Résumé : Europol, dans un rapport de 2025 sur la criminalité organisée en ligne, identifie les applications de messagerie chiffrée de bout en bout comme un obstacle majeur aux enquêtes policières et réclame la création de "portes dérobées" légales pour permettre l'accès aux forces de l'ordre, ainsi que des règles harmonisées pour la collecte et la rétention des métadonnées. Cette position s'inscrit dans la stratégie européenne "ProtectEU" et fait écho aux demandes répétées d'affaiblissement du chiffrement, malgré l'opposition ferme des experts en sécurité qui soulignent que toute porte dérobée compromettrait la sécurité de tous les utilisateurs. Face à l'impossibilité d'accéder au contenu chiffré, Europol mise désormais sur l'exploitation des métadonnées (adresses IP, localisation, contacts, horaires) qui, combinées aux outils d'intelligence artificielle, permettent de dresser des profils détaillés des comportements en ligne, créant ainsi une nouvelle forme de surveillance qui inquiète les défenseurs de la vie privée numérique.
Les malfaiteurs utilisent de plus en plus des applications chiffrées de bout en bout pour compliquer les enquêtes policières, selon le rapport 2025 d'Europol sur l'évaluation de la menace que représente la criminalité organisée sur l'internet (IOCTA).
Ce rapport affirme également que les pratiques actuelles de collecte de métadonnées sont trop limitées, ce qui complique encore le travail des forces de l'ordre. C'est pourquoi Europol souligne la nécessité d'établir un accès légal, dès la conception, aux communications chiffrées, ainsi que des normes européennes pour la conservation et l'accès ciblés aux métadonnées.
Les recommandations d'Europol font écho au projet de la Commission européenne de créer une porte dérobée pour les forces de l'ordre en matière de chiffrement, ce qui suscite de vives inquiétudes chez les experts.
Le casse-tête du chiffrement
Les services en ligne, comme le meilleur service VPN, la messagerie électronique, les applications de messagerie et d'autres applications, utilisent le chiffrement de bout en bout (E2EE) pour s'assurer que vos communications restent secrètes entre l'expéditeur et le destinataire, et ce, de bout en bout.
"Techniquement, l'E2EE empêche les fournisseurs de services d'accéder au contenu des communications, ce qui rend les mandats d'accès légal inutilisables au sein de l'UE. Il en résulte un manque de visibilité et de capacité à enquêter sur les activités criminelles", peut-on lire dans le rapport d'Europol.
Ce n'est pas la première fois qu'Europol évoque ses préoccupations quant à l'utilisation du chiffrement. Dans un entretien accordé au Financial Times en janvier, la directrice du groupe, Catherine De Bolle, a déclaré que l'anonymat n'était pas un droit fondamental et que les forces de l'ordre devraient pouvoir déchiffrer les messages chiffrés pour lutter contre la criminalité.
Les spécialistes de la technologie, du chiffrement et d'autres experts s'opposent depuis longtemps aux risques liés à l'affaiblissement des protections de chiffrement. Selon l'industrie, une porte dérobée permettant aux forces de l'ordre d'accéder au chiffrement compromettrait inévitablement la sécurité de tous.
Des cyberattaques récentes ont démontré la nécessité de disposer de protections solides en matière de chiffrement. Par exemple, l'incident Salt Typhoon de l'année dernière, qui visait tous les grands opérateurs de télécommunications américains, a conduit les autorités américaines à recommander à tous les citoyens de recourir au chiffrement.
C'est peut-être l'une des raisons pour lesquelles les propositions de loi visant à affaiblir le chiffrement se soldent toujours par un échec. Dernièrement, la France a rejeté une nouvelle disposition relative aux portes dérobées concernant le chiffrement en mars, et la Floride a fait de même en mai. Les législateurs européens ne parviennent pas non plus à s'accorder sur la proposition relative à Chat Control, après trois ans de tentatives.
"Lorsque le contenu est bloqué par l'E2EE, les métadonnées deviennent essentielles pour cartographier les réseaux et identifier les suspects. Cependant, le paysage législatif actuel manque de règles harmonisées, ce qui se traduit par des politiques nationales fragmentées", peut-on lire dans le rapport IOCTA d'Europol.
Les métadonnées correspondent aux informations qui ne font pas partie du contenu. Il s'agit notamment des adresses IP, de la localisation, des numéros de téléphone, des personnes avec lesquelles vous avez parlé et du moment où vous l'avez fait, mais aussi du poids de vos paquets de données, de leurs schémas de transmission, de l'horodatage, etc.
Grâce à des logiciels d'intelligence artificielle, le suivi des métadonnées permet aux forces de l'ordre (ou à tout autre tiers disposant des compétences nécessaires) de se faire une idée assez précise du comportement en ligne des internautes, même sans accéder au contenu chiffré.
Les autorités le savent, et c'est pourquoi elles font pression pour que de nouvelles obligations en matière de conservation des données soient instaurées. « Les métadonnées essentielles, telles que les informations sur les utilisateurs ou les journaux IP, sont souvent soumises à des périodes de conservation courtes ou incohérentes », indique l'évaluation d'Europol, qui plaide en faveur de normes claires « pour la conservation ciblée et/ou l'accès accéléré aux métadonnées essentielles ».
Encore une fois, c'est une chose contre laquelle les experts ont longtemps mis en garde, et qui pourrait rendre impossible le fonctionnement des VPN « no-log » et autres logiciels de protection de la vie privée.
Comme nous l'avons mentionné, Europol n'est pas le seul organisme à faire pression pour obtenir un meilleur accès aux données chiffrées des utilisateurs et à leurs identités.
L'UE travaille également sur l'accès légal et efficace aux données pour les forces de l'ordre - la stratégie ProtectEU, qui semble suivre les recommandations émises dans le cadre de l'initiative « Going Dark » de l'UE.
Le plan comprend une feuille de route pour le chiffrement ainsi qu'une évaluation visant à étendre les obligations de conservation des données pour les fournisseurs de services. Jusqu'à présent, les spécialistes ont critiqué ce plan et ont demandé à jouer un rôle clé dans ce débat.
La Suisse, tout en adoptant une approche différente contre les portes dérobées en matière de chiffrement, envisage également de modifier sa loi sur la surveillance afin d'obliger les fournisseurs de services en ligne à conserver les métadonnées de certains utilisateurs. Cela a ouvert un débat dans le pays sur la nécessité de l'anonymat en ligne, avec des entreprises comme Proton et NymVPN qui ont promis de quitter la Suisse si ces nouvelles dispositions étaient adoptées.
traduction de :
https://www.techradar.com/vpn/vpn-privacy-security/europol-doesnt-only-want-an-encryption-backdoor-but-also-your-metadata
Enregistrer un commentaire
Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.