La directrice d'Europol déclare que les grandes entreprises de la tech ont la « responsabilité » de déverrouiller les messages chiffrés.

« L'anonymat n'est pas un droit fondamental », estime Catherine De Bol

Sécurité ou confidentialité ? La directrice d'Europol déclare que les grandes entreprises technologiques ont la « responsabilité » de déverrouiller les messages chiffrés
« L'anonymat n'est pas un droit fondamental », estime Catherine De Bolle

Dans un contexte où les communications chiffrées se multiplient, la directrice d’Europol, Catherine De Bolle, a récemment appelé les grandes entreprises technologiques à assumer une plus grande responsabilité en matière de sécurité publique. Selon elle, le chiffrement de bout en bout, bien qu’essentiel pour garantir la vie privée des utilisateurs, crée également des obstacles significatifs pour les forces de l’ordre lorsqu’il s’agit d’enquêter sur des activités criminelles, notamment le terrorisme, le trafic de drogue ou l’exploitation des enfants. L'année dernière, Europol avait déjà plaidé auprès des grandes entreprises de la Tech afin qu'elles abandonnent le chiffrement de bout en bout

Les géants de la technologie doivent faire davantage pour coopérer avec les forces de l'ordre en matière de chiffrement, faute de quoi ils risquent de menacer la démocratie européenne, a déclaré la directrice d'Europol, alors que l'agence s'apprête à renouveler la pression sur les entreprises lors du Forum économique mondial de Davos cette semaine.

Catherine De Bolle a déclaré qu'elle rencontrerait des groupes de Big Tech dans la station de montagne suisse pour discuter de la question, affirmant que les entreprises avaient une « responsabilité sociale » de donner à la police l'accès aux messages chiffrés utilisés par les criminels pour rester anonymes.

Une technologie à double tranchant

Le chiffrement de bout en bout permet à deux parties de communiquer de manière sécurisée sans que leurs messages puissent être interceptés ou lus par des tiers, y compris par les fournisseurs de services. Cette technologie est largement utilisée sur des plateformes comme WhatsApp, Signal ou iMessage. Si elle est vantée comme un outil essentiel pour protéger la confidentialité des données des utilisateurs, elle est également critiquée pour son potentiel à offrir un sanctuaire aux criminels.

Selon Catherine De Bolle, l’incapacité des forces de l’ordre à accéder à ces communications chiffrées représente un défi majeur dans des enquêtes cruciales. « Les entreprises technologiques doivent prendre conscience que leur rôle va au-delà de la simple protection des données personnelles. Elles ont également une responsabilité envers la sécurité publique », a-t-elle déclaré.

« L'anonymat n'est pas un droit fondamental », a déclaré la directrice de l'agence européenne chargée de l'application de la loi. « Lorsque nous avons un mandat de perquisition et que nous nous trouvons devant une maison dont la porte est fermée à clé, et que vous savez que le criminel se trouve à l'intérieur de la maison, la population n'acceptera pas que vous ne puissiez pas entrer ».

« Dans un environnement numérique, la police doit être en mesure de décoder ces messages pour lutter contre la criminalité », a-t-elle ajouté. « Vous ne pourrez pas faire respecter la démocratie [sans cela] ».

Il existe depuis longtemps des tensions entre les entreprises technologiques et les forces de l'ordre au sujet de l'utilisation du chiffrement de bout en bout sur les plateformes de messagerie, qui rend difficile l'obtention de preuves par la police dans le cadre d'enquêtes.

En avril de l'année dernière, les chefs de police européens ont appelé les gouvernements et l'industrie à prendre des mesures urgentes pour empêcher le chiffrement de nuire aux enquêtes criminelles.


Vers un équilibre entre vie privée et sécurité

Le débat autour du chiffrement oppose deux valeurs fondamentales : la vie privée et la sécurité. Les défenseurs des droits numériques soutiennent que toute tentative d’affaiblir le chiffrement met en péril la sécurité de millions d’utilisateurs et ouvre la voie à des abus, notamment par des régimes autoritaires. À l’inverse, les autorités chargées de l’application de la loi, comme Europol, insistent sur le fait qu’un accès réglementé est nécessaire pour empêcher des crimes graves.

