Application Telegram CC BY-NC 2.0 Focal Foto via Flickr
C’est entendu, “la messagerie Telegram est devenue le paradis de la criminalité en ligne”, comme l’analyse l’article du site Basta! à partir d’une synthèse d’articles de médias internationaux. Et on peut légitimement s’interroger, compte tenu de ces méfaits connus de longue date, sur ce qui a poussé le président français, dans un de ces “faits du prince” dont il est coutumier, à lui accorder la nationalité française en août 2021…
Mais au delà, l’affaire Telegram sert le pouvoir dans sa volonté d’installer un contrôle sur les contenus des échanges de TOUS les utilisateurs des messageries, notamment en remettant en cause le droit au chiffrement de ses communications … alors que, comme le montre la vidéo ci-dessous, Telegram est assez pauvre et peu protecteur en la matière ! Ecouter aussi le podcast de la RTBF qui essaie d’éclairer les enjeux de l’affaire.
Vidéo d’Arte : Peut-on (vraiment) faire confiance à Telegram ?
Podcast de la RTBF : Que se passe-t-il avec Telegram ?
Confusion entre messagerie et réseau social entretenue par le parquet
Telegram est à la fois une messagerie personnelle et un réseau social. C’est une messagerie personnelle puisque ses utilisateur·rices peuvent avoir des conversations privées, via des discussions individuelles ou des groupes fermés. En cela, Telegram est similaire, sur le principe, à des SMS ou des messages sur Signal ou Whatsapp. Mais c’est également un réseau social dans la mesure où Telegram offre une fonctionnalité de canaux publics, dans lesquels il est possible de diffuser massivement un contenu, à un nombre très large de personnes qui peuvent s’abonner au canal.
Le communiqué du parquet de Paris se borne pourtant à présenter Telegram comme “une application de messagerie instantanée”, ce qui laisse penser que la justice ne s’intéresserait qu’aux messages privés. Pourtant, les faits reprochés à la plateforme démontrent que c’est bien l’aspect “réseau social” qui est en cause. Cette confusion est étonnante puisqu’on ne pourra pas reprocher la même chose si les messages sont publics ou s’ils sont privés.
En effet, la “modération” de contenus privés obligerait la plateforme à surveiller de manière généralisée l’ensemble des contenus échangés sur son service, au mépris des principes éthiques et politiques les plus fondamentaux de secret des correspondances et de droit à la vie privée, et qui est explicitement interdit par le droit.
L’état du droit
Médiapart, fait le point sur le droit applicable en matière d’accès judiciaire aux données de connexion ou aux communications échangées via des services tels que Telegram. La Quadrature du Net, de son coté, analyse que, dans cette affaire, le pouvoir cherche surtout à attaquer la pratique du chiffrement des communications privées, au mépris du droit au secret des correspondances (article 8 de la Convention européenne des droits de l’homme et des libertés fondamentales du 4 novembre 1950).
L’action française (lancée par un procureur, dépendant directement du gouvernement) inquiète ailleurs dans le monde : l’association Access Now (qui défend les droits numériques des personnes et des communautés en danger) a ainsi publié un communiqué qui appelle les autorités françaises à respecter strictement l’état de droit et les garanties procédurales, ainsi que les normes des droits de l’homme, dans leurs poursuites, et à s’abstenir en particulier de recourir à des tactiques brutales qui seraient incompatibles avec les principes de légalité, de nécessité et de proportionnalité.
Access Now fait le lien avec d’autres initiatives de la France comme celles de couper les réseaux sociaux (pendant les révoltes des banlieues à l’été 2023) et de bloquer TikTok (ce printemps en Nouvelle-Calédonie), alors que la France renforce son dispositif de surveillance.
Le lanceur d’alerte Edward Snowden s’inquiéte de cette procédure contre Telegram et, surtout, contre le cryptage, qui menacerait le droit à échanger de manière sécurisée.
Dans le cadre du droit actuel, les enquêteurs ne sont pourtant pas sans moyens. Plusieurs outils sont en effet à leur disposition en matière judiciaire, encadrés par des procédures visant à garantir la vie privée des citoyens.
Pour l’accès aux données de connexion
À l’instar des fameuses “fadettes” utilisées en matière téléphonique, la justice peut accéder à l’ensemble des données techniques produites par un échange de messages (adresses IP, permettant de localiser les lieux de connexion, géolocalisation, numéros de téléphone, durée des appels, longueur des messages, leur objet…). “Cela ne donne pas accès au contenu des messages, précise Jérôme Bossan (spécialiste en cybercriminalité, université de Poitiers), mais le croisement de l’ensemble des données de connexion peut entraîner une atteinte parfois très importante à la vie privée.”
