Le chiffrement et l’anonymat : indispensables à la liberté de l’information
Reporters sans frontières (RSF) se joint à 25 autres organisations issues de la société civile pour saluer le rapport de David Kaye, rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression des Nations Unies. Le rapporteur spécial appelle à promouvoir et défendes les outils de chiffrement et d’anonymisation en ligne.
Présenté à la 29e session du Conseil des droits de l’homme des Nations unies se tenant du 15 juin au 3 juillet, Le rapport rappelle que les défenseurs des droits de l'homme, les avocats et les journalistes utilisent des outils pour chiffrer leurs communications et protéger leurs contacts et leurs sources. Toute restriction apportée à ces outils doit être strictement limitée. Le rapporteur spécial affirme que le chiffrement et l’anonymat sont indispensables à la liberté de l’information et à la promotion des droits de l'homme.
RSF salue ce rapport avec d’autant plus d’enthousiasme que la défense du chiffrement et de l’anonymat en ligne sont des sujets sur lesquels l’association travaille depuis plusieurs années. Dès 2002, l’organisation adressait une lettre ouverte au gouvernement français lequel souhaitait limiter l’utilisation de logiciels de cryptographie. "Reporters sans frontières soutient et encourage la cryptographie. Cette science, et les logiciels qui en découlent, font progresser la liberté d’expression et la liberté de la presse dans le monde. Dans un certain nombre de pays, au rang desquels la Chine, le Vietnam ou la Tunisie, le recours à la cryptographie est la seule solution pour que les dissidents et les journalistes puissent échanger des e-mails en en protégeant le contenu. Et, surtout, en protégeant leur vie", écrivait RSF.
L’organisation maintient un Kit de survie numérique, disponible en 8 langues, rassemblant des outils, conseils et techniques permettant de contourner la censure et de sécuriser les communications et les données. Ce guide sous forme de wiki est librement accessible, recopiable et modifiable. Pour particper à l’élaboration de ce Kit, demandez un accès au wiki en et envoyez un email à [email protected].
----
Assurer la promotion des outils de chiffrement et d’anonymisation en ligne à l’ère numérique
Déclaration commune de la société civile soumise à la 29e session du Conseil des droits de l’homme des Nations unies Les organisations de la société civile et experts indépendants signataires travaillent à la promotion des droits de l'homme et des libertés numériques. Nous saluons le rapport du rapporteur spécial de l'ONU sur la promotion et la protection de la liberté d'opinion et d'expression sur l'usage du chiffrement et de l'anonymat en ligne (A/HRC/29/32), présenté au Conseil des droits de l'homme le 17 juin. Nous appelons les gouvernements à promouvoir l'usage des technologies de chiffrement et à protéger le droit de chercher, recevoir et transmettre des informations de manière anonyme en ligne. Toute loi ou régulation qui restreindrait l'utilisation du chiffrement ou de l'anonymat en ligne devrait être adaptée pour être en stricte conformité avec les trois critères définis par le rapporteur spécial dans ce rapport. Nous appelons également les sociétés du secteur des technologies de l'information et de la communication (TIC) à mettre en place le plus largement possible le chiffrement ainsi que toute mesure favorisant la vie privée afin d'assurer la sécurité de leurs utilisateurs. Internet a été extrêmement bénéfique pour le mouvement de défense des droits de l'homme et pour le travail des journalistes et de la société civile. Cependant Internet a aussi été la source de nouvelles menaces pour ses utilisateurs. Ainsi que décrit dans le rapport de 2014 du Haut commissaire aux droits de l'homme (A/HRC/27/37) sur la vie privée à l'ère numérique, les technologies ont rendu possible l'apparition de techniques de surveillance d'une ampleur sans précédent. Ce type de surveillance offre la possibilité aux gouvernements de violer le secret professionnel, d'identifier les sources des journalistes, les voix critiques, les lanceurs d'alerte ou les membres de minorités persécutées (tels que les membres de groupes LGBT) et est susceptible de les exposer à des représailles. Les utilisateurs ordinaires sont aussi exposés à des menaces en ligne, que ce soit la surveillance de puissances étrangères, le vol d'identité, ou d'autres menaces émanant d'acteurs malveillants. Le rapport du rapporteur spécial consacre le chiffrement et l'anonymat comme étant deux outils fondamentaux pour la cybersécurité et la protection des droits de l'homme à l'ère numérique. Le chiffrement et l'anonymat, ensemble ou séparément, "créent une zone de confidentialité pour protéger les opinions et les croyance" (paragraphe 12). Chiffrement et anonymat sont indispensables à l'exercice du droit à la liberté d'opinion, d'expression, d'association, à la liberté de la presse, au