Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La CEDH juge contraire aux droits humains l’obligation d’ajouter des backdoors dans les messageries

Fermez la porte !

La CEDH juge contraire aux droits humains l’obligation d’ajouter des backdoors dans les messageries

Ce mardi 13 février, la Cour européenne des droits de l'homme (CEDH) a jugé que les lois introduisant une obligation de backdoors dans les messageries chiffrées sont contraires à la Convention européenne des droits de l'homme. Si cette décision concerne un cas en Russie, elle pourrait avoir des répercussions en Europe.

Le 15 février à 16h28

La Cour européenne des droits de l'homme a conclu, dans un jugement prononcé mardi 13 février, que l'obligation légale de laisser la possibilité aux autorités de déchiffrer les communications chiffrées de bout en bout « risque d'être assimilée à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs ; elle n'est donc pas proportionnée aux objectifs légitimes poursuivis ».

Utilisateurs russes de Telegram contre FSB

Le cas que devait juger la CEDH peut sembler singulier. Il s'agissait de se prononcer sur la demande d'Anton Valeryevich Podchasov, un citoyen russe vivant en Sibérie et utilisateur de Telegram. En mars 2018, celui-ci (avec 34 autres personnes) a demandé à la Cour de se prononcer sur la demande faite en juillet 2017 par le FSB (le service de renseignement russe) à la messagerie Telegram de divulguer des informations techniques qui faciliteraient « le déchiffrement des communications [...] pour les utilisateurs de Telegram qui sont soupçonnés d'activités liées au terrorisme ».

Rappelons que, par défaut, sur Telegram, les discussions ne sont pas chiffrées de bout en bout. Mais le service de renseignement russe voulait notamment accéder aux discussions de six utilisateurs qui avaient activé la fonction « secret », permettant d'utiliser ce type de chiffrement.

En effet, fin juin 2017, l'entreprise de Pavel Durov, Telegram Messenger LLP, a été ajoutée à la liste russe des « organisateurs de communications sur Internet ». La loi russe oblige ces derniers à conserver les métadonnées des conversations pendant un an et le contenu de toutes les communications pendant six mois, et, dans certaines circonstances, de les livrer aux autorités ou aux services de sécurité avec les informations nécessaires pour les déchiffrer.

Devant la CEDH malgré l'exclusion de la Russie du Conseil de l'Europe

Telegram ayant refusé de se conformer à cette injonction – expliquant notamment que cela lui était impossible – l'entreprise a été condamnée à une amende par un tribunal de Moscou en décembre 2017. Un autre tribunal a ordonné en avril 2018 le blocage de Telegram en Russie (cette ordonnance ne semble pas gêner l'accès à l'application dans le pays pour autant).

Rappelons que la Russie a rejoint initialement en 1996 le Conseil de l'Europe, dont la CEDH est une institution. Mais elle en a été exclue le 16 mars 2022 (avec effet à partir du 16 septembre 2022). Malgré cette exclusion, la CEDH s'est jugée compétente sur ce cas, car il se rapporte à des faits antérieurs au 16 septembre 2022.

Violation du droit au respect à la vie privée et à la correspondance

Dans cette affaire, les personnes qui ont saisi la CEDH considèrent que la loi qui permet au FSB d'accéder à des correspondances chiffrées viole leurs droits fondamentaux. Pour le gouvernement russe, qui s'est défendu devant la CEDH, sa loi ne va pas à l'encontre de ces droits, puisqu'elle ne demande pas de fournir toutes les clés de chiffrement.

Il précise que « la demande de clés de chiffrement du 12 juillet 2017 contestée par le requérant portait sur des communications concernant six numéros de téléphone appartenant à des terroristes présumés et une autorisation judiciaire avait été obtenue. Les allégations du requérant selon lesquelles les services de sécurité avaient accès aux communications de tous les utilisateurs n'étaient donc pas étayées ».

