In a recent address to top French law enforcement officials, directors, ambassadors, and foreign dignitaries, Nadim Kobeissi, the director of Symbolic Software, a French cryptography expertise company, delved deep into the pressing topic of Internet surveillance law in France. The speech, which we are pleased to share in its entirety below, critically examines the current trajectory of French legislative proposals concerning digital privacy, encryption, and cybersecurity.

The speech aimed to use technical expertise in order to challenge the prevailing narratives and highlight the potential pitfalls of certain regulatory approaches. From the fundamental right to encryption to the potential dangers of turning smartphones into surveillance tools, the speech offers a comprehensive overview of the challenges and opportunities presented by the digital age.

As you read, we invite you to reflect on the balance between security and individual rights, the importance of informed legislation, and the broader implications of the choices we make today for the future of the digital world in France.

The speech is available below in its original French:

---

Au cours des dernières années, nous avons assisté à une évolution majeure de l’approche réglementaire de l’Union européenne concernant l’Internet et les technologies personnelles. De nombreuses propositions ont vu le jour, certaines d’entre elles suscitant de vives inquiétudes quant à leur applicabilité, leur efficacité et leur respect des droits fondamentaux.

Je suis ici pour souligner qu’une grande partie de l’élan qui sous-tend cette législation est mal informée. Ce n’est pas parce que je veux moins de réglementation, parce que je déteste les règles, ou quoi que ce soit de ce genre. C’est simplement parce que, du point de vue d’un expert technique en sécurité numerique et en cryptographie, la France essaie de réglementer l’ère numérique d’une manière qui me fait penser qu’elle réglementerait également les voitures en excès de vitesse en exigeant que toutes les roues soient dorenavant en béton.

Mais plus que tout, je tiens à souligner l’importance cruciale d’élargir le débat : je ne suis pas ici pour critiquer juste pour critiquer. Je ne suis pas là pour faire un récital de poésie sur les “droits de l’homme” sans tenir compte des situations graves et souvent très laides auxquelles des professionnels comme par exemple monsieur le général de la gendarmerie doivent faire face en permanence. Je suis ici parce que l’establishment français aborde parfois certains sujets profondément importants avec ce que l’on peut, en toute justice, décrire comme des réactions de panique ou une simple paresse intellectuelle, et qui, par conséquent, ne font qu’affaiblir la confiance du public dans les institutions de l’État, tout en ne contribuant guère à résoudre les questions de sécurité et d’ordre public.

Droit au chiffrement

Le chiffrement est ajourd’hui un droit fondamental. Il est essentiel pour garantir la confidentialité des communications et protéger les citoyens contre la surveillance de masse. Chiffrer ses communications est une pratique courante qui garantit que nos échanges ne soient lus que par leurs destinataires légitimes. C’est une extension de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme. Cette pratique est adoptée par diverses professions, des militants aux journalistes, en passant par les avocats et les médecins, et est popularisée par des applications comme WhatsApp ou Signal.

Cependant, dans une affaire recente dans laquelle 7 personnes ont été mises en examen pour « association de malfaiteurs terroristes » en décembre 2020, La DGSI a publié un communiqué dans lequel elle attribue l’utilisation de Tor, une technologie de navigation privée sur Internet, comme étant un signe de “comportements clandestins”. Un juge chargé de l’affaire a en outre déclaré que l’utilisation de l’application de messagerie populaire Signal, ainsi que l’utilisation d’ordinateurs portables ou de téléphones chiffrés, constituaient des motifs de comportement suspect et potentiellement criminel.

Après leurs arrestations, les mis en examen sont, comme noté par La Quadrature du Net, systématiquement questionnés sur leur utilisation des outils de chiffrement et sommés de se justifier : « Utilisez-vous des messageries cryptées comme WhatsApp, Signal, Telegram, ou ProtonMail? », « Pour vos données personnelles, utilisez-vous un système de chiffrement ? », « Pourquoi utilisez-vous ce genre d’applications de chiffrement et d’anonymisation sur internet ? ». Le lien supposé entre chiffrement et criminalité est clair: au total, on dénombre plus de 150 questions liées aux pratiques numériques.

Il est extrêmement important de noter ce qui suit :

1. Signal est une application de messagerie qui compte des millions d’utilisateurs dans le monde et qui a été largement financée par les fondateurs de WhatsApp. La technologie de chiffrement de Signal est exactement la même que celle utilisée par WhatsApp. Des milliards de personnes utilisent quotidiennement Signal et WhatsApp.
2. Tous les iPhone, téléphones Samsung et téléphones Google chiffrent par défaut toutes les données stockées localement. Tous les ordinateurs portables Mac sont livrés avec une fonction de chiffrement prête à l’emploi, appelée FileVault, et tous les ordinateurs portables Windows de qualité professionnelle sont livrés avec une fonction de chiffrement de disque équivalente, appelée BitLocker.

