La GRC confirme que le projet de loi C-22 cible les communications chiffrées

La GRC confirme que le projet de loi C-22 cible les communications chiffrées

Le gouvernement fédéral canadien a maintes fois insisté sur le fait que le projet de loi C-22, sa proposition législative sur l'accès légal, ne menace pas le chiffrement. La GRC vient de contredire directement cette affirmation. Lors d'une audience parlementaire, la police nationale du Canada a confirmé que l'accès aux communications chiffrées est précisément la raison pour laquelle les forces de l'ordre souhaitent l'adoption de ce projet de loi. Cet aveu a intensifié un débat déjà houleux sur la question de savoir si Ottawa est discrètement en train de chercher à imposer une porte dérobée au chiffrement sous une étiquette plus acceptable.

Ce que la GRC a réellement dit en comité et pourquoi cela contredit Ottawa

Le témoignage de la GRC est significatif non pas parce qu'il surprend les défenseurs de la vie privée, mais parce qu'il est explicite. Les responsables de l'application de la loi évitent généralement de présenter les lois sur la surveillance comme un moyen de briser le chiffrement, préférant des termes comme « accès légal » ou « assistance technique ». Lors de cette audience, la GRC a toutefois confirmé que l'accès aux communications chiffrées est un objectif central du projet de loi C-22, et non un effet secondaire ou une possibilité théorique.

Cela sape directement le discours public du gouvernement canadien. Les fonctionnaires avaient présenté ce projet de loi comme une modernisation des outils d'enquête existants, et non comme une atteinte aux protections cryptographiques qui sécurisent les applications bancaires, les plateformes de messagerie et les données privées de millions de Canadiens. Quand la force policière que la loi est censée habiliter déclare ouvertement que le but est d'accéder au contenu chiffré, la rhétorique du gouvernement devient très difficile à maintenir.

L'Electronic Frontier Foundation a noté que le projet de loi C-22 suit de près les traces du projet de loi C-2 de l'année dernière, une autre proposition axée sur la surveillance qui a fait l'objet de critiques importantes. Cette tendance suggère une poussée législative soutenue plutôt qu'un effort ponctuel.

Comment fonctionnent les portes dérobées et pourquoi elles nuisent à la sécurité de tous

Pour comprendre ce qui est en jeu, il convient d'être précis sur ce qu'est une porte dérobée en termes techniques. Le chiffrement de bout en bout protège les communications en garantissant que seul l'expéditeur et le destinataire peuvent lire un message. Aucune tierce partie, y compris le fournisseur de service ou un gouvernement, ne peut accéder au contenu pendant son transit. Une porte dérobée modifie cela en intégrant un mécanisme permettant à une partie désignée (en l'occurrence, les forces de l'ordre) de contourner cette protection.

Le problème fondamental est mathématique. Une porte dérobée qui fonctionne pour la police canadienne fonctionne également pour toute autre personne qui découvrirait ou obtiendrait l'accès à ce mécanisme. Les services de renseignement étrangers, les organisations criminelles et les pirates informatiques malveillants bénéficient tous de la même faiblesse. Il n'existe pas de porte dérobée cryptographique qui soit sélectivement disponible aux seuls acteurs de confiance. Les chercheurs en sécurité et les cryptographes défendent cet argument de manière constante depuis des décennies, et aucune proposition technique ne l'a réfuté avec succès.

Apple, qui a soumis des commentaires officiels sur le projet de loi C-22, a déclaré directement que la loi permettrait au gouvernement canadien de forcer les entreprises à insérer des portes dérobées dans leurs produits. Ce n'est pas un langage militant ; c'est une description technique de ce que la législation exigerait.

Ce que le projet de loi C-22 signifie pour les utilisateurs de VPN et la messagerie chiffrée au Canada

Pour les Canadiens qui comptent sur les applications de messagerie chiffrée, les courriels sécurisés ou les réseaux privés virtuels pour protéger leurs communications, le projet de loi C-22 crée une réelle incertitude. Si la loi est adoptée dans sa forme actuelle, les fournisseurs de services opérant au Canada pourraient être contraints de créer des mécanismes d'accès, compromettant ainsi les protections que ces outils sont censés offrir.

