Un tribunal allemand oblige le fournisseur de messagerie chiffrée Tutanota à installer une porte dérobée
Un tribunal allemand oblige le fournisseur de messagerie chiffrée Tutanota à installer une porte dérobée,
pour permettre aux enquêteurs de lire des courriels suite à une tentative de chantage par courriel envoyé à un fournisseur automobile
Tutanota fait partie des fournisseurs de service de messagerie qui chiffrent tous les courriels entrants par défaut. Une décision du tribunal régional de Cologne oblige désormais l'entreprise basée à Hanovre à intégrer une fonction permettant aux enquêteurs de surveiller les e-mails des individus et de lire les courriels en texte brut.
Tutanota souhaite porter plainte contre la décision, mais la procédure n'a pas d'effet suspensif. « Nous avons donc dû commencer à développer la fonction de surveillance », a déclaré une porte-parole à la mi-novembre. Si la demande formulée par la plainte aboutit, la fonction ne sera pas activée ou sera simplement supprimée si elle était déjà implémentée.
Une jurisprudence différente
L'arrêté de Cologne est remarquable, car il diffère de la jurisprudence d'autres tribunaux. Au cours de l'été, le tribunal régional de Hanovre a statué que Tutanota ne fournissait ni ne participait à aucun « service de télécommunications » au sens juridique du terme - et ne pouvait donc pas être obligée de surveiller les télécommunications. Les juges hanovriens ont de nouveau fait référence à un arrêté historique de la Cour européenne de justice (CJCE) de 2019. Selon ledit arrêté, les services de courrier électronique ne sont pas des services de communication.
Le tribunal de Cologne considère néanmoins Tutanota comme un « contributeur » dans la fourniture de services de télécommunications. En conséquence, l'entreprise doit permettre la surveillance. Cependant, l'arrêté ne nomme pas l'opérateur du service de télécommunications dans lequel Tutanota serait impliquée en tant que « contributeur ». Du point de vue de l'entreprise, le jugement est donc « absurde ».
LKA veut surveiller les e-mails
L'affaire concerne un courriel de chantage envoyé à un fournisseur automobile à partir d'un e-mail créé chez Tutanota. Tutanota est maintenant obligé de programmer une fonction d'ici la fin de l'année qui permette à la police criminelle de l'État de Rhénanie du Nord-Westphalie de surveiller cet e-mail.
Cela ne devrait rien changer pour les autres utilisateurs; leurs e-mails doivent continuer à être chiffrés par défaut. Néanmoins, Tutanota voit un contournement ponctuel du chiffrement comme un risque de protection des données et de sécurité pour tous les clients.
Comme l'a souligné Tutanota, la mesure de surveillance n'affecte que les e-mails non chiffrés nouvellement entrants. L'entreprise n’est pas en mesure de déchiffrer des données déjà chiffrées ou des courriels chiffrés de bout en bout.
En plus de Tutanota, certains autres fournisseurs stockent également tous les courriers entrants sous forme chiffrée. Ceci est également standard avec Protonmail; Posteo et Mailbox.org proposent le chiffrement en option. Tutanota donne un aperçu du nombre de demandes de renseignements des autorités dans son rapport de transparence.
Une classe politique qui s'oppose au chiffrement
En Allemagne, les autorités ont tenté de faire passer une loi qui allait obliger les fabricants de dispositifs à inclure des portes dérobées dans leurs produits, que les agences des forces de l’ordre pourraient alors utiliser à leur discrétion pour des enquêtes judiciaires. La loi visait tous les appareils modernes, tels que les voitures, les téléphones, les ordinateurs, les produits de type IdO, et plus encore.
À l'origine de cette proposition de loi se trouvait Thomas De Maizière, qui était alors ministre de l'Intérieur. Il a évoqué les difficultés rencontrées par les forces de l’ordre dans leurs combats contre les attaques terroristes et d’autres types de crimes. Pour lui, les entreprises ont une « obligation légale » d'introduire des portes dérobées à l’intention des forces de l’ordre et il voulait également exiger que l'industrie divulgue ses « protocoles de programmation » pour une analyse future. Cette dernière clause aurait pu permettre aux autorités allemandes d'obliger les entreprises à divulguer des détails sur leurs pratiques de communication chiffrées.
Plus récemment, une proposition de loi allemande voulait forcer les services de messagerie chiffrés comme WhatsApp, Threema, Signal, Wire, Telegram, et les iMessages d'Apple à déchiffrer les messages de leurs utilisateurs à la demande des autorités allemandes.
Selon le ministre de l’Intérieur Seehofer, le projet de loi ne serait pas qualifié de surveillance de masse parce, les autorités auraient encore besoin d'un mandat pour déchiffrer les messages chiffrés des criminels présumés. Toutefois, cela ne change rien au fait que Seehofer demande une porte dérobée générale, qui constitue par définition une vulnérabilité dans les plateformes.
Actuellement, le droit allemand ne permet que les communications recueillies à partir de l'appareil d'un suspect lui-même. Ainsi, la police allemande ne déchiffre pas le contenu des messages en transit, mais se contentait de s'emparer de l'appareil lui-même, où les messages sont généralement stockés en texte clair. Mais si cette nouvelle loi venait à être adoptée, elle inclurait également les sociétés fournissant des services de messagerie et des logiciels de messagerie chiffrée.
Une vision partagée
Le cas de l'Allemagne est loin d'être isolé. Dans le monde, les élus qui s'opposent au chiffrement ne sont pas rares. En Australie par exemple, la Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill. Le projet de loi anti-chiffrement, tel qu'il est connu, permet aux forces de police et de lutte contre la corruption du pays de demander aux sociétés Internet, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder.
Un rapport en a relevé quelques points clés. En vertu de cette loi, les agences gouvernementales australiennes peuvent émettre trois types d'avis:
- Les avis d'assistance technique (TAN - Technical Assistance Notices), qui sont des avis contraignant, obligeant un fournisseur de communications à utiliser une capacité d'interception dont ils disposent déjà;
- Les avis de capacité technique (TCN - Technical Capability Notices), qui sont des avis contraignants qui obligent un fournisseur de communications à créer une nouvelle capacité d'interception, afin qu'il puisse respecter les avis d'assistance technique ultérieurs; et enfin
- Les demandes d'assistance technique (TAR - Technical Assistance Requests), décrites par les experts comme les plus dangereuses de toutes.
Les autorités britanniques avaient prévu une mesure similaire en 2015. La proposition de loi britannique prévoyait d'interdire aux entreprises d’Internet d'offrir le chiffrement de bout en bout à leurs utilisateurs. Selon le ministre d'État à la Défense, en vertu de cette législation, le gouvernement britannique pourrait forcer les FAI à « développer et maintenir une capacité technique pour supprimer le chiffrement qui a été appliqué à des communications ou des données ».
De son côté, le Conseil de l'UE s'est préparé à adopter une résolution visant à forcer l'introduction de portes dérobées au sein des applications de messagerie chiffrées pour lutter contre la pédophilie. Le Conseil de l’UE était d’avis que l’implémentation du chiffrement de bout en bout sur les applications de messagerie chiffrées ne doit pas empêcher les forces de l’ordre de traquer les pédophiles et les terroristes. « Un équilibre est nécessaire entre ces deux pôles », rappelle l’institution.
Source : Heise
Et vous ?
Quelle lecture faites-vous de la situation ?
Répondre avec citation
Partager