Ottawa veut s'inviter dans votre téléphone : le nouveau projet de loi qui fait un peu peur

Le gouvernement fédéral tente de redéfinir l'équilibre entre la sécurité nationale et la protection de la vie privée des citoyens canadiens.

Le projet de loi C-22, baptisé Loi concernant l'accès légal, prévoit de donner aux forces de l'ordre de nouveaux outils pour combattre la criminalité moderne, mais cette initiative suscite une levée de boucliers chez les géants technologiques, les spécialistes en cybersécurité et même la Chambre de commerce du Canada.

Cette levée de boucliers est notamment liée à la possibilité pour la police d'obtenir sans mandat judiciaire des informations sur l'utilisation des services sans fil des Canadiens, et à l'obligation potentielle pour les fabricants de téléphones de créer des portes dérobées dans leurs systèmes de messagerie chiffrée.

Le texte législatif permettrait aux autorités policières de demander directement aux opérateurs de télécommunications, tels que Rogers ou Vidéotron, des renseignements sur leurs abonnés, sans passer par un juge. Plus préoccupant encore, la formulation du projet de loi pourrait contraindre des entreprises comme Apple et Google à ouvrir l'accès à leurs plateformes de messagerie, y compris celles protégées par un chiffrement de bout en bout.

Cette situation n'est pas sans rappeler l'épisode du BlackBerry, lorsque le fabricant Research In Motion avait dû, de manière exceptionnelle, permettre aux autorités de consulter sa messagerie pourtant sécurisée, mais selon l'expert en cybersécurité Steve Waterhouse, normaliser une telle pratique serait un tout autre enjeu.

Steve Waterhouse reconnaît que l'intention initiale est louable, citant la volonté de prévenir des tragédies comme la fusillade de San Bernardino en 2015 ou l'attentat contre Charlie Hebdo la même année, mais il estime toutefois que faciliter la surveillance quotidienne des citoyens va trop loin, d'autant que les mêmes résultats peuvent être obtenus en passant par la voie judiciaire traditionnelle, même si cela prend davantage de temps.

Du côté universitaire, le professeur de droit Michael Geist, de l'Université d'Ottawa, ainsi que Robert Diab, de la Thompson Rivers University en Colombie-Britannique, partagent cette analyse. Selon eux, affaiblir les protections en matière de vie privée risque paradoxalement de fragiliser la sécurité publique plutôt que de la renforcer.

La semaine dernière, Apple a pris position publiquement contre le projet de loi C-22. Le fabricant de l'iPhone considère que, dans sa forme actuelle, le texte l'obligerait à intégrer une porte d'accès dans ses appareils. Une telle brèche, conçue pour être utilisée par les forces de l'ordre, pourrait tout aussi bien être exploitée par des cybercriminels, avertit l'entreprise de Cupertino. Cette prise de parole est d'autant plus significative que deux téléphones cellulaires sur trois au Canada sont des iPhone.

Apple pourrait reproduire au Canada ce qu'elle a déjà fait au Royaume-Uni l'an dernier : supprimer le chiffrement de bout en bout de certains services infonuagiques, notamment le stockage de photos, de notes et les sauvegardes iCloud.

Les créateurs de l'application Signal, reconnue pour son haut niveau de confidentialité, ont également annoncé qu'ils pourraient rendre leur service inaccessible au pays si le texte n'est pas modifié.

L'entreprise californienne rappelle que son service iCloud n'a jamais été victime d'une faille de sécurité. Actuellement, même si un pirate parvenait à contourner les défenses du système, il ne trouverait qu'une suite incompréhensible de données chiffrées.

Si le projet de loi est adopté tel quel, ce même intrus pourrait alors accéder à des messages, des photos et des notes personnelles, ce qui pourrait attirer l'attention de cyberterroristes.

Du côté du gouvernement, le ministre de la Sécurité publique Gary Anandasangaree se veut rassurant. Son cabinet affirme qu'un mandat judiciaire restera nécessaire pour accéder aux communications privées et que la loi ne vise que les métadonnées, lesquelles devront être conservées pendant un an par les fournisseurs. Les experts soulignent toutefois que ces métadonnées contiennent elles aussi des renseignements personnels sensibles.

Tout indique que le projet de loi C-22 sera adopté d'ici la fin de l'été. La question demeure entière : le Canada est-il prêt à compromettre la sécurité numérique de millions de citoyens pour accélérer le travail des enquêteurs?

Enfin, comme le résume Steve Waterhouse, le risque de dérapage est bien réel, et sacrifier la protection du public pour un gain d'efficacité administrative mérite une réflexion approfondie.