La législation française impose à l’ensemble des opérateurs de services de conserver les données de connexion. “Il peut y avoir des réquisitions dès l’enquête et de manière assez simple, poursuit Jérôme Bossan. Elles peuvent par exemple être demandées par un officier de police en cas de flagrance. Dans le cadre d’une enquête préliminaire, il faudra l’autorisation du procureur, et dans le cadre d’une instruction, celle du juge d’instruction.”
Comment la France contourne le droit européen
L’arrêt “Digital Rights” du 8 avril 2014 de la Cour de justice de l’Union européenne (CJUE) a estimé que les obligations de conservation générale et indifférenciée de données de connexion constituent “une ingérence” dans les droits fondamentaux “d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union”.
Le 21 avril 2021, le Conseil d’État français s’est prononcé sur l’application de cette jurisprudence de la CJUE dans un arrêt qui n’a fait que contourner le problème : le juge administratif suprême français reconnaît la primauté du droit européen MAIS estime qu’il existe des circonstances exceptionnelles liées “à la sécurité nationale et à la lutte contre la criminalité” permettant d’écarter, temporairement, le droit européen !
Depuis, chaque année le gouvernement prend un très bref décret “portant injonction au regard de la menace grave et actuelle contre la sécurité nationale de conservation pour une durée d’un an de certaines catégories de données de connexion” (dernier publié au JO le 10 octobre 2023), ce qui lui permet de pratiquer la durée de conservation des données qu’il veut. L’état d’urgence permanent, comme pour Vigipirate…
Depuis 2021, suite à cet arrêt de la Cour de justice de l’Union européenne, la loi sur la prévention du terrorisme et le renseignement du 30 juillet 2021 a fixé des durées de conservation différenciées pouvant aller de une à cinq années en fonction de la nature de la donnée et de la finalité poursuivie. Une loi du 2 mars 2022 a précisé la procédure de réquisition des données de connexion dans le cadre d’une enquête pénale.
La Cour de cassation, par quatre décisions rendues le 12 juillet 2022, a précisé les conditions de réquisition de ces données par les procureurs. Et en février 2024, a imposé l’intervention d’une autorité administrative indépendante, plus seulement du parquet, pour autoriser la localisation en temps réel des téléphones.
Pour l’interception des communications
Les enquêteurs ont la possibilité de demander aux opérateurs l’accès aux contenus des messages. “Les interceptions de correspondances sont autorisées dans le cadre de l’instruction préparatoire ou durant l’enquête judiciaire mais uniquement pour la délinquance et la criminalité organisées, précise Jérôme Bossan. Et la jurisprudence reconnaît depuis 2015 que l’interception des correspondances peut viser les messageries instantanées.”
“Une deuxième technique se développe, ajoute le juriste, l’accès à distance aux données de correspondances stockées dans un appareil (échanges à venir comme à ceux passés). L’atteinte à la vie privée est donc encore plus grande. C’est une technique qui est réservée aux crimes et elle doit être autorisée par le juge des libertés et de la détention.”
Le problème de la nationalité de l’opérateur
“L’État français n’a pas le pouvoir de contraindre un opérateur étranger à donner des informations, explique encore Jérôme Bossan. Dans ce cas, il faudra donc passer par des demandes de coopération internationale.” Pour des infractions relevant du terrorisme ou de la pédocriminalité, ces opérateurs privilégient cependant la modération interne.”
Les enquêteurs face au chiffrement
Dans le cas des messageries sécurisées, le chiffrement dit “de bout en bout” assure que seuls les utilisateurs pourront déchiffrer le message. “Or, le prestataire n’a que l’obligation de donner les informations en sa possession. Il ne peut pas livrer celles qu’il n’a pas”, souligne Estelle De Marco, juriste spécialisée en droit pénal et droit du numérique.
Certains demandent un affaiblissement des technologies de chiffrement à la disposition des utilisateurs et utilisatrices, par exemple en imposant aux fournisseurs d’installer des “back doors”, des “portes dérobées”, dans leurs logiciels ou de fournir les clefs de chiffrement à la police.
“La Cour européenne des droits de l’homme a réaffirmé encore récemment qu’il ne fallait pas toucher au chiffrement, car il s’agirait d’une atteinte disproportionnée à la vie privée, rappelle Estelle De Marco. En France, l’Anssi [Agence nationale de la sécurité des systèmes d’information – ndlr] partage cet avis et estime qu’affaiblir le chiffrement impacterait l’ensemble des communications, celles des criminels comme celles des autres citoyens.”
