Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-1155

de Rik Daems (Open Vld) du 31 mars 2021

à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique

Médias sociaux - Confidentialité en ligne - Cryptage - Sûreté de l'État - Chiffres et tendances - Mesures possibles

médias sociaux
cryptographie
sûreté de l'Etat
criminalité informatique
criminalité organisée

Chronologie

31/3/2021Envoi question (Fin du délai de réponse: 29/4/2021)
29/4/2021Réponse

Aussi posée à : question écrite 7-1154

Question n° 7-1155 du 31 mars 2021 : (Question posée en néerlandais)

Aux Pays-Bas, la sécurité et la confidentialité en ligne suscitent des inquiétudes en raison du fait que sur les conseils des services de renseignement, le ministère de la Justice et de la Sécurité est occupé à développer des projets qui affaibliraient la sécurité des messages de chat.

Les services de renseignement et la police font pression afin de pouvoir disposer d'une option leur permettant de lire ces messages cryptés. Selon eux, le cryptage empêche les services d'enquête de lire les messages de suspects, ce qui met en péril la sécurité nationale. (cf. https://www.nrc.nl/nieuws/2021/03/10/brede coalitie spreekt zich uit tegen regeringsplannen verzwakken encryptie a4034891).

Cela n'a pas manqué de susciter des réactions de la part d'un large groupe d'entreprises, d'experts et d'organisations de la société civile. Leur plaidoyer tient en une phrase : «Nous demandons au prochain gouvernement de promouvoir le développement, la mise à disposition et l'application de toutes les formes de cryptage.» (traduction) (cf. https://www.stimuleer encryptie.nl/).

Des entreprises telles que Facebook, Google et Microsoft ont signé la déclaration, tout comme des sociétés de sécurité ainsi que des prestataires de services et des experts indépendants en matière de sécurité informatique. L'«Expertisecentrum Online Kindermisbruik», Amnesty International et le «Consumentenbond» ont également signé la déclaration. (cf. https://nos.nl/artikel/2372017 brede coalitie richt zich tegen regeringsplannen om encryptie te verzwakken.html).

De nombreuses applications utilisent ce que l'on appelle le «chiffrement de bout en bout», où seuls l'expéditeur et le destinataire peuvent lire les messages. C'est une arme à double tranchant.

D'une part, ce système offre une sécurité extrêmement élevée. Même si des hackers prenaient le contrôle des serveurs de l'entreprise elle-même, ils ne pourraient pas encore lire les messages des utilisateurs. Ce système est donc intéressant pour les dissidents vivant dans des pays dominés par un régime autoritaire ainsi que pour les journalistes et les activistes qui souhaitent communiquer de manière anonyme.

D'autre part, les criminels aussi se servent de la technologie du chiffrement pour diffuser des contenus interdits tels que de la pédopornographie et les terroristes l'utilisent pour communiquer en toute sécurité avec leurs complices. C'est la raison pour laquelle les autorités néerlandaises continuent à développer des projets afin de permettre les écoutes auprès de services cryptés.

Selon Rejo Zenger, membre de l'organisation de défense des droits civils «Bits of Freedom», l'affaiblissement du cryptage des messages de chat n'est pas souhaitable car cela prive les citoyens bien intentionnés du droit à une communication sécurisée. «Si WhatsApp, par exemple, incorpore une porte dérobée dans son service afin de permettre aux services d'enquête de lire les messages de criminels, les personnes malintentionnées seront évidemment les premières à «craquer» cette fonctionnalité et à l'utiliser à des fins malveillantes.» (traduction)

En ce qui concerne le caractère transversal de la présente question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

J'aimerais dès lors vous poser les questions suivantes :

1) Existe-t-il, en Belgique, des projets similaires visant à affaiblir les communications cryptées ? Dans l'affirmative, pourquoi et quelles en sont les modalités ? Dans la négative, pouvez-vous expliquer ?

2) Y a-t-il des projets en vue de stimuler le cryptage ? Dans l'affirmative, visent-ils uniquement les citoyens ou concernent-ils aussi les pouvoirs publics ?

