises technologiques, y compris Apple et Meta, estime que les changements proposés « exacerberont les conflits juridiques, entraveront les avancées technologiques visant à améliorer la vie privée, l'intégrité et la sécurité des consommateurs et, s'ils sont imités par d'autres pays, pourraient avoir un impact négatif sur les entreprises britanniques qui investissent à l'étranger » et que « pris dans leur ensemble, ils risquent de rendre le Royaume-Uni moins attractif pour les investissements ».

Elle déplore que la proposition vise également à changer la définition d'opérateur de télécommunications « pour englober d'autres personnes/entreprises impliquées dans la fourniture de services de télécommunications à des utilisateurs au Royaume-Uni – y compris lorsqu'elles contrôlent ou fournissent un système de télécommunications établi en dehors du Royaume-Uni ».

En permettant au gouvernement britannique d'exiger des entreprises étrangères qu'elles prennent des mesures « qui pourraient être contraires à leurs propres lois nationales », les entreprises privées étrangères se trouveraient en outre « dans une position intenable, confrontées à un conflit de lois inconciliable ».

Les exigences strictes en matière de secret, qui interdiraient aux opérateurs faisant l'objet d'une mise en demeure de divulguer l'existence même de cette mise en demeure, « ajoutent encore à la complexité de la situation ».

« Cette proposition de modification marque un tournant dans la manière dont le Royaume-Uni aborde la portée extraterritoriale du droit britannique et les conflits de lois qui en découlent », déplore TechUK.

Dans la pratique, cela obligerait en effet les entreprises à enfreindre leurs législations nationales, leur interdisant de communiquer au gouvernement concerné les raisons de cette décision, « ce qui rendrait impossible la recherche d'une assistance diplomatique pour résoudre le conflit ».

Interrogé par la BBC, un porte-parole du gouvernement explique que « nous avons toujours clairement indiqué que nous soutenions l'innovation technologique et les technologies de communications privées et sécurisées, y compris le chiffrement de bout en bout, mais cela ne peut pas se faire au détriment de la sécurité publique ».

« Il est essentiel que les décisions concernant l'accès légal, qui protègent le pays des agresseurs sexuels d'enfants et des terroristes, soient prises par ceux qui sont démocratiquement responsables et approuvées par le Parlement », précise le ministère de l'Intérieur.

Le projet de loi, qui a franchi les étapes de la Chambre des Lords le mardi 30 janvier et a été présenté à la Chambre des Communes le mercredi 31 janvier, devrait être débattu en deuxième lecture à une date qui sera annoncée ultérieurement.