Le chiffrement en danger. Signal est une messagerie instantanée connue pour son chiffrement de bout en bout. Ainsi, les utilisateurs sont protégés contre l’interception de leurs messages, protégeant ainsi leur vie privée. Cependant, un projet de loi proposé au sein de l’Union européenne pourrait avoir des répercussions majeures en termes de droit à la vie privée dans le cadre de chat tel que Signal.

Le Parlement européen veut briser l’anonymat des messageries chiffrées

En 2022, la commission du Parlement européen a proposé une loi intitulée « Chat Control » visant à forcer les messageries chiffrées à créer une porte dérobée afin de pouvoir déchiffrer les messages envoyés par les utilisateurs.

En pratique, cette loi s’inscrit dans une stratégie de mettre à mal le trafic de documents pédopornographiques. Toutefois, de nombreux observateurs craignent les dérives que pourrait engendrer une telle loi concernant la protection de la vie privée.

Finalement, en novembre 2023, le projet de loi est rejeté par les membres de la commission des libertés civiles du Parlement européen.

« Le 14 novembre, les membres de la commission des libertés civiles du Parlement européen ont voté contre les tentatives des fonctionnaires des affaires intérieures de l’UE de mettre en place un système de balayage de masse des messages privés et chiffrés dans toute l’Europe. »

Le Parlement revient à la charge

Cependant, le Parlement n’a pas dit son dernier mot. Ainsi, le 28 mai, celui-ci a publié un nouveau texte de loi. 

« Proposition de règlement du Parlement européen et du Conseil établissant des règles pour prévenir et combattre les abus sexuels concernant les enfants. »

Ce projet de loi diffère légèrement du précédent. En effet, plutôt que de réaliser un scan du côté du client, comme dans le premier projet de loi, celui-ci souhaite mettre en place une modération à l’upload.

Une stratégie qui ne nuit pas au chiffrement, selon le Parlement, car elle intervient avant l’envoi du message.

Une position décriée par Meredith Whittaker, présidente de la messagerie Signal. Ainsi, Whittaker a partagé un communiqué émanant de l’entreprise Signal sur X.

Selon elle, cette stratégie compromet également le chiffrement et par conséquent la vie privée des utilisateurs : 

« Qu’il s’agisse d’une porte dérobée, d’une porte d’entrée ou d’une “modération de l’upload”, elle compromet le chiffrement et crée d’importantes vulnérabilités. »

Cette dernière qualifie la nouvelle loi de « rebranding ». Ainsi, seuls le nom et l’approche auraient été légèrement modifiés, sans que cela réduise les risques sur le chiffrement.

« L’obligation de scanner en masse les communications privées sape fondamentalement le chiffrement. Un point c’est tout. Que ce soit en altérant, par exemple, la génération de nombres aléatoires d’un algorithme de chiffrement, en mettant en œuvre un système de dépôt de clés ou en forçant les communications à passer par un système de surveillance avant d’être chiffrées, il s’agit d’une porte dérobée. Nous pouvons appeler cela une porte dérobée, une porte d’entrée ou la “modération du téléchargement”. Mais, quel que soit le nom qu’on lui donne, chacune de ces approches crée une vulnérabilité qui peut être exploitée par des pirates informatiques et des États-nations hostiles, en supprimant la protection des mathématiques inviolables et en la remplaçant par une vulnérabilité de grande valeur. »

Reste maintenant à voir si la proposition sera une nouvelle fois rejetée par la commission des libertés civiles du Parlement européen.

Toujours en Europe, l’obscurcissement des données permis par les technologies zero-knowledge ou les coins maintenant l’anonymat est également dans le viseur des régulateurs.