droit à la vie privée ainsi qu'à d'autres droits. Souvent, sans même le savoir, les utilisateur d'Internet se reposent sur les pratiques de sécurité des sociétés du secteur des TIC, que ce soit pour le support du chiffrement ou pour protéger leurs données des menaces en ligne. Les défenseurs des droits de l'homme, les avocats, les journalistes, tous utilisent des outils pour chiffrer leurs communications et leurs données afin de protéger leurs contacts et leurs sources. En effet, nombreux sont ceux parmi les signataires de cette lettre à utiliser des outils de chiffrement dans leur travail au quotidien pour garantir la sécurité de leurs équipes. Les Etats ont le devoir de protéger le droit à la vie privée ; tous les utilisateurs d'Internet devraient avoir la possibilité d'utiliser des outils d'anonymisation et de chiffrement de bout en bout sans restrictions, qu'elles émanent de gouvernements ou d'entreprises. Les Etats ont l'obligation d'enquêter sur les crimes, de poursuivre leurs auteurs en justice et de prévenir les attaques terroristes. Ces dernières années, certains Etats ont toutefois cherché à restreindre l'accès au chiffrement ou à limiter l'anonymat en ligne au nom de la sécurité nationale et de l'ordre public. Le rapporteur spécial réaffirme que "toute restriction apportée au chiffrement et à l'anonymat doit être strictement limitée, conformément aux principes de légalité, de nécessité, de proportionnalité et de légitimité des objectifs" (paragraphe 56). Tout débat public sur la légitimité de restrictions spécifiques doit prendre en compte le rôle essentiel que jouent le chiffrement et l'anonymat dans la protection et la promotion des droits de l'homme, de la liberté de la presse et de la sécurité informatique. Le rapporteur spécial précise qu'une "interdiction générale" du chiffrement et de l'anonymat "n'est ni nécessaire, ni proportionnée". Les Etats devraient aussi "éviter toutes les mesures qui affaiblissent la sécurité en ligne des individus, telles que des portes dérobées, de faibles standards de cryptographie ou la rétention de clés de chiffrement" (paragraphe 60). Limiter largement le recours au chiffrement et à l'anonymat ne répond pas à ces critères. Par exemple, des politiciens et des agents gouvernementaux américains et britanniques se sont dit inquiets du fait qu'un usage accru du chiffrement sur les réseaux sociaux ou les téléphones portables rendra plus difficile d'enquêter sur les menaces terroristes. Certains ont appelé les entreprises à introduire des "portes dérobées" ou des vulnérabilités techniques qui permettraient aux autorités de contourner ces protections. (Voir James B. Comey, Director, Federal Bureau of Investigation, “Going Dark: Are Technology, Privacy, and Public Safety on a Collision Course,”, discours à la Brookings Institution, Washington, DC, 16 octobre 2014, ttp://www.fbi.gov/news/speeches/going-dark-are-technology-privacy-and-public-safety-on-a-collision-course; Mark Scott, “British Prime Minister Suggests Banning Some Online Messaging Apps,” New York Times, 12 janvier 2015, http://bits.blogs.nytimes.com/2015/01/12/british-p... Robert Hannigan, “The web is a terrorist’s command-and-control network of choice,” Financial Times, 3 novembre 2014, http://www.ft.com/intl/cms/s/2/c89b6c58-6342-11e4-8a63-00144feabdc0.html.) Cependant, comme le confirme le rapporteur spécial, "dans l'environnement technologique contemporain, porter atteinte de façon intentionnelle au chiffrement, même dans un but légitime, compromet la sécurité en ligne de tous" (paragraphe 8). Introduire des failles dans les outils numériques à des fins de surveillance porte atteinte à la sécurité d'Internet dans sa globalité, et compromet plus que ne renforce la sécurité. Cela est en outre en contradiction avec le devoir de l'Etat de protéger le droit à la vie privée. Nous exhortons les Etats à adopter et à appliquer les recommandations principales du rapport : 1. Les Etats devraient promouvoir et protéger largement le chiffrement et l'anonymisation. Les lois nationales devraient reconnaître que les individus sont libres de protéger la confidentialité de leurs communications numériques en utilisant des outils et technologies de chiffrement qui permettent l'anonymat en ligne (paragraphes 57-59). 2. Les Etats devraient éviter toutes les mesures qui restreignent la sécurité dont les individus pourraient bénéficier en ligne. De telles mesures comprennent les "portes dérobées" imposées, de faibles standards de chiffrement, le séquestre de clés de chiffrement, ou le fait d’inciter les développeurs à concevoir des systèmes qui permettraient aux autorités de conserver leur capacité de déchiffrement des communications. Exiger des entreprises qu'elles introduisent des vulnérabilités dans des produits sécurisés sape inévitablement et de façon disproportionnée la sécurité de tous les utilisateurs de ces produits (paragraphes 42, 60). 