Il est très important que tout le monde ici se rende compte que ce genre de réflexion, de la part des législateurs, ne fait que signaler aux citoyens français que les institutions gouvernementales sont incompétentes et qu’elles ne sont pas dignes de confiance. Aucun criminel n’est arrêté de cette manière, aucune sécurité n’est appliquée de cette manière. C’est un spectacle qui réduit la confiance du public dans les institutions que beaucoup d’entre vous représentent ici, et qui ne présente aucun avantage. Ces actions semblent suggérer que la protection de la vie privée est synonyme de comportement suspect ou clandestin. Cette perspective est non seulement erronée, mais elle est également dangereuse, car elle risque de dissuader les citoyens d’utiliser des outils essentiels pour protéger leurs données personnelles.

Le plus ironique (et le plus drôle), c’est que la plupart des cybercriminels n’ont pas vraiment besoin de se préoccuper d’utiliser le chiffrement pour commencer ! Une grande partie de la cybercriminalité en France aujourd’hui est en fait réalisée par le biais de choses comme ces faux SMS que tout le monde ici a sûrement reçus, qui vous demandent de payer une fausse amende ou de suivre un faux colis Amazon. Beaucoup de ces SMS proviennent de centres de données en Moldavie, et certains pourraient en fait faire partie d’initiatives parrainées par des États étrangers pour saper la cybersécurité civile française à grande échelle.

Projet de loi SREN

Le Projet de loi visant à sécuriser et réguler l’espace numérique (dit SREN) est un autre exemple frappant des défis auxquels nous sommes confrontés en matière de réglementation de l’Internet. Ce projet de loi, qui vise à réguler les contenus en ligne, semble ignorer la réalité complexe et nuancée de l’espace numérique. Par exemple, il est proposé d’obliger les plateformes à conserver les messages éphémères échangés, une mesure qui pourrait avoir des implications profondes pour la vie privée des utilisateurs.

De plus, la proposition du projet de loi SREN d’intégrer un code de censure directement dans les navigateurs web est particulièrement alarmante. Mandater l’intégration d’un code spécifique dans tous les principaux navigateurs web est une idée qui, à première vue, peut sembler séduisante pour certains régulateurs souhaitant exercer un contrôle sur l’espace numérique. Cependant, une telle proposition est non seulement techniquement irréalisable, mais elle est aussi profondément problématique sur le plan éthique et pratique. Les navigateurs web, en tant que portails d’accès à l’Internet, sont conçus pour être neutres, offrant aux utilisateurs la liberté de naviguer et d’accéder à l’information sans entrave. Imposer un code gouvernemental dans ces navigateurs reviendrait à compromettre cette neutralité fondamentale, transformant des outils d’accès libre en instruments de surveillance ou de censure.

De plus, l’idée de mandater un code dans tous les navigateurs majeurs sous-estime la diversité et la complexité de l’écosystème des navigateurs. Avec une multitude de navigateurs disponibles, allant des géants comme Google Chrome, Mozilla Firefox, Microsoft Edge ou Apple Safari à des alternatives plus spécialisées et open-source, l’application uniforme d’un tel mandat serait un cauchemar logistique. Sans parler des implications en matière de sécurité : introduire un code gouvernemental pourrait créer des vulnérabilités, exposant potentiellement des millions d’utilisateurs à des risques.

De plus, l’histoire nous a montré qu’il est très difficile pour une autorité centrale et établie de décider avec autorité de ce qui est une menace et de ce qui ne l’est pas. Nous avons vu ce même type d’autorité, tout récemment encore, déclarer que Signal et WhatsApp étaient des indicateurs de menace. Qui décide quel type d’expression est si menaçant que nous devons modifier tous les navigateurs web pour l’interdire purement et simplement ?

L’approche actuelle du gouvernement en matière de réglementation semble être axée sur la censure et l’autoritarisme. Sur le plan éthique, une telle initiative ouvrirait la porte à un glissement dangereux. Aujourd’hui, il pourrait s’agir d’un code pour des raisons de sécurité ou de réglementation, mais demain, qu’est-ce qui empêcherait l’extension de ces mandats à des fins plus autoritaires ou restrictives ? Les responsables des institutions ici présentes me paraissent largement érudits et raisonnables ; mais le citoyen n’a aucune garantie que vos successeurs partageront le même état d’esprit. Une fois que le précédent est établi, il devient plus facile d’étendre et d’abuser de ce pouvoir, menant potentiellement à une censure accrue, à une surveillance de masse et à une érosion de la confiance des utilisateurs dans les outils numériques qu’ils utilisent au quotidien.

Aucun pays, jusqu’à présent, n’a tenté d’imposer l’intégration d’un code de censure ou de surveillance contrôlé par le gouvernement dans tous les principaux navigateurs web. C’est une démarche sans précédent qui soulève des questions fondamentales sur la liberté d’expression, la vie privée et la confiance dans l’espace numérique. La France doit se demander si elle souhaite véritablement être le premier pays de l’Union européenne, voire le premier au monde, à emprunter cette voie.

Il est essentiel de se rappeler que la censure, sous quelque forme que ce soit, est une atteinte à la liberté d’expression. Permettez-moi de préciser ici que je comprends la priorité que beaucoup peuvent raisonnablement accorder aux questions d’ordre social, de cohésion sociale. Ma riposte serait que les discours violents sont probablement le symptôme d’un manque d’ordre social, et non la cause. Si nous admettons que c’est le cas, c’est à la cause qu’il faut s’attaquer, et non au symptôme.

