Tribune de Jean-Philippe Commeignes, Directeur commercial @Tixeo
L’Europe, frappée par la guerre en Ukraine depuis bientôt deux ans, revit depuis plusieurs semaines une intensification de la menace terroriste suite au déclenchement de la guerre entre Israël et le Hamas. Dans ce contexte géopolitique extrêmement tendu, la déclaration du ministre de l’Intérieur lors d’une récente interview sur l’accès aux données et conversations chiffrées des messageries a remis sur la table la question opposant de manière binaire, la protection de la vie privée et le besoin de sécurité.
La question de fond n’est pas tant le débat sur la négociation peu probable d’accès au messageries chiffrées grand public que le contrôle strict de l’usage, de la vente et l’exportation des technologies de surveillance de pointe. Celles-ci, au-delà de contourner la problématique du chiffrement, représentent une tentation dangereuse au sein de l’Union Européenne comme le rappelle, Sophie in ‘t Veld, députée européenne, dans sa dernière tribune sur les risques de cette industrie.
Guerre mondiale contre la terreur et surveillance de masse
Après le 11 septembre et le déclenchement de la guerre contre le terrorisme par les USA et ses alliés, la demande pour des solutions de surveillance et de renseignement a explosé. Un rapport de Privacy International de 2017 dénombre plusieurs centaines de création d’entreprises dans ce secteur sur la période 2001-2013, et dont 75% sont issues des pays de l’OTAN. L’approche, teintée de technosolutionnisme américain pour répondre à la menace, a entrainé la mise en œuvre de programmes de surveillance de masse révélés par le lanceur d’alerte Edward Snowden en 2013, alors employé par la célèbre agence NSA. Cela a également révélé le rôle des grandes plateformes américaines dans cette collecte de données.
Mutations incontrôlées dans le monde post-Snowden
Ces révélations ont eu deux effets majeurs :
- La généralisation progressive du chiffrement, y compris dans des solutions grand public, rendant les autorités plus « aveugles » dans la collecte technique, et incitant les états à disposer de moyens de contournement ;
- Le durcissement des réglementations en matière de protection de données, au travers du Règlement Général sur la Protection des Données, positionnant l’Europe en porte-étendard sur la protection de la vie privée au niveau mondial.
En parallèle, l’adoption rapide du smartphone, des messageries et des réseaux sociaux a permis de faciliter la coordination de mouvements sociaux comme les printemps arabes, créant une demande plus forte des pays autoritaires pour des solutions permettant de les contenir.
« L’industrie de la cybersurveillance s’est adaptée sur toute la chaîne de valeur »
L’industrie de la cybersurveillance s’est adaptée sur toute la chaîne de valeur pour répondre au marché à la fois intérieur et à l’export, dans un mélange d’affaires et de politique étrangère. Il s’agit d’un marché à tiroirs.
Le premier est celui de la recherche et de l’acquisition de failles informatiques inconnues des éditeurs, appelées 0-day, et qui permettent à ceux qui les détiennent de compromettre les logiciels et équipements ciblés sans nécessiter d’action des utilisateurs (0-clic). Le deuxième est celui des logiciels espions qui utilisent ces failles comme vecteurs invisibles de déploiement de leurs outils de surveillance en temps réel.
Cela a été mis en lumière à deux reprises grâce au travail de consortiums de journalistes et d’ONG comme Amnesty International. La première fois en juillet 2021 par Forbidden Stories et 17 médias dans le cadre du Projet Pegasus, du nom du logiciel espion développé par la société israélienne NSO. La deuxième fois, il y a un mois, dans le cadre des Predator Files, du nom d’un autre logiciel du même type, développé cette fois-ci par un consortium d’entreprises basées en Europe, et notamment en France, Intellexa. C’est emblématique d’un écosystème encore à la dérive et employé à des fins politiques. La plateforme Digital Violence, développée par le laboratoire Forensic Architecture, y permet une immersion effrayante mais salutaire.
Ce marché de l’industrie de la cybersurveillance est estimé aujourd’hui à 12 Md$ d’après le directeur du laboratoire Citizen Lab.
La commission PEGA et ses recommandations face à la tentation illibérale en Europe
Les travaux de la Commission Parlementaire sur les logiciels espions, appelée PEGA, suite au scandale Pegasus, a permis de mettre en lumière les principaux problèmes au sein de l’Union Européenne.
Sur le plan intérieur
D’abord sur le plan intérieur, avec la confirmation que 14 pays européens et 22 agences de sécurité avaient acquis ce type de logiciels et que 5 pays membres en avaient usage contre la société civile au mépris du droit et des institutions. Cela souligne que même nos démocraties peuvent être séduites par des outils permettant de s’affranchir du contrôle indispensable à un usage légitime et proportionné, en s’appuyant parfois sur une définition très large du concept de sécurité nationale.
Sur le plan extérieur
Sur le plan extérieur, ils ont montré les limites des règles d’exportations de ces technologies au sein de l’UE, à la fois permissives et sans applications homogènes au sein des états membres. Cela permet la mise en œuvre de structures d’entreprises opaques pour profiter de ces faiblesses afin d’exporter plus facilement.
Un récent rapport du Carnegie Endowment for International Peace indique que les états membres de l’UE ont accordé 317 autorisations d’exportations sur ce segment entre 2015 et 2017 contre seulement 14 refus. Il indique également que ces exportations sont majoritairement à destination de pays où le respect des droits de l’homme est secondaire.
C’est tout le paradoxe de l’Europe : être un modèle promouvant la démocratie et la protection des droits humains tout en important et exportant, sans contrôle strict, les moyens de son recul.