Dans deux mois l'interdiction ?
Après bien des péripéties, l’article 8ter de la proposition de loi Narcotrafic a été définitivement rejeté cette nuit à l’Assemblée nationale, en séance publique. Réintroduit par plusieurs députés, il a été largement critiqué, notamment par les députés Éric Bothorel et Philippe Latombe. La voie semble désormais dégagée pour le projet de loi Résilience.
La France aurait pu se doter d’une législation permettant aux forces de l’ordre de disposer d’entrées dans les messageries sécurisées. Dans le cadre de la proposition de loi Narcotrafic, destinée à renforcer la lutte contre le crime en bande organisée, l’article 8ter autorisait les agents à ouvrir les conversations de personnes faisant l’objet d’une demande d’interception.
Rapidement, l’article 8ter a crispé des députés et experts en sécurité. Même la ministre déléguée au Numérique et à l’IA, Clara Chappaz, désapprouvait l’article en l’état, appelant à une approche plus nuancée. En face, Bruno Retailleau, ministre de l’Intérieur, et Gérald Darmanin, ministre de la Justice, le soutenaient largement.
L’article 8ter avait été ajouté au Sénat, durant le premier examen du texte. C’est en commission des lois, avant son passage à l’Assemblée nationale, que l’article a été réellement débattu pour la première fois. Une pluie d’amendements de suppression l’attendait.
Rengaine
Pourtant, de porte dérobée il n’était pas question, selon Bruno Retailleau. Dans un jeu d’équilibriste, le ministre de l’Intérieur a tenté de convaincre la commission des lois que la solution technique envisagée ne consistait pas à perforer les protocoles de chiffrement de bout en bout ou de séquestrer les clés de chiffrement. La solution souhaitée était celle du « fantôme » : quand une personne était visée par une enquête et pouvait faire l’objet d’une technique d’interception, les forces de l’ordre pouvaient se glisser dans la conversation comme une troisième personne invisible dans le groupe.
Peine perdue. Plusieurs députés sont montés au créneau : quelle que soit la méthode retenue, la technique revenait dans tous les cas à affaiblir le chiffrement, puisque la promesse que personne ne puisse écouter était rompue. Éric Bothorel (Ensemble) et Philippe Latombe (Les Démocrates) ont, en particulier, listé à plusieurs reprises les mêmes arguments, de même que Guillaume Poupard et Vincent Strubel, respectivement ancien et actuel directeurs de l’ANSSI. L’article était ainsi décrit comme inutile car inapplicable, puisqu’il réclamait le concours de grandes entreprises américaines. En outre, il suffisait que des messageries soient concernées pour que les criminels se dirigent vers d’autres solutions.
Les amendements de suppression ayant été adoptés en commission des lois, contre l’avis du gouvernement, il existait cependant une possibilité que des députés réintroduisent l’article 8ter pour l’examen en séance publique à l’Assemblée. Ce qui fut fait, notamment sous l’impulsion de Paul Midy (Ensemble) et Olivier Marleix (Droite Républicaine).
Des arguments une nouvelle fois démontés
La nouvelle rédaction de l’article voulait apaiser les craintes. Comme nous l’avions indiqué cependant il y a quelques jours, le fond ne changeait pas : malgré l’assurance qu’aucune porte dérobée ne serait introduite, il était toujours question de contourner le chiffrement de bout en bout.
Bruno Retailleau était de nouveau dans l’hémicycle hier soir pour défendre l’article 8ter nouvelle formule. L’accent a été mis sur la nécessité de renforcer les moyens dans la lutte antiterroriste notamment par une « solution souveraine ». Selon lui, la « généralisation du recours aux messageries cryptées (sic) » rend les services français « aveugles ».
Et de citer la solution technique d’Apple pour la détection des contenus pornographiques dans le cadre de la lutte contre la pédopornographie ou du signalement des messages inappropriés sur WhatsApp, qui permet de les envoyer pour examen sous une forme déchiffrée. Surtout, le ministre a insisté : « Il n’y aura pas de porte dérobée, car n’y auront accès que les seules personnes autorisées ». Argument pourtant connu et caduc depuis longtemps.
L’intervention d’Éric Bothorel sur le plan technique était claire : une porte dérobée reste une porte dérobée. La comparaison avec Apple tombe de plus à plat, car l’outil choisi effectuait des comparaisons d’empreintes numériques (hash) avec une base centralisée. Ajoutons que la mention de WhatsApp ne tient pas non plus, puisque le signalement est une démarche volontaire et que le chiffrement n’est levé que sur des messages ciblés.
Comme on peut le voir sur La Chaine Parlementaire, les critiques ont été nombreuses. « Ce sont des amendements d’affichage qui démontrent que vous ne connaissez rien à la cybersécurité », a ainsi asséné Aurélien Lopez-Liguori (Rassemblement national). « Tous les opérateurs nous le disent : nous ne sommes pas en capacité technique de le faire », a de son côté pointé Arthur Delaporte (Socialistes). « Ce n’est pas seulement mettre en danger l’intimité, les discussions de nos concitoyens, c’est aussi mettre en danger l’intégrité de la France et sa sécurité », a fustigé Sandra Regol (Ecologiste et social).
Large rejet et place nette pour le projet de loi Résilience
La séance a duré jusqu’à minuit, notamment à cause d’une panne qui a nécessité un vote par la voix. La réintroduction de l’article 8ter a finalement été rejetée par 129 voix contre 24.
Contacté, Philippe Latombe ne cache pas sa satisfaction : « Cette fois, on en est débarrassés ! ». « C’était une énorme connerie. Ce n’est pas parce qu’on veut absolument lutter contre les narcotrafiquants qu’il faut se permettre de mettre à mal toute la sécurité économique, industrielle, toute la cybersécurité de la France. Et quand je dis ça, je limite le champ, car il y aurait de nombreux impacts partout ailleurs », ajoute le député.
Sur LinkedIn, l’avocat Alexandre Archambault évoque une issue « prévisible au regard du premier rejet massif en commission et de l’absence de majorité du Gouvernement ». Il a cependant critiqué « un problème de méthode », un « manque flagrant de connaissances de la part du Législateur » et une « totale méconnaissance du droit national et européen ».
Le rejet définitif de l’article 8ter éclaircit également la voie pour le projet de loi Résilience. Transposant les directives européennes NIS2, DORA et REC, il doit entrainer une hausse majeure du niveau de cybersécurité et de résilience en France face aux attaques. Or, après son passage au Sénat, il a reçu un amendement surprise : l’interdiction formelle d’introduire toute forme de porte dérobée dans les solutions de chiffrement.
La validation de l’article 8ter aurait mis à mal cet amendement. Comment en effet interdire les portes dérobées après avoir accepté d’en introduire pour le « seul » bénéfice des forces de l’ordre ? Ce qui ne garantit pas en l’état que l’amendement du PJL Résilience sera adopté, comme l’indique Philippe Latombe : « Rien n’est fait, ça ne veut pas dire que le débat va bien se passer. Mais ça enlève une difficulté ».