Contre le règlement CSAR, ou “Chat Control”
Depuis 2 ans et demi, la Commission européenne tente de forcer les messageries privées à surveiller automatiquement les conversations de leurs utilisateur·rices, avec son projet de règlement dit “CSAR”, également appelé “Chat Control”. Celui-ci vise à imposer aux opérateurs d’analyser les messages automatiquement pour détecter les contenus pédophiles, ce qui impliquerait de casser le chiffrement.
Malgré les multiples scandales autour de ce texte, la commissaire européenne Ylva Johansson continue son passage en force alors qu’elle est accusée de faire la promotion de l’industrie de la surveillance et de manipuler l’opinion en faisant de la communication en faveur du CSAR sur les réseaux sociaux grâce au ciblage de certaines personnes en fonction de leurs opinions politiques.
Une campagne européenne, Stop Scanning Me, est engagée depuis plusieurs mois pour s’y opposer.
L’obligation de donner ses clés de chiffrement et le code de son smartphone
Si les enquêteurs sont parvenus à mettre la main sur le propriétaire des données chiffrées, ils peuvent exiger de lui son code de déchiffrement. L’article 434−15−2 du Code pénal punit de trois ans d’emprisonnement et de 270 000 euros d’amende le fait de refuser de donner la clé de déchiffrement d’un logiciel susceptible d’avoir été utilisé pour commettre une infraction.
Dans un arrêt du 7 novembre 2023, la Cour de cassation a affirmé qu’une personne interpellée avait bien l’obligation de fournir aux policiers le code de son téléphone. Pour Estelle De Marco, ce débat juridique n’est cependant pas totalement clos. “Il reste encore les juridictions européennes et certains considèrent que cette mesure reste problématique. On accède à l’ensemble des données personnelles de l’appareil alors qu’une partie seulement intéresse les enquêteurs. Et permettre le déverrouillage de son propre téléphone peut relever d’une obligation d’auto-incrimination, ce qui est normalement interdit.”
Les enquêteurs ne sont pourtant pas totalement démunis face au chiffrement. Lorsqu’ils mettent la main sur un contenu chiffré, ils disposent d’experts qui pourront tenter de forcer l’accès à celui-ci, regroupés au sein de l’Office anti-cybercriminalité (Ofac) pour les policiers et le Commandement de la gendarmerie dans le cyberespace (ComCyberGend) pour les gendarmes.
Les techniques spéciales d’enquête
Le terme “techniques spéciales d’enquête”, introduit dans le Code pénal par la loi de programmation et de réforme pour la justice du 23 mars 2019, les autorise en matière de délinquance et de criminalité organisées. Ces techniques très intrusives sont comparables à celles qu’utilisent les services de renseignement : accès à distance aux données stockées, sonorisation, captation d’images, de données informatiques, installation de ‘keyloggers’ qui permettent de voir tout ce que vous faites sur votre appareil… Elles relèvent d’une certaine forme de piratage informatique, mais légale…”
D’après la loi sur le renseignement du 24 juillet 2015, les services de renseignement peuvent, eux, recourir à des outils encore plus intrusifs, selon sept finalités (indépendance de la nation, intérêts économiques de la France, prévention du terrorisme ou de la criminalité organisée). “Ce sont des formules extrêmement larges qui peuvent être utilisées par exemple contre des militants écologistes, comme on a déjà pu le voir”, souligne Estelle De Marco.
Ils peuvent aussi demander un accès direct aux données de connexion détenues par les opérateurs, en temps réel dans le cadre de la prévention du terrorisme, ou analyser les données de connexion transitant sur Internet en y installant des “boîtes noires”.
L’activité des services de renseignement est contrôlée non pas par un magistrat judiciaire, mais par une autorité administrative, la Commission nationale de contrôle des techniques de renseignement (CNTCR).
La Commission nationale de contrôle des techniques de renseignement (CNCTR) a été créée en 2015 pour remplacer la Commission nationale de contrôle des interceptions de sécurité (CNCIS). C’est un organe chargé de contrôler la mise en œuvre des techniques de renseignement en France. Elle est composée de deux député.es (1 Renaissance, 1 LR), deux sénateur.trices (1 LR, 1 PS), deux membres du Conseil d’État, deux membres de la Cour de cassation, ainsi que d’“une personnalité qualifiée pour sa connaissance en matière de communications électroniques” (un membre de l’ARCEP). Ses avis sont contraignants, ce qui signifie que les services de renseignement doivent s’y conformer, sauf en cas d’urgence. Mais, depuis sa création en 2015, la CNCTR a validé entre 93 % et 99 % des demandes de mise en œuvre de techniques de renseignement…