L'arrestation de Pavel Durov : au delà du bruit médiatique
Décryptage des rumeurs et autres complots évoqués dans la presse et sur les réseaux sociaux
L’arrestation de Pavel Durov, patron de Telegram est-elle un coup porté à la liberté d’expression ? Contrairement aux apparences, ce n’est pas du tout aussi simple que cela.
Visiblement, tout le monde a un commentaire à faire sur l’arrestation à Paris du patron de Telegram, Pavel Durov. Tous les bords politiques de l’extrême-gauche à l’extrême-droite, tous les courants, complotistes, antivax, néo-nazis, ont leur opinion sur cette décision d’un magistrat français, sans rien connaître de la procédure en cours. Le parquet a listé 12 chefs d’inculpation dont certains pourraient s’appliquer à toutes les plateformes similaires à Telegram. Du coup verra-t-on Elon Musk ou Mark Zuckerberg menottes aux poings lors de leur prochain passage en France, comme le craignent certains ? C’est bien plus compliqué que cela. Enfin, il est toujours très aventureux de s’exprimer sur une procédure judiciaire en cours sans avoir accès au dossier. Les magistrats ont probablement des raisons (qui ne sont pas encore publiques) de rechercher telle ou telle responsabilité du patron de Telegram. Petite tentative d’analyse…
L’atteinte à la vie privée ?
Nous avons beaucoup écrit au fil des ans sur Telegram (voir ici , ici , ici ou là) et nous avons toujours expliqué que parmi les outils que l’on peut utiliser comme messagerie chiffrée, c’est clairement celui qu’il ne faut pas utiliser. La justice reproche à Pavel Durov de fournir un moyen de cryptographie « sans déclaration conforme ». Si Pavel Durov avait eu le moindre intérêt pour la vie privée des utilisateurs de sa messagerie, il aurait produit un autre type d'application ou l'aurait faite évoluer au fil des ans.
Les plus anciens ont vu dans cette infraction un retour au SCSSI (disparu en 2001), le Service central de la sécurité des systèmes d'informations auprès de qui il fallait dans des temps très reculés (au tout début du Web) fournir des clefs permettant de déchiffrer les communications si l’on voulait proposer un moyen de chiffrement. L’arrivée du commerce électronique et de SSL a mis fin à cette pratique. Historiquement, le chiffrement était considéré comme une arme de guerre ou du matériel militaire. Ceci expliquant cela.
En outre, les États n’ont jamais aimé que les populations puissent communiquer de manière totalement étanche. Bref… De nos jours la déclaration qui se fait auprès de l’ANSSI est une simple formalité et il n’est plus question de donner les clefs permettant le déchiffrement. Donc aucun risque pour la protection des conversations entre deux usagers de Telegram. Simplement, Pavel Durov a dû penser qu’il n’était pas nécessaire de se plier aux demandes de l’ANSSI et plus largement, de se conformer aux textes de loi français.
Les plus complotistes diront que « les services » sont en train de faire pression sur Pavel Durov pendant sa garde à vue pour qu’il livre toutes les clefs de Telegram, que la confidentialité de la messagerie n’est plus assurée, que des comptes vont sauter, on en passe. La Russie elle-même s'inquiète via un des ministres de Poutine que Pavel Durov livre des informations la concernant.
C’est vraiment méconnaître le fonctionnement de la justice. Les magistrats ont un but et un seul. Instruire sur la base des chefs de mise en examen. Ils se contrefoutent des messages échangés par Gérard du 12 avec Roger du 32. Sauf si cela entre dans le champ de l'enquête et si tel était le cas, ils sont déjà en possession de ces messages qui ont dû arriver avec la plainte initiale.
La fin du statut d’hébergeur ?
L’hébergeur n’est pas responsable des contenus publiés par des tiers. C’est une bonne chose car cela implique qu’une plateforme fournissant un moyen de communication chiffré comme Telegram, Whatsapp ou (beaucoup mieux que les précédents), Signal, ne sont pas obligés de surveiller en permanence ce que se disent les utilisateurs. En clair, un hébergeur n’a pas à vérifier si la photo échangée entre Gérard du 12 et Roger du 32 est une photo des vacances de Gérard du 12 ou une photo pédophile. Si les hébergeurs devaient faire ce type de vérification, cela signifierait que le contenu de vos communications est épié.