3) Les pouvoirs publics et les services de maintien de l'ordre reçoivent-ils un soutien suffisant de la part des géants de la technologie pour examiner les messages et les profils qui font l'objet d'une enquête ? Quels géants de la technologie répondent le plus à ces demandes et quels sont ceux qui y répondent le moins ?

4) À quels moyens alternatifs, outre l'intégration de portes dérobées dans le cryptage, les pouvoirs publics peuvent-ils avoir recours pour traquer les criminels sur des canaux sécurisés ?

5) Quelles autres propositions les services de sécurité formuleraient-ils afin de faciliter leur travail d'enquête, et ce, dans le respect de la vie privée de tous les citoyens ?

Réponse reçue le 29 avril 2021 :

1-2) Le cryptage n’est pas interdit. De fait, celui-ci est même encouragé puisqu’il constitue une des méthodes de choix (mais pas la seule) utilisée notamment pour sécuriser les payements et empêcher la prise de connaissance inopportune des communications privées. Il est indispensable non seulement à la protection de la vie privée, mais également à la sauvegarde du potentiel économique de notre pays, au maintien de la compétitivité de nos entreprises, au respect du secret médical, à la préservation des secrets de fabriques, etc.

3) Les fournisseurs étrangers posent un problème car, en théorie, ils ne sont autorisés à coopérer que dans le cadre d'un traité d'assistance juridique mutuelle (MLAT). Il existe actuellement un certain nombre de gentleman agreements avec différents fournisseurs de services en ligne tels que Facebook, Instagram et Twitter. Sur la base de ces accords, des «demandes directes» sont possibles, mais le fournisseur de services en ligne décide toujours lui-même de répondre ou non à la demande. En général, la demande est refusée parce que l'infraction retenue n'est pas punissable en Belgique dans le pays où se trouve l'OSP (= Online Service Provider). C'est souvent le cas pour «l'incitation à la haine/violence et les menaces».

Le délai de traitement de ces « demandes directes » varie de plusieurs semaines à plusieurs mois. Dans les cas où une soi-disant «menace physique imminente» (danger pour la vie humaine ou fait pouvant entraîner une blessure physique), une demande de divulgation d'urgence peut être envoyée. Là aussi, l'OSP décidera s'il s'agit d'une urgence ou non. Si elle n'est pas considérée comme telle, elle peut quand même être considérée comme une demande directe.

Il n'y a absolument aucune coopération avec certains fournisseurs de services en ligne, comme Telegram. Il existe une coopération avec d'autres fournisseurs de services en ligne (Facebook, Instagram, Twitter, Microsoft, Apple, Google, etc.), ce qui ne signifie pas que tout se passe toujours bien.

Pour certains dossiers, la demande directe est refusée et une MLAT est demandée, ce qui entraîne des retards inutiles pour le dossier. Un MLAT peut facilement prendre de 6 à 12 mois, ce qui, combiné à la législation actuelle sur la conservation des données (période maximale de conservation des données en Belgique de 12 mois), peut être problématique dans certains dossiers.

4) Les autres moyens sont :

Mobiliser et attirer du personnel technique spécialisé, en particulier des services de police ;

Investir dans la technologie, tant dans le secteur public que privé ;

Promouvoir les partenariats entre les forces de police et les entreprises privées/institutions universitaires de haute technologie en reconnaissant les subventions et en créant des cadres juridiques simples au sein desquels ces partenariats peuvent exister et les informations peuvent être partagées.

5) Les propositions suivantes peuvent être prises en considération :

Une meilleure et surtout plus rapide coopération internationale entre les forces de police par la mise en place de SPOCs en Europe en matière de cybercriminalité ;

Maintenir des périodes de conservation des données obligatoires pour les fournisseurs de télécommunications, mais selon un cadre juridique précis et un cryptage obligatoire des données, uniquement accessibles aux services de police dans des conditions strictes ;

Dans le contexte de la criminalité organisée : créer un cadre juridique clair dans lequel les services gouvernementaux peuvent imposer et faire respecter une obligation de coopération.