3. Les restrictions devraient être ciblées et spécifiques, et devraient être limitées uniquement à ce qui est nécessaire et proportionné à un but légitime. Le déchiffrement sur la base d'une décision judiciaire ne devrait être possible que sur le fondement de lois transparentes et accessibles au public, appliquées à un cas particulier et à un individu (et non une population en général). Il devrait être soumis à un contrôle judiciaire et bénéficier de toutes les garanties procédurales (paragraphes 57, 60). 4. Les Etats ne devraient pas imposer d'interdictions générales en matière de chiffrement et d'anonymisation, car celles-ci ne sont ni nécessaires ni proportionnées. De telles interdictions privent tous les utilisateurs du droit de créer un espace privé pour l'expression de leurs opinions, sans pour autant indiquer en quoi le chiffrement est utilisé à des fins illégales. Certaines formes de régulation peuvent, en pratique, représenter une interdiction générale par exemple, exiger une licence pour le chiffrement, imposer des standards techniques insuffisants en matière de chiffrement, ou contrôler l'import et l'export d'outils de chiffrement (paragraphes 40-41). 5. Les Etats devraient s'abstenir de faire de l'identification des utilisateurs une condition pour accéder à des services en ligne ou pour obtenir une carte SIM, pour les utilisateurs de téléphones cellulaires (interdiction de l'utilisation de pseudonymes). Les Etats devraient également s'abstenir de limiter l'accès aux outils d'anonymisation. L'anonymat facilite de façon significative l'exercice du droit à la vie privée, à la liberté d'expression et d'opinion en ligne, et les Etats devraient protéger et de façon générale ne pas limiter l'accès aux technologies qui permettent l'anonymisation. Dans certains cas, les outils d'anonymisation sont les seuls mécanismes à disposition des individus pour exercer en toute sécurité leurs droits (paragraphes 47-52). Le rapporteur spécial a également appelé le secteur privé à revoir ses pratiques au regard de sa responsabilité en matière de respect des droits de l'homme. La diligence raisonnable pour les sociétés du secteur des TIC en matière de droits de l'homme devrait comprendre une évaluation des menaces sur la sécurité des utilisateurs d'Internet, y compris la surveillance étatique. Elle devrait aussi comprendre le développement de stratégies pour réduire les atteintes aux droits de l'homme. Les pratiques des sociétés du secteur des TIC en matière de sécurité peuvent promouvoir ou compromettre de manière significative le chiffrement ou l'anonymisation (ainsi que les droits de l'homme) en ligne. En particulier, l'intégration du chiffrement dans les produits et services internet quotidiens de façon constante et automatique, renforcerait de façon drastique la sécurité des communications de tous les utilisateurs d'Internet. En conséquence, nous demandons également aux sociétés du secteur des TIC de : -# s'abstenir de bloquer ou de limiter la transmission de communications chiffrées ; -# permettre l'utilisation de communications et de services en ligne anonymes et ne pas interdire l'utilisation de pseudonymes pour l'identification ; -# mettre en place un chiffrement de bout en bout par défaut dans tous les services et produits en ligne ; -# encourager le développement d'autres technologies sécurisées pour les sites internet, basées sur des protocoles solides et ouverts ; -# résister aux requêtes des gouvernements de limiter l'anonymisation et le chiffrement. Résister également aux demandes des gouvernements de déchiffrer des communications ou des données spécifiques, sauf dans le cas d'une décision judiciaire prise sur la base de lois transparentes et accessibles au public appliquées à un cas particulier ; -# Sécuriser efficacement les données conservées relatives à un utilisateur au moyen de pratiques vérifiables, y compris le chiffrement ; -# maintenir la sécurité des informations de connexion, et fournir de solides mesures de protection de l'identification ; -# introduire des notifications de failles de sécurité et de systèmes de mise à jour pour les failles connues et exploitables ; -# Fournir aux utilisateurs des outils de formation sur l'importance des bonnes pratiques en matière de sécurité numérique. Signataires: - Access - Amnesty International - Article 19 - Association for Progressive Communications (APC) - Australian Privacy Foundation - Bytes for All, Pakistan - Center for Democracy & Technology (CDT) - Chaos Computer Club (CCC) e.V. - Digital Rights Foundation - Electronic Frontier Foundation - FIDH - Foundation for Internet and Civic Culture, Thailand - Global Voices Advocacy - Human Rights Watch - International Modern Media Institute (Iceland) - La Quadrature du Net - Media Matters for Democracy, Pakistan - OpenMedia.org - Panoptykon - PEN International - Privacy International - Reporters sans frontières (RSF) - SFLC.in - WITNESS - World Wide Web Foundation