Cela ne veut pas dire que l’hébergeur peut se laver les mains de tout. Loin de là. Premier point, si quelqu’un lui signale un contenu illégal, il doit le retirer promptement. Par ailleurs, si une procédure judiciaire est engagée et qu’un magistrat demande à l’hébergeur de lui fournir des informations permettant d’identifier un utilisateur qui aurait commis un acte illégal, l’hébergeur est tenu de répondre. C’est justement de ne pas répondre aux demandes de la justice qui est reproché à Pavel Durov. Et pas uniquement par la justice française.
Oui mais quand même, on lui reproche des choses très graves et il faudrait pouvoir contrôler les utilisateurs indélicats
Faire des comparaisons est toujours périlleux dans le domaine des nouvelles technologies mais la question n’est pas d’empêcher les plateformes de fournir aux malfaiteurs et autres terroristes des moyens de communication.
La « modération » ne peut pas intervenir en temps réel. On est donc sur de la réaction et des procédures judiciaires, si nécessaire, qui seront forcément lentes. C’est un peu le tonneau des Danaïdes, mais c’est la seule solution viable. A défaut, on peut imaginer une interdiction mondiale des plateformes, une fermeture d’Internet. Pour autant, cela ne mettrait pas un terme aux activités illégales qui leur préexistaient. Retour aux pigeons voyageurs et au bouche-à-oreille.
Chacun peut comprendre que l’on ne peut pas censurer a priori. Chacun peut aussi comprendre que les messageries du type Telegram ne sont qu’un outil qui est détourné par certains utilisateurs. Il revient à la justice de poursuivre les auteurs des faits répréhensibles. Soit a posteriori, soit en préventif lorsqu’une enquête en cours révèle des faits à venir. Minority report n’est pas un modèle très encourageant. 1984 non plus.
Et la surveillance dans tout ça ?
Les États
La plupart des messageries chiffrées permettent de faire du chiffrement dit « de bout en bout » entre deux personnes. Certaines permettent même de le faire dans des groupes de discussion à plusieurs. Ce chiffrement ennuie les États qui, comme l’ont démontré les documents Snowden, aiment bien aller regarder ce que nous racontons et ce que nous faisons, en règle générale, avec le réseau Internet. Au point de fabriquer des programmes qui interceptaient les selfies avec un certain pourcentage de peau dénudée ou les documents médicaux à caractère psy.
C’est dire le niveau de paranoïa et d’intrusion dans la vie privée. La généralisation du chiffrement a forcé les États à revoir leur arsenal. On vise désormais les « endpoints », c’est à dire les ordinateurs ou les portables des cibles pour accéder au contenu avant son chiffrement pour son transfert via le réseau. D’où la multiplication des affaires de type Pegasus.
Mais rassurons-nous, les États peuvent toujours intercepter des milliards de méta-données qui ne sont par définition pas chiffrées. Exemple : un gouvernement veut écouter le trafic internet d’une personne mais n’aura pas accès aux contenus. Simplement, aux méta-données. Les policiers vont ainsi par exemple, voir que la cible se connecte sur Doctolib, puis sur un site permettant d’avoir accès à des analyses de sang. Jusqu’ici, ce sont les seules informations obtenues. L’opérateur ne sait ni quel médecin a été consulté, ni quels sont les résultats des analyses. Plus tard, le policier voit passer des connexions à un site bancaire, un site d’assurance, un site de notaire et un site d’information sur le cancer. Quelles conclusions peut tirer le policier avec 99 % de chance de pertinence sans avoir jamais intercepté les contenus ?
Dans le cas de Pavel Durov et de Telegram, plusieurs articles de presse mentionnent le fait que la plateforme ne répond pas aux demandes de la justice. Les plateformes doivent pourtant répondre aux demandes des magistrats dans les pays où elles opèrent.
Dans un pays démocratique, c’est sans doute plus simple sur un plan éthique que dans un État policier ou une dictature. C’est pourquoi moins les plateformes peuvent fournir de données, plus elles seront en capacité de ne pas mettre en danger des utilisateurs dans certains pays.