Mais pour la Cour, « rien que le stockage de données relatives à la vie privée d'un individu » est contraire à l'article 8 de la Convention européenne des droits de l'homme.

Concernant le chiffrement, elle observe qu'il « semble aider les citoyens et les entreprises à se défendre contre les abus des technologies de l'information, tels que le piratage, le vol d'identité et de données personnelles, la fraude et la divulgation indue d'informations confidentielles. Il convient d'en tenir compte lors de l'évaluation des mesures susceptibles d'affaiblir le chiffrement ».

Elle ajoute que « l'affaiblissement du chiffrement par la création de backdoors rendrait apparemment techniquement possible une surveillance routinière, générale et indiscriminée des communications électroniques personnelles. Les backdoors peuvent également être exploitées par des réseaux criminels et compromettraient gravement la sécurité des communications électroniques de tous les utilisateurs. La Cour prend note des dangers d'une restriction du chiffrement décrits par de nombreux experts en la matière ».

Tout en ne rejetant pas que les criminels peuvent utiliser le chiffrement et que celui-ci peut compliquer les investigations criminelles, la Cour souligne que les forces de l'ordre ont des solutions alternatives pour mener leurs enquêtes en s'appuyant sur les avis d'Europol et de l'Agence de l'Union européenne pour la cybersécurité.

Elle en conclut que l'obligation prévue par la loi russe pour les « organisateurs de communications sur Internet » de déchiffrer les communications « risque de revenir à exiger des fournisseurs de tels services qu'ils affaiblissent le mécanisme de chiffrement pour tous les utilisateurs ; elle n'est donc pas proportionnée aux buts légitimes poursuivis ».

Peu de poids en Russie, mais en Europe ?

Comme l'expliquait le professeur de droit international Julien Cazala dans The Conversation, « la Douma a adopté, le 7 juin 2022, une loi autorisant la Russie à ne pas appliquer les décisions rendues par la Cour de Strasbourg après le 15 mars 2022 ». Cette décision ne devrait donc pas faire exception et il y a peu de chance pour que le pouvoir russe s'en préoccupe.

Mais elle pourrait avoir beaucoup plus de poids en Europe. Martin Husovec, professeur de droit qui a participé à la rédaction du témoignage de l'European Information Society Institute sur lequel s'est en partie appuyée la Cour, a expliqué à Ars Technica qu'il était probable que la Cour de justice de l'Union européenne approuve cet arrêt.

Si c'était le cas, les projets de lois en Europe prévoyant l'obligation d'ajout de backdoors dans les messageries chiffrées pourraient avoir du plomb dans l'aile.

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Dans votre gueule les Brit... Ah merde, sont déjà partis.
votre avatar
Ils font toujours partie du Conseil de l'Europe ^^
votre avatar
Mais ça les emmerde...

Un des gros thèmes pour justifier le Brexit, c'était littéralement se débarrasser de la vision européenne des droits humains pour la remplace par un "briton bill of rights" plus permissif mais... ils n'y sont pas encore.

Mais pour le moment ils râlent encore parcequ'ils ne peuvent pas déporter les demandeurs d'asile au Rwanda...
votre avatar
La France est pas mal dans le genre non plus concernant l'affaiblissement du chiffrement, merci nos politiques qui n'y connaissent que peu de choses à ce sujet ...
votre avatar
Ben perso, en tant que Belge, je suis parfois partagé sur le Frexit ... je veux dire, d'une manière la France fait de plus en plus double emploi avec la Hongrie, du coup ...
votre avatar
On était là avant la Hongrie, je propose qu'on vire la Hongrie pour te faire plaisir.
votre avatar
pas certaine que le problème soit "n'y connaissent que peu de choses à ce sujet"

j'aurais tendance à dire que c'est à dessein
votre avatar
La réalité, c'est que toute solution logicielle produite dans un pays exigeant la mise en place de backdoors, doit être évitée à tout prix.

