Le 9 novembre dernier, le PDG d’Apple, Tim Cook, s’exprimait au sujet de l’un des plus importants soucis britanniques de la multinationale, le Investigatory Powers Bill, également appelé le Snooper’s Charter.
En effet, le 4 novembre dernier, le gouvernement du Royaume-Uni rendait public ce projet de loi qui est à l’origine de plusieurs atteintes potentielles à la vie privée des Britanniques.
Principaux objectifs du projet de loi
Il va de soi que la version publiée au début du mois de novembre ne constitue qu’un projet de loi et pourrait faire l’objet d’amendements d’ici à son entrée en vigueur.
À titre d’exemple, initialement, le projet de loi contenait une clause permettant aux autorités d’obtenir l’accès à la totalité de l’historique de recherche de tout utilisateur d’Internet au Royaume-Uni. Cependant, en réponse à la pression de l’opinion publique, cette avenue a été abandonnée.
Voici donc les principaux axes du Investigatory Powers Bill :
-
Conservation des données Internet et réseaux sociaux des utilisateurs pour un an
En vertu de l’article 71, les fournisseurs d’Internet devront conserver les données des utilisateurs des réseaux sociaux et d’Internet pour un maximum d’un an, sans toutefois sauvegarder la totalité de leur historique de consultation de pages web. Plus spécifiquement, la rétention pourra toucher les aspects suivants :
71 Powers to require retention of certain data
[…]
(2) A retention notice may—
(a) relate to a particular operator or any description of operators,
(b) require the retention of all data or any description of data,
(c) identify the period or periods for which data is to be retained,
(d) contain other requirements, or restrictions, in relation to the retention of data,
(e) make different provision for different purposes,
(f) relate to data whether or not in existence at the time of the giving, or coming into force, of the notice.
En outre, suivant l’article 75, ces données devront être communiquées aux autorités par des mécanismes sécurisés mis en place par les fournisseurs.
-
Obligation de déchiffrement des données d’objets connectés et d’ordinateurs
En fonction des articles 31 et 50, dès qu’un mandat sera délivré, les compagnies telles qu’Apple, Android et tous les autres opérateurs faisant affaire au Royaume-Uni, devront aider le gouvernement à accéder aux données stockées sur les objets connectés et ordinateurs des utilisateurs suspectés.
50 Duties of telecommunications operators in relation to authorisations
(1) It is the duty of a telecommunications operator on whom a requirement is imposed by notice given in pursuance of an authorisation to comply with that requirement.
-
Interception de communications à l’extérieur du Royaume-Uni
Quant à lui, l’article 106 du projet de loi permet l’émission d’un mandat pour intercepter les communications d’une personne située à l’extérieur du Royaume-Uni et qui est soupçonnée d’être une menace pour la sécurité nationale.
-
Accès à distance aux données
Grâce à ce projet de loi, les policiers auront l’autorisation d’utiliser des techniques plus intrusives pour collecter des données d’ordinateurs et d’objets connectés soit à distance ou directement en fouillant des suspects.
-
Accès à des métadonnées sensibles
En vertu des articles 46, 50 et 135 et suivants, les agences de renseignement britanniques pourront avoir accès aux métadonnées de communications de journalistes, docteurs, avocats, députés et ministres du culte. Ceci fait en sorte que sans avoir accès aux communications elles-mêmes, ils pourraient tout de même avoir accès aux dates, heures, durées et lieux de ces échanges (art. 193(5)).
-
Critères serrés d’obtention des mandats
Finalement, l’un des grands principes directeurs du Investigatory Powers Bill est que la réalisation de la quasi-totalité des dispositions sera conditionnelle à l’obtention d’un mandat valide. Le gouvernement du Royaume-Uni justifie dans le Guide joint au projet de loi ces mesures drastiques en précisant que les critères d’obtention d’un mandat seront très serrés et difficiles à rencontrer.
À titre d’exemple, en matière d’obtention d’un mandat pour l’interception de communications privées, il faudra répondre affirmativement aux trois questions suivantes :
- Is the warrant for serious crime, national security or EWB (economic well-being) (14(3))?
