OPINION. Face à l’essor des messageries chiffrées comme Telegram, WhatsApp et Signal, la lutte contre la cybercriminalité et les ingérences politiques se complexifie. Dans cette tribune, les limites des régulations européennes actuelles sont exposées, mettant en lumière l’incapacité des autorités à contrôler des plateformes sécurisées qui échappent aux lois. En prenant appui sur des exemples en Ukraine et aux États-Unis, l'auteur appelle à une réponse européenne unifiée pour contrer les nouvelles menaces numériques, tout en soulignant l'urgence d'adapter les politiques de cybersécurité aux...
... lités du chiffrement de bout en bout. Par Véronique Chabourine, Analyste soft power
Le 24 août dernier, Pavel Durov, fondateur de Telegram, a été interpellé au Bourget. Il est visé par une enquête sur le manque de modération de sa messagerie et la diffusion de contenus illégaux sur sa plateforme. Depuis, il envoie des signaux ambivalents : d'un côté, il affirme vouloir faire de la modération de sa messagerie une véritable fierté, tandis que de l'autre, il menace de retirer la plateforme du marché français. Durov a également exprimé sa surprise d'être tenu responsable des contenus générés par les utilisateurs tout en réitérant son engagement à renforcer la modération. Les récents événements montrent comment le modèle de confidentialité de Telegram est mis à l'épreuve par des réalités juridiques et sécuritaires pressantes. L'interpellation de Durov en France résulte d'une enquête de l'Ofmin, une unité spécialisée dans la lutte contre les abus sexuels sur mineurs, et porte sur des activités criminelles facilitées par la messagerie chiffrée de bout en bout (E2EE) de Telegram. Les criminels exploitent les chats secrets de Telegram, dont le chiffrement de bout en bout rend impossible l'accès au contenu des messages pour toute partie tierce, y compris Telegram, lui-même.
En 2013, Pavel Durov a fondé Telegram avec pour objectif de devenir une plateforme de communication sécurisée et privée, résistant à la censure gouvernementale et à la surveillance exercée par le régime russe. Une étude publiée sur le site arXiv révèle qu'au fil des années, Telegram est parfois utilisé non seulement à des fins de cybercriminalité mais aussi comme un outil de « sharp power » par des régimes autoritaires comme la Russie. Ce concept, décrit par les chercheurs Christopher Walker et Jessica Ludwig comme une forme d'influence manipulatrice des régimes autoritaires pour contrôler l'information et déstabiliser les démocraties. Un article du Ukraine Crisis Media Center explique que, bien que Telegram soit un outil important pour les autorités ukrainiennes et les médias pour diffuser des informations cruciales sur la guerre, la plateforme est également utilisée pour propager la désinformation russe. D'autres messageries chiffrées telles que WhatsApp, Signal et Viber ont également été exploitées pour mener des campagnes de manipulation, démontrant que la propagation de la désinformation et l'utilisation du « sharp power » s'étendent bien au-delà de la Russie et l'Ukraine, touchant de nombreuses démocraties à travers le monde. Une étude de l'Institut Montaigne a montré comment WhatsApp a été massivement utilisé pour diffuser de fausses informations lors des élections de 2018 au Brésil, influençant ainsi le processus démocratique et manipulant l'opinion publique. En Inde, cette même plateforme a alimenté des tensions intercommunautaires, par la propagation de fausses informations. Aux Etats-Unis, le Digital Forensic Research Lab de l'Atlantic Council a publié plusieurs analyses sur l'utilisation de Signal et d'autres plateformes de messageries chiffrées par des groupes extrémistes pour coordonner des campagnes de désinformation et contourner la modération des plateformes surveillées.
En raison du chiffrement de bout en bout et de l'absence de diffusion de contenus de masse, les plateformes de messageries échappent à certaines obligations légales en matière de modération. Bien que Le Digital Services Act (DSA) et le Règlement Général sur la Protection des Données (RGPD) imposent des obligations aux plateformes numériques en matière de modération et de coopération avec les autorités, elles ne couvrent pas les spécificités des services de messagerie chiffrée, laissant des lacunes face aux défis posés par le chiffrement de bout en bout. La Directive sur les attaques contre les systèmes d'information (2013/40/UE) et la Convention de Budapest sur la cybercriminalité jouent un rôle clé en harmonisant les législations nationales et en facilitant la coopération internationale. Ces régulations imposent certaines obligations aux plateformes numériques, y compris les messageries, pour qu'elles fournissent les informations aux autorités en cas d'enquête criminelle. Toutefois, ces cadres législatifs ne résolvent pas pleinement le problème de l'accès aux communications chiffrées de bout en bout. Si les régulateurs peuvent encore demander des métadonnées ou des informations contextuelles qui ne sont pas chiffrées, l'absence de régulations spécifiques et de moyens technologiques pour accéder aux communications chiffrées complique considérablement la lutte contre la criminalité en ligne et les manipulations de l'information.
Le projet de directive européenne CSAM ChatControl 2.0, actuellement en débat à Bruxelles, vise à introduire des technologies de détection de contenus dans les communications privées pour lutter contre les abus sexuels sur mineurs. L'idée d'un accès légal aux données chiffrées, tel que soutenu par l'agence criminelle de police européenne Europol, pourrait faciliter les enquêtes policières. Cependant, toute modification des systèmes de chiffrement doit être réalisée avec des solutions techniques qui préservent l'intégrité des systèmes de sécurité, afin d'éviter de créer de nouvelles vulnérabilités exploitables par des acteurs malveillants. Adoptée le 13 juillet 2023, la Loi de Programmation militaire (LPM) pour la période 2024-2030 prévoit de renforcer les moyens de cybersécurité et pourrait potentiellement inclure le développement de nouvelles technologies de détection et de protection des systèmes de communication.
Les Etats-Unis, l'Australie et le Royaume-Uni adoptent déjà des approches variées pour lutter contre la criminalité et accéder aux communications chiffrées, allant de la coopération volontaire et des cadres juridiques existants imposant l'assistance technique des entreprises technologiques comme l'« Assitance and Access Act » en Australie et l'Investigatory Powers Act au Royaume-Uni.
Newsletter
Ma Tribune
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Des exemples illustrent les efforts pour contrer le « sharp power ». En Ukraine, le Centre de communication stratégique et de sécurité de l'information, en collaboration avec des acteurs internationaux, utilise l'analyse de métadonnées et des contre-narratifs pour lutter contre la désinformation russe sur Telegram. Aux Etats-Unis, le Global Engagement Center (GEC) exploite des outils d'intelligence artificielle et de données pour détecter et exposer les campagnes de désinformation, s'associant avec des experts pour cartographier les réseaux et élaborer des réponses adaptées.
La lutte contre les techniques de « sharp power » et la cybercriminalité nécessite une approche globale qui combine des mesures législatives, diplomatiques, technologiques tout en renforçant la coopération internationale entre les Etats, les organisations et les plateformes numériques. L'Union européenne, en tant qu'acteur majeur sur la scène mondiale, a la capacité de développer une stratégie intégrée pour assurer la sécurité tout en préservant la vie privée et la liberté d'expression.