Un pays qui impose des backdoors doit voir son secteur technologique disparaître de la carte du monde.
votre avatar
Va dire ça aux USA :)
votre avatar
Aux USA, la loi ne permet pas de forcer une entreprise à installer un backdoor. Il y a eu des tentatives d'utiliser le all-writs act pour contourner ce vide, mais ça n'a pas tenu devant les tribunaux. Mais ça peut toujours changer.
votre avatar
sauf si l'une des agences est ton actionnaire :oops:
votre avatar
Si c'est une entreprise possédée par les services de renseignement, on est pas dans le cadre de la loi mais dans un rapport d'autorité direct.
votre avatar
on fait disparaitre préventivement le secteur tech français ?
votre avatar
Le quoi?
votre avatar
J'imagine bien Darmanin lire le truc et prononcer le "vu et s'en tape" ...
votre avatar
On pourra toujours invoquer cette jurisprudence auprès du Conseil constitutionnel si nos représentants font un jour du zèle en adoptant une loi imposant le recours aux backdoors (coucou les Brit)
votre avatar
Le Conseil Constitutionnel n'a rien à faire des décisions de la CEDH puisque la Constitution a un niveau supérieur aux conventions internationales.

Par contre, un juge et en particulier la Cour de Cassation doivent tenir compte de cette jurisprudence car les conventions internationales ont un niveau supérieur aux lois françaises.

J'espère que tout le monde a suivi. Hiérarchie des normes
votre avatar
Merci pour ce rappel !
votre avatar
Ce qui est faux
--
Cependant, la suprématie de la Constitution n’est pas toujours garantie. Elle demeure une règle interne à chaque pays et peut entrer en concurrence avec les règles internationales. Certaines juridictions internationales, comme la Cour de justice de l’Union européenne ou la Cour européenne des droits de l’homme, font ainsi primer les engagements internationaux sur l’ensemble des règles internes des pays concernés, y compris leur Constitution.
--
(source https://www.vie-publique.fr/fiches/19550-la-place-de-la-constitution-dans-la-hierarchie-des-normes-juridiques)

Les décisions de l'UE sont aussi supérieures à la constitution française
votre avatar
Ton lien est très général et ne parle pas de la France quoi qu'il fasse partie d'un ensemble intitulé "Institutions de la République".

De plus, je parle du Conseil Constitutionnel, pas des autres instances juridiques pour la prééminence de la Constitution. Celui-ci ne juge qu'en fonction du bloc de constitutionnalité. Il peut s'appuyer sur des jurisprudences externes mais uniquement pour appuyer son interprétation du bloc de constitutionnalité. On peut lire ceci qui explique la démarche qui peut être entachée d'arrières pensées. Ce texte aussi parle du sujet.

Cela n'empêche pas qu'il y ait des décisions qui peuvent être différentes sur un même sujet entre le Conseil Constitutionnel et la Cour de Cassation ou une Cour de Justice. C'est d'ailleurs ce que j'ai dit.

Sur la présence d'un avocat pendant la garde à vue, les 2 avaient jugé qu'il fallait l'appliquer mais le premier avait donné un délai pour l'application, la Cour de Cassation, elle a fait une application stricte de la décision de la CEDH et a cassé immédiatement les jugements concernés et derrière les juges ont appliqué cette jurisprudence, ce qui a obligé le gouvernement à faire modifier la loi en urgence bien avant la fin du délai donné.

Ce que j'ai toujours lu sur les textes de l'UE qui seraient incompatibles avec la Constitution, c'est que dans ce cas, on modifie notre constitution. Je n'ai pas d'exemple en tête.

La CEDH juge contraire aux droits humains l’obligation d’ajouter des backdoors dans les messageries

  • Utilisateurs russes de Telegram contre FSB

  • Devant la CEDH malgré l’exclusion de la Russie du Conseil de l’Europe

  • Violation du droit au respect à la vie privée et à la correspondance

  • Peu de poids en Russie, mais en Europe ?

Fermer