La Cour européenne des droits de l’homme (CEDH) a donné raison, mardi 13 février, à un utilisateur de Telegram. Ce dernier avait saisi la juridiction européenne pour contester une loi russe permettant aux services de sécurité du pays de demander l’accès aux clés de chiffrement utilisées par l’application de messagerie pour protéger les conversations « secrètes ».
Anton Podchasov, qui faisait partie d’un groupe de six utilisateurs de Telegram visés par une demande du FSB, le service de sécurité intérieure russe, avait saisi la CEDH en 2019. Dans un dossier de lutte contre le terrorisme, le FSB avait enjoint l’application à lui fournir toutes les informations à sa disposition sur M. Podchasov, ainsi que les clés de chiffrement permettant de décoder les messages « secrets » qu’il avait pu envoyer ou recevoir.
Une loi russe de 2017
Le FSB s’appuyait pour cela sur une loi russe de 2017, imposant à toutes les plates-formes de communication de fournir ces clés aux autorités sur demande. Ces clés sont le maillon central du système dit de « chiffrement de bout en bout », qui permet de sécuriser de manière très robuste une communication : seuls l’émetteur et le destinataire du message peuvent le lire, et même l’administrateur de l’application ne peut y accéder. Ces clés sont toutefois « générales » : une fois transmises au FSB, elles auraient pu être utilisées pour décoder les messages de M. Podchasov, mais aussi ceux de tous les autres utilisateurs de l’application.
A l’époque, Telegram avait refusé d’obtempérer, estimant que la loi violait les libertés fondamentales de ses utilisateurs. La messagerie, soutenue par la plupart des organisations de défense des libertés, avait alors été bloquée dans tout le pays – de manière assez peu efficace. La société avait quitté la Russie à la même période, son patron, Pavel Durov, expliquant également avoir été spolié de ses parts dans VKontakte, le « Facebook russe » qu’il avait créé avec d’autres personnes.
La décision de la CEDH donne raison à Telegram : la loi russe « qui permet aux autorités d’accéder, de manière généralisée et sans garde-fous suffisants, aux contenus de communications électroniques, est en contradiction avec l’essence même du droit à la vie privée ». Elle rejette notamment les arguments de la Russie selon lesquels la fourniture de clés de chiffrement ne constituerait pas une « surveillance généralisée » puisque la demande ne portait que sur les messages échangés par six utilisateurs. Comme l’ont expliqué les spécialistes de la sécurité informatique et les défenseurs des libertés publiques, il n’existe aucune manière de s’assurer qu’une clé de chiffrement ne soit pas utilisée pour surveiller d’autres utilisateurs que ceux qui figuraient sur la demande originale.
Des débats récurrents en Europe
La décision de la CEDH devrait influencer plusieurs autres dossiers législatifs en cours. La question du chiffrement des communications est en effet au cœur de propositions avancées par quelques responsables politiques, ainsi que de certains projets de loi récents. En France, après l’attentat d’Arras, le ministre de l’intérieur, Gérald Darmanin, avait dit vouloir pouvoir accéder au contenu des conversations chiffrées ; la directrice d’Europol, la Belge Catherine de Bolle, estimait en 2021 que le chiffrement était « le dernier refuge des criminels ».
En 2023, le gouvernement britannique a cherché à imposer aux grandes plates-formes de messagerie la création de « portes dérobées », un système qui permettrait aux autorités, et seulement aux autorités, de décoder les messages chiffrés. Malgré l’opposition unanime des spécialistes de la sécurité informatique, qui expliquent que de tels systèmes sont impossibles à créer de manière sécurisée, le texte a été adopté, mais le gouvernement a assuré qu’il ne serait pas réellement appliqué.
Au niveau européen, de vifs débats entourent un projet de directive sur la lutte contre la pédopornographie, dont la première version visait à imposer un mécanisme généralisé de détection automatique des images pédopornographiques aux éditeurs de messageries comme Telegram, WhatsApp ou Facebook Messenger. Les opposants au texte dénonçaient une tentative de saper les fondements du chiffrement des communications. Une nouvelle version du texte est toujours en cours de discussion à Bruxelles.