L'idée de « portes dérobées » (backdoors) pour les autorités a souvent été évoquée comme une solution, mais elle suscite une vive opposition. Les experts en cybersécurité affirment que de telles portes, une fois créées, pourraient être exploitées par des cybercriminels, compromettant ainsi la sécurité globale des systèmes.

Les implications pour les entreprises technologiques

Les géants de la technologie se trouvent donc dans une position délicate. Ils doivent jongler entre les attentes des utilisateurs en matière de confidentialité, les pressions gouvernementales et les responsabilités en matière de sécurité publique. Les entreprises technologiques, dont Apple, WhatsApp de Meta et Signal, une application de messagerie axée sur la protection de la vie privée, se sont toujours opposées publiquement aux tentatives juridiques visant à compromettre leur chiffrement, arguant que cela menacerait la vie privée et la sécurité de leurs utilisateurs. Ces dernières années, Apple a redoublé d'efforts pour coopérer avec les forces de l'ordre afin de lutter contre la maltraitance des enfants en ligne et d'autres délits. Mais ces initiatives ont été largement abandonnées en raison de la vive réaction des défenseurs de la vie privée.

Certains États membres de l'UE, dont l'Allemagne, se sont également montrés sceptiques à l'idée de donner aux forces de l'ordre un accès plus large aux messages privés, ce qui a eu pour effet de bloquer la législation relative à la lutte contre les abus sexuels commis sur des enfants.

De Bolle, 54 ans, une Belge qui a pris la tête d'Europol en 2018 et entame sa dernière année complète en poste, a également déclaré qu'elle aimerait développer l'utilisation de l'intelligence artificielle dans les enquêtes de l'agence et se pencher sur les « menaces hybrides », telles que les récentes allégations contre la Russie de couper des câbles sous-marins dans la Baltique.

À l'heure actuelle, Europol ne peut s'intéresser qu'aux organisations criminelles et doit s'abstenir d'intervenir en cas d'activités criminelles au niveau national, a déclaré De Bolle, ajoutant qu'un changement nécessiterait une nouvelle législation de l'UE.

Des effectifs qui ont presque doublé

Europol, qui utilise son gigantesque trésor de données pour aider les États à lutter contre la criminalité grave et organisée dans des domaines tels que le terrorisme, le trafic de drogue et la fraude, a doublé de taille pour atteindre environ 1 700 employés sous la direction de De Bolle.

La présidente de la Commission européenne, Ursula von der Leyen, a déclaré l'année dernière qu'elle souhaitait augmenter encore les effectifs d'Europol et renforcer son mandat afin qu'il devienne une agence de police véritablement opérationnelle.

En dehors de son travail pour les États membres de l'UE, un certain nombre de pays, dont le Royaume-Uni et les États-Unis, disposent de bureaux au sein de l'agence.

De Bolle a déclaré qu'elle ne s'attendait pas à ce que la structure américaine change beaucoup après l'accession de Donald Trump à la présidence ce mois-ci, sur la base de son mandat précédent. Les États-Unis ont environ 30 fonctionnaires qui siègent en interne à Europol et qui proviennent de différentes agences, telles que le Federal Bureau of Investigation.

Elle a déclaré qu'elle n'avait pas encore rencontré la future administration Trump.

Europol a démontré sa valeur l'année dernière en perturbant le prolifique groupe de ransomware LockBit, ce qui a impliqué le FBI et le département de la justice des États-Unis.


L'agence a également joué un rôle important dans la lutte contre le trafic de drogue en Europe, notamment en aidant à décoder les services de messagerie EncroChat et Sky ECC, utilisés par les criminels. L'accès à leurs messages a conduit à une multitude d'affaires criminelles et à des milliers d'arrestations.

L'année dernière, plus de 100 personnes ont été condamnées dans le cadre du plus grand procès pénal jamais organisé en Belgique, sur la base de preuves issues du déchiffrement de Sky ECC. De Bolle a déclaré que d'autres affaires liées au déchiffrement des services de messagerie étaient à venir.