- Is the Secretary of State satisfied the warrant is necessary and proportionate (14(1))?
- Has the Judicial Commissioner approved the warrant ( 19)?
Tous les mandats devront ainsi être approuvés par le secrétaire d’État (art. 14) et la Investigatory Powers Commission (art. 19), formée de sept juges seniors, sauf en cas d’urgence (art. 20).
Et Apple?
Ce projet de loi a soulevé l’ire du PDG d’Apple, car il entrerait directement en conflit avec le principe de chiffrement de tous les échanges de données qui interviennent entre les utilisateurs de produits Apple.
Lors d’une entrevue accordée à Allister Health, Tim Cook a justifié la position de la célèbre entreprise :
« We believe very strongly in end to end encryption and no back doors, […] Any backdoor is a backdoor for everyone ».
Tim Cook a par ailleurs attiré l’attention sur le fait qu’il n’existe aucune façon pour Apple de déchiffrer les messages échangés par l’application iMessage, celle-ci bénéficiant d’un chiffrement « end-to-end », ce qui signifie que les messages transmis sont chiffrés localement avant d’être envoyés, et ce n’est que lorsqu’ils sont reçus par le destinataire qu’ils peuvent être déchiffrés. Ce processus exclut donc le relayeur du message de l’équation et minimise de manière considérable les risques de décodage par des tiers de l’information acheminée.
Qu’est-ce qu’une « backdoor »?
Le fait de permettre à un tiers de surveiller l’activité privée d’un logiciel ou d’un système informatique est connu sous le terme de « backdoor ». Bien que le projet de loi du Snooper’s Charter ait été qualifié par Tim Cook de moyen de forcer les opérateurs à créer sciemment des « backdoors » dans leurs logiciels, le gouvernement du Royaume-Uni précise qu’il ne s’agit pas de l’objectif véritable visé par le projet de loi. Il aspire plutôt à ce que toute information cryptée puisse être rendue accessible aux autorités sous sa forme décryptée, s’il y a soupçon que des activités illicites graves ont lieu (ce qui correspond étrangement à la description technique du procédé pour parvenir à ces fins faite par Tim Cook…).
Atteintes à la vie privée
Les différentes mesures de ce projet de loi fondent plusieurs atteintes potentielles à la vie privée. À cet égard, l’article 8 du Human Rights Act garantit le droit au respect des correspondances privées, suivant certaines exceptions bien précises. Le Snooper’s Charter s’inscrirait donc la lignée des exceptions prévues à l’article 8(2) du Human Rights Act soit :
« There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others. »
À l’heure actuelle, étant donné que les données de communication sont protégées par un principe d’« end-to-end encryption », il est pratiquement impossible de les décrypter. À titre d’illustration du niveau supérieur de sécurité de cette forme de chiffrement :
« if all the hydrogen atoms in the universe were made into computers that tried to guess the key until the stars grew cold, they’d run out of universe before they ran out of possible codes ».
Toutefois, si Apple, Google et les autres opérateurs incluent des failles délibérément à leurs logiciels afin de permettre au gouvernement d’accéder aux données, qu’est-ce qui permet de croire que les pirates informatiques ne pourront pas découvrir ces mêmes failles et ainsi collecter toutes les données qu’ils désirent? Il n’y aurait plus aucune garantie de sécurité des données échangées sur ces plateformes.
Et la suite?
Dans l’éventualité où le projet de loi venait à être adopté, il serait très surprenant qu’Apple baisse les bras et ne tente de pas de faire invalider les dispositions attentant au droit à la vie privée de ses utilisateurs britanniques et la forçant à inclure des faiblesses à la sécurité de ses systèmes. Tenant compte de la position actuelle d’Apple qui est contre le déverrouillage de ses iPhones, il serait d’autant plus étonnant que le géant californien ne conteste pas vigoureusement cette législation devant les tribunaux britanniques.
En conclusion, comme l’a si bien illustré Edward Snowden sur son compte Twitter :
« A warrant is immaterial. A backdoor that requires a warrant is still a backdoor ».