Les utilisateurs de VPN sont confrontés à une préoccupation spécifique : un VPN sans journalisation, opéré en dehors de la juridiction canadienne et régi par une stricte politique de non-conservation des journaux, serait bien moins susceptible d'être soumis à une ordonnance d'accès légal canadien qu'un fournisseur national. Cependant, si la loi canadienne exige finalement que les fournisseurs de VPN conservent ou donnent accès aux communications des utilisateurs, le paysage juridique change considérablement. Le libellé actuel du projet de loi autour de l'« assistance technique » est suffisamment large pour que sa portée pratique demeure contestée.

Pour la messagerie chiffrée, les implications sont tout aussi graves. Les plateformes qui ne peuvent techniquement pas se conformer à une ordonnance de porte dérobée sans revoir leur architecture pourraient subir des pressions pour affaiblir leur chiffrement ou quitter complètement le marché canadien, comme cela s'est produit dans d'autres juridictions ayant poursuivi des lois similaires.

La poussée canadienne pour les portes dérobées dans un contexte mondial : le Five Eyes et au-delà

Le Canada n'élabore pas sa politique de surveillance en vase clos. En tant que membre de l'alliance de renseignement Five Eyes aux côtés des États-Unis, du Royaume-Uni, de l'Australie et de la Nouvelle-Zélande, le Canada participe à un cadre commun de renseignement électromagnétique et, de plus en plus, à la promotion de positions coordonnées sur l'accès au chiffrement. L'Australie a adopté son Assistance and Access Act en 2018, qui obligeait de manière similaire les fournisseurs à aider les forces de l'ordre à accéder au contenu chiffré. La loi britannique sur la sécurité en ligne contient des dispositions comparables. Le projet de loi C-22 du Canada s'inscrit dans un schéma reconnaissable au sein de cette alliance.

Ce contexte est important pour les résidents canadiens, car il suggère que la pression législative ne disparaîtra probablement pas, même si le projet de loi C-22 est modifié ou retardé. Des rapports indiquent que le Canada s'est engagé à modifier les dispositions du projet de loi sur le chiffrement et les métadonnées à la suite d'une forte réaction de l'industrie technologique, mais des modifications de langage ne changent pas nécessairement l'objectif sous-jacent que la GRC a désormais confirmé publiquement.

Ce que cela signifie pour vous

Si vous êtes un résident canadien qui utilise des communications chiffrées pour votre vie privée, votre confidentialité professionnelle ou votre sécurité numérique en général, le témoignage de la GRC en comité est un signal à prendre au sérieux. Les assurances du gouvernement selon lesquelles le chiffrement n'est pas menacé sont désormais en contradiction ouverte avec ce que la police qui demande la loi a déclaré à voix haute.

En pratique, il existe des mesures que vous pouvez prendre pendant que le projet de loi C-22 progresse au Parlement. Passer en revue les politiques de confidentialité et les pratiques de journalisation de tout service VPN que vous utilisez est un point de départ raisonnable. Un fournisseur avec une politique vérifiée de non-conservation des journaux et une juridiction en dehors du Canada offre une couche d'isolation significative face aux ordonnances d'accès légal canadiennes. De même, choisir des plateformes de messagerie dotées d'un chiffrement de bout en bout open source et audité, et ayant démontré leur volonté de quitter des marchés plutôt que de compromettre leur architecture, offre une protection plus solide que de se fier uniquement aux assurances gouvernementales.

Les guides VPN et de confidentialité de VPN.social pour le Canada offrent un point de départ utile pour évaluer vos options. Rester informé au fur et à mesure que le projet de loi avance en comité est tout aussi important : l'écart entre ce que les fonctionnaires affirment publiquement et ce que la GRC a confirmé en comité est précisément le genre de détail qui détermine si la loi finale sera aussi dangereuse que le craignent les critiques ou si sa portée sera plus limitée.