En septembre 2024, sous la direction d'Europol, les forces de l'ordre de 9 pays ont démantelé Ghost, une application de messagerie chiffrée utilisée par les réseaux criminels. Ghost ne fonctionnait que sur des smartphones spécialement modifiés (et non en téléchargeant une application).

Ceux-ci étaient vendus par l'intermédiaire d'un réseau de revendeurs dans le monde entier afin d'offrir aux criminels des smartphones spécialisés présentés comme « inviolables », étant donné que la solution utilise trois normes de cryptage et offre la possibilité d'envoyer un message suivi d'un code spécifique qui entraîne l'autodestruction de tous les messages sur le téléphone cible (par exemple en cas de perte ou de saisie par les autorités). Cela permettait aux réseaux criminels de communiquer en toute sécurité, d'échapper à la détection, de contrer les mesures d'analyse forensique et de coordonner leurs opérations illégales au-delà des frontières.

Europol estime que plusieurs milliers de personnes dans le monde utilisent Ghost et qu'environ 1 000 messages y sont échangés chaque jour. Rien qu'en Australie, 376 téléphones équipés du logiciel ont été découverts.


Europol publiera en mars son évaluation quadriennale de la grande criminalité et de la criminalité organisée dans l'UE, qui inclura des informations sur les interférences étrangères, a indiqué De Bolle.

Europol a tiré la sonnette d'alarme sur l'utilisation criminelle du chatbot ChatGPT. « Alors que les capacités des LLM (Large Language Models) tels que ChatGPT sont activement améliorées, l'exploitation potentielle de ces types de systèmes d'IA par les criminels offre de sombres perspectives », a déclaré Europol lors de la présentation de son premier rapport sur la technologie, qui a commencé par le chatbot.

Le rapport met en évidence l'utilisation néfaste du ChatGPT dans trois domaines de la criminalité. « La capacité de ChatGPT à rédiger des textes très réalistes en fait un outil utile pour le phishing », a déclaré Europol.

Grâce à sa capacité à reproduire des modèles de langage pour imiter le style de discours d'individus ou de groupes spécifiques, le chatbot pourrait être utilisé par des criminels pour cibler des victimes, a déclaré l'agence de l'UE chargée de l'application de la loi.

La capacité du ChatGPT à produire des textes authentiques à grande vitesse et à grande échelle en fait également un outil idéal pour la propagande et la désinformation. « Il permet aux utilisateurs de générer et de diffuser des messages reflétant un récit spécifique avec relativement peu d'efforts. Les criminels ayant peu de connaissances techniques pourraient se tourner vers ChatGPT pour produire des codes malveillants », a déclaré Europol.

Une voie à suivre ?

Le discours de Catherine De Bolle s’inscrit dans un appel plus large pour une coopération internationale et une meilleure collaboration entre les autorités et les entreprises technologiques. Toutefois, la recherche d'un compromis entre vie privée et sécurité reste un exercice délicat et complexe.

À l'heure où les cybermenaces et les activités criminelles en ligne continuent de croître, la question demeure : comment les gouvernements et les entreprises peuvent-ils concilier leurs priorités respectives tout en protégeant les droits fondamentaux des citoyens ? Une chose est certaine : le débat sur le chiffrement est loin d’être clos.

Source : Catherine De Bolle

Et vous ?

Les entreprises technologiques devraient-elles être légalement obligées de fournir un accès aux forces de l’ordre en cas d’enquête criminelle ? Si oui, dans quelles conditions ?

Comment les géants de la tech peuvent-ils équilibrer leur engagement envers la confidentialité des utilisateurs et leur responsabilité envers la sécurité publique ?

La création de portes dérobées pour les forces de l’ordre est-elle techniquement faisable sans mettre en danger la sécurité globale des systèmes ?

Quelles alternatives au chiffrement de bout en bout pourraient permettre de protéger les données personnelles tout en soutenant les enquêtes criminelles ?

Les utilisateurs sont-ils suffisamment informés des risques liés à la confidentialité et à la sécurité des systèmes qu’ils utilisent ?