La CEDH juge contraire aux droits humains l’obligation d’ajouter des backdoors dans les messageries

Ce mardi 13 février, la Cour européenne des droits de l'homme (CEDH) a jugé que les lois introduisant une obligation de backdoors dans les messageries chiffrées sont contraires à la Convention européenne des droits de l'homme. Si cette décision concerne un cas en Russie, elle pourrait avoir des répercussions en Europe.

La Cour européenne des droits de l'homme a conclu, dans un jugement prononcé mardi 13 février, que l'obligation légale de laisser la possibilité aux autorités de déchiffrer les communications chiffrées de bout en bout « risque d'être assimilée à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs ; elle n'est donc pas proportionnée aux objectifs légitimes poursuivis ».

Utilisateurs russes de Telegram contre FSB

Le cas que devait juger la CEDH peut sembler singulier. Il s'agissait de se prononcer sur la demande d'Anton Valeryevich Podchasov, un citoyen russe vivant en Sibérie et utilisateur de Telegram. En mars 2018, celui-ci (avec 34 autres personnes) a demandé à la Cour de se prononcer sur la demande faite en juillet 2017 par le FSB (le service de renseignement russe) à la messagerie Telegram de divulguer des informations techniques qui faciliteraient « le déchiffrement des communications [...] pour les utilisateurs de Telegram qui sont soupçonnés d'activités liées au terrorisme ».

Rappelons que, par défaut, sur Telegram, les discussions ne sont pas chiffrées de bout en bout. Mais le service de renseignement russe voulait notamment accéder aux discussions de six utilisateurs qui avaient activé la fonction « secret », permettant d'utiliser ce type de chiffrement.

En effet, fin juin 2017, l'entreprise de Pavel Durov, Telegram Messenger LLP, a été ajoutée à la liste russe des « organisateurs de communications sur Internet ». La loi russe oblige ces derniers à conserver les métadonnées des conversations pendant un an et le contenu de toutes les communications pendant six mois, et, dans certaines circonstances, de les livrer aux autorités ou aux services de sécurité avec les informations nécessaires pour les déchiffrer.

Devant la CEDH malgré l'exclusion de la Russie du Conseil de l'Europe

Telegram ayant refusé de se conformer à cette injonction – expliquant notamment que cela lui était impossible – l'entreprise a été condamnée à une amende par un tribunal de Moscou en décembre 2017. Un autre tribunal a ordonné en avril 2018 le blocage de Telegram en Russie (cette ordonnance ne semble pas gêner l'accès à l'application dans le pays pour autant).

Rappelons que la Russie a rejoint initialement en 1996 le Conseil de l'Europe, dont la CEDH est une institution. Mais elle en a été exclue le 16 mars 2022 (avec effet à partir du 16 septembre 2022). Malgré cette exclusion, la CEDH s'est jugée compétente sur ce cas, car il se rapporte à des faits antérieurs au 16 septembre 2022.

Violation du droit au respect à la vie privée et à la correspondance

Dans cette affaire, les personnes qui ont saisi la CEDH considèrent que la loi qui permet au FSB d'accéder à des correspondances chiffrées viole leurs droits fondamentaux. Pour le gouvernement russe, qui s'est défendu devant la CEDH, sa loi ne va pas à l'encontre de ces droits, puisqu'elle ne demande pas de fournir toutes les clés de chiffrement.

Il précise que « la demande de clés de chiffrement du 12 juillet 2017 contestée par le requérant portait sur des communications concernant six numéros de téléphone appartenant à des terroristes présumés et une autorisation judiciaire avait été obtenue. Les allégations du requérant selon lesquelles les services de sécurité avaient accès aux communications de tous les utilisateurs n'étaient donc pas étayées ».

Mais pour la Cour, « rien que le stockage de données relatives à la vie privée d'un individu » est contraire à l'article 8 de la Convention européenne des droits de l'homme.

Concernant le chiffrement, elle observe qu'il « semble aider les citoyens et les entreprises à se défendre contre les abus des technologies de l'information, tels que le piratage, le vol d'identité et de données personnelles, la fraude et la divulgation indue d'informations confidentielles. Il convient d'en tenir compte lors de l'évaluation des mesures susceptibles d'affaiblir le chiffrement ».

Elle ajoute que « l'affaiblissement du chiffrement par la création de backdoors rendrait apparemment techniquement possible une surveillance routinière, générale et indiscriminée des communications électroniques personnelles. Les backdoors peuvent également être exploitées par des réseaux criminels et compromettraient gravement la sécurité des communications électroniques de tous les utilisateurs. La Cour prend note des dangers d'une restriction du chiffrement décrits par de nombreux experts en la matière ».

Tout en ne rejetant pas que les criminels peuvent utiliser le chiffrement et que celui-ci peut compliquer les investigations criminelles, la Cour souligne que les forces de l'ordre ont des solutions alternatives pour mener leurs enquêtes en s'appuyant sur les avis d'Europol et de l'Agence de l'Union européenne pour la cybersécurité.

Elle en conclut que l'obligation prévue par la loi russe pour les « organisateurs de communications sur Internet » de déchiffrer les communications « risque de revenir à exiger des fournisseurs de tels services qu'ils affaiblissent le mécanisme de chiffrement pour tous les utilisateurs ; elle n'est donc pas proportionnée aux buts légitimes poursuivis ».

Peu de poids en Russie, mais en Europe ?

Comme l'expliquait le professeur de droit international Julien Cazala dans The Conversation, « la Douma a adopté, le 7 juin 2022, une loi autorisant la Russie à ne pas appliquer les décisions rendues par la Cour de Strasbourg après le 15 mars 2022 ». Cette décision ne devrait donc pas faire exception et il y a peu de chance pour que le pouvoir russe s'en préoccupe.

Mais elle pourrait avoir beaucoup plus de poids en Europe. Martin Husovec, professeur de droit qui a participé à la rédaction du témoignage de l'European Information Society Institute sur lequel s'est en partie appuyée la Cour, a expliqué à Ars Technica qu'il était probable que la Cour de justice de l'Union européenne approuve cet arrêt.

Si c'était le cas, les projets de lois en Europe prévoyant l'obligation d'ajout de backdoors dans les messageries chiffrées pourraient avoir du plomb dans l'aile.

• • Messageries chiffrées : pour Gérald Darmanin, « on doit pouvoir négocier une porte dérobée »

• • Chiffrement de bout en bout : la Belgique veut une porte dérobée

• • L’Espagne voudrait que l’Europe interdise le chiffrement de bout en bout

• • #ChatControl : un compromis « historique » exclut la surveillance des messageries en Europe