Surveillance des smartphones

L’article 3 du projet de loi dite “d’orientation et de programmation du ministère de la Justice”, récemment discuté en France, vise à legitimiser la transformation des smartphones en outils de surveillance, Il s’agit d’un pouvoir dont les forces de l’ordre disposent déjà en France, mais cette loi le légitime davantage, en permettant aux forces de l’ordre de transformer à distance n’importe quel smartphone en dispositif d’espionnage en prenant le contrôle de sa géolocalisation, de son appareil photo et de son microphone grâce à l’exploitation de bogues logiciels et en piratant essentiellement le téléphone.

Je ne sais pas si monsieur le général de la gendarmerie est encore dans l’assistance, mais si c’est le cas, il est probablement agacé que je n’aie pas mentionné que cette capacité existe deja (meme si sous une forme moins juridiquement encadrée) , a quel point elle sera contrôlée et restreinte par les juges, ou le fait qu’elle ne sera utilisée que dans des cas de sécurité extrêmement graves, qu’elle serait autorisée seulement pour les infractions punies d’au moins cinq ans d’emprisonnement, ou encore qu’elle nécessite un mandat valable pendant 15 jours et renouvelable une seule fois. Voilà, tout est sur la table.

Le problème, c’est qu’à chaque fois que nous parlons des risques de mesures comme celle-ci, nous parlons de la question d’un nouveau précédent judiciaire. Personnellement, je peux dire sincrement que j’ai eu l’impression ce matin que mon général semble etre un chef mesuré et responsable. Mais ce n’est pas lui qui me préoccupe : ce qui m’inquiète, c’est les personnes qui pourrait lui succéder dans les années à venir. Ces personnes, mesurée ou carrément autoritaire, seraient armés des nouveaux précédents judiciaires qui sont accordés grâce à ces lois. C’est, simplement, trop de pouvoir à donner a l’état en perpetuité.

De plus, cette mesure pourrait avoir des conséquences imprévues en matière de sécurité. Si notre gouvernement peut activer à distance les appareils électroniques, cela signifie qu’il existe une porte dérobée ou une vulnérabilité qui permet cette action. Ces vulnérabilités pourraient être exploitées par des acteurs malveillants, tels que des pirates informatiques, pour accéder aux informations des utilisateurs ou pour commettre d’autres actes malveillants. Au lieu de renforcer la sécurité, une telle mesure pourrait la compromettre davantage. Et je suis désolé de dire que je ne crois tout simplement pas que la France dispose d’un avantage en matière de cybersécurité qui puisse empêcher, par exemple, la Chine d’exploiter ces scénarios pour espionner les citoyens français. En clair, si la France découvre une vulnérabilité de type “zero-day”, la Chine l’a probablement déjà stockée pour une semaine. Il est donc préférable de corriger autant de failles que possible, en les rendant impuissantes pour toutes les parties, plutôt que de les stocker comme des armes.

Aujourd’hui, posséder un smartphone n’est plus un simple luxe ou un gadget technologique ; c’est devenu une nécessité absolue pour la survie dans notre société moderne. Ces appareils sont bien plus que de simples téléphones. Ils sont essentiels pour travailler, étudier, gérer nos finances, accéder à des services de santé, et même pour des tâches aussi basiques que faire ses courses ou utiliser les transports en commun. Dans de nombreux cas, ne pas avoir de smartphone équivaut à être coupé du monde moderne, à être désavantagé socialement, économiquement et même culturellement.

Transformer les smartphones, qui sont devenus des extensions de nous-mêmes, en outils de surveillance omniprésents, c’est forcer les citoyens à choisir entre participer à la société moderne et protéger leurs droits les plus élémentaires.

Conclusion

Il est apparent que la France semble aujourd’hui s’égarer dans un labyrinthe de propositions législatives malavisées et potentiellement liberticides. L’élément le plus stupéfiant dans cette situation est qu’il existe des preuves accablantes de compétences réelles à des postes d’autorité. Puisque c’est le cas, pourquoi nous retrouvons-nous continuellement avec des propositions législatives qui semblent fondamentalement mal interpréter l’approche de la cybersécurité ? Pourquoi l’approche est-elle si inévitablement maladroite et directement contraire à la façon dont la technologie fonctionne de nos jours ?

Ma position est que ces mesures ne contribuent que très peu à l’ordre social, tout en contribuant fortement à l’érosion de la confiance dans nos institutions et dans la manière dont elles choisissent de relever les défis de l’ère numérique. Il est urgent que la France change de cap. Il est temps d’ouvrir le débat, d’écouter les experts, de construire une législation efficace, respectueuse des droits fondamentaux et à la hauteur des enjeux du XXIe siècle. Si nous ne le faisons pas, nous risquons de laisser en héritage une France affaiblie, divisée et en décalage avec son temps. Et cela, aucun citoyen français ne devrait l’accepter.