Antiterrorisme sur Internet : les approximations et les erreurs d’Emmanuel Macron
Antiterrorisme sur Internet : les approximations et les erreurs d’Emmanuel Macron
Par Martin Untersinger
Le candidat d’En marche ! a présenté son programme pour lutter contre le terrorisme. Il veut forcer les entreprises de l’Internet à « une obligation de résultat » et à fournir leurs clés de chiffrement.
Le candidat de En marche ! a présenté son programme pour lutter contre le terrorisme sur Internet, le 10 avril, à Paris. | PHILIPPE WOJAZER / REUTERS
Emmanuel Macron a présenté son programme pour lutter contre le terrorisme sur Internet. Il veut forcer les entreprises de l’Internet à « une obligation de résultat » et à fournir leurs clés de chiffrement.
Lors d’une conférence de presse, lundi 10 avril, le candidat d’En marche ! a déclaré qu’« Internet est devenu un élément essentiel du terrorisme » et esquissé des propositions dans deux directions : la lutte contre la propagande djihadiste et l’accès des autorités aux données chiffrées. Sur ces deux sujets, Emmanuel Macron exagère ou méconnaît le sujet.
« Obligation de résultat » contre la propagande
CE QU’IL A DIT
Emmanuel Macron veut une « discussion franche avec les grands groupes de l’Internet ». « Beaucoup de terroristes sont passés à l’action après s’être radicalisés sur les réseaux sociaux » par le biais de « contenus de propagande islamiste qui les manipulent et les conduisent à la violence », a-t-il expliqué.
M. Macron veut que les grands groupes de l’Internet « s’engagent à retirer de tels contenus sans délai » et veut que « les entreprises aient une obligation absolue de résultat sans pouvoir opposer [il ne sait] quelle impossibilité technique ou principe de liberté ou de neutralité ». Le candidat se dit ainsi « prêt à la plus grande fermeté en la matière ».
CE QUI EXISTE DÉJÀ
A entendre Emmanuel Macron, on croirait que les grandes entreprises de l’Internet ne collaborent jamais et refusent systématiquement de supprimer les contenus de propagande djihadiste. En réalité, les relations entre autorités françaises et géants du numérique ne sont pas aussi caricaturales.
Il existe d’abord un cadre légal : la loi sur le terrorisme de 2014 a donné à la police un pouvoir de blocage (impossibilité d’accéder à un site) et de déréférencement (impossibilité de trouver un contenu par un moteur de recherche). Le processus est administratif, c’est-à-dire à l’entière discrétion de la police — il n’y a pas besoin de la décision d’un juge. En dehors de ce cadre purement contraignant, les entreprises ne sont pas inactives face à la propagande djihadiste. Twitter a ainsi annoncé, à la fin de mars, avoir suspendu 377 000 comptes incitant au terrorisme durant le deuxième semestre de l’année 2016.
Ce sont les critères et la rapidité avec laquelle ces entreprises suppriment les comptes qui peuvent poser problème. Les entreprises du numérique ont désormais une ligne globalement définie : si la justice d’un pays a jugé un contenu illégal, il est supprimé, ou du moins inaccessible dans ledit pays. En complément, la plupart des plates-formes précisent dans leurs conditions d’utilisation — les règles du jeu qu’elles ont instaurées — ne pas tolérer de contenus appelant à la violence. « Si un contenu qui nous est signalé viole nos conditions d’utilisation, nous devons le supprimer », expliquait ainsi, le 29 mars, à Bruxelles, lors d’une conférence, Steve Crown, vice-président de Microsoft.
Par ailleurs, ces dernières années, des relations ont été nouées entre les entreprises de l’Internet et les autorités, sous la pression de ces dernières, notamment françaises. Plusieurs unités dites Internet Referral Unit — des policiers chargés de signaler des contenus, la plupart du temps pédopornographiques ou terroristes, aux entreprises du numérique — sont apparues, notamment en Europe.
A l’été 2016 et après un an d’existence, l’IRU de l’Union européenne, dirigée par Europol, avait émis 11 000 alertes concernant des contenus illégaux auprès de sites et réseaux sociaux : plus de 91 % de ces alertes ont débouché sur une suppression par les grandes entreprises du numérique. En France, dans la foulée de l’attentat à Charlie Hebdo, a été mis en place un groupe de travail réunissant les principaux acteurs de l’Internet et le ministère de l’intérieur afin d’améliorer le retrait de certains contenus et l’efficacité des réquisitions judiciaires. « Même si des difficultés résiduelles subsistent, (…) les acteurs de l’Internet ont amélioré la qualité et les délais de leurs réponses », notait le délégué interministériel chargé des cybermenaces dans son premier rapport annuel, publié en mars.
CE QUI FAIT DÉBAT
Parfois, l’interprétation de ces vidéos fait débat. Lorsque les entreprises estiment qu’une vidéo de décapitation est utilisée pour dénoncer l’acte ou le terrorisme en général, la vidéo est maintenue en ligne. Le cas s’est présenté à plusieurs reprises pour Facebook. De même, la modération des réseaux sociaux, tout particulièrement celle de Twitter et de Facebook est régulièrement accusée, preuves à l’appui, de ne pas respecter ses propres critères et de laisser des contenus contraires à leurs conditions d’utilisation proliférer.
Haro sur les « messageries fortement cryptées »
CE QU’IL A DIT
« L’Internet est aussi un instrument opérationnel direct et les organisations qui nous menacent abusent des facilités offertes par la cryptologie moderne pour dissimuler leurs projets », a estimé Emmanuel Macron, citant l’utilisation « de messageries instantanées fortement cryptées pour prendre des contacts et donner des ordres ». Ces contenus cryptographiquement protégés « échappe[nt] ainsi aux services de sécurité ».
« Jusqu’à présent, les grands groupes de l’Internet ont refusé de communiquer leurs clés de chiffrement ou de donner accès au contenu au motif qu’ils ont garanti contractuellement à leurs clients que leurs clients étaient protégés. Si les grands acteurs de l’Internet persistent dans leurs positions ils devront un jour assumer d’avoir été complices », a lancé le candidat d’En marche !.
A l’unisson de nombreux responsables politiques et policiers, de gauche mais surtout de droite, M. Macron estime aussi que « les Etats, dès lors qu’ils sont démocratiques, devraient pouvoir avoir communication des contenus échangés par les terroristes sur les réseaux sociaux et sur des messageries instantanées ». Pour ce faire, il veut « prendre une initiative majeure » : faire en sorte que « les entreprises [d’Internet] acceptent un système de réquisition légale de leurs services cryptés comparable à celui qui existe aujourd’hui pour le secteur des opérateurs de télécom ».
POURQUOI C’EST TECHNIQUEMENT IMPOSSIBLE
Dans son discours, Emmanuel Macron fait référence aux « messageries fortement cryptées ». On peut donc penser qu’il fait référence à WhatsApp, Signal, les iMessage d’Apple, Telegram ou Facebook Messenger, qui disposent tous, à des degrés divers, de chiffrement, c’est-à-dire d’un processus informatique qui rend les messages incompréhensibles, sauf pour les personnes prenant part aux discussions.
Lorsque l’application est utilisée (WhatsApp, iMessage, Signal) et quand l’option de chiffrement est activée (Telegram, Messenger) les messages sont protégés par du chiffrement dit « de bout en bout ». Cela signifie que les clés de chiffrement réclamées par Emmanuel Macron ne sont pas stockées par l’entreprise qui édite l’application, mais sur les terminaux (par exemple les téléphones). Par conséquent, même l’auteur de l’application est dans l’impossibilité de déchiffrer les messages échangés. Il ne s’agit pas d’un problème contractuel mais purement technique.
Difficulté supplémentaire pour le candidat d’En marche ! : il y a un consensus parfait dans la communauté scientifique sur le fait qu’il est impossible d’aménager ce chiffrement pour que les autorités puissent surveiller les terroristes sans le rendre beaucoup plus vulnérable pour tous les utilisateurs qui n’ont, eux, rien à se reprocher.
CE QUI EST DÉJÀ EN COURS
La promesse de M. Macron de lancer une « intiative européenne » ne devrait pas être difficile à honorer. Certains Etats membres de l’Union — notamment l’Allemagne et… la France — ont commencé à faire pression sur les autorités européennes en ce sens. Après une première déclaration commune cet été, les ministres allemand et français ont envoyé en février un courrier invitant la Commission européenne à aligner le statut légal des messageries sur celle des opérateurs télécoms en matière d’interceptions.
Si l’Europe venait à harmoniser ces statuts, il y a deux possibilités. La première est que ce nouveau statut... ne change pas grand-chose, puisque le problème technique ne serait pas résolu pour autant. L’autre possibilité serait que cela aboutisse à une interdiction de fait du chiffrement de bout en bout. Cela aurait un double désavantage : difficile voire impossible à appliquer, cette interdiction rendrait illégal WhatsApp, Telegram, Signal et iMessage, qui ont toutes pour point commun d’être... utilisées par M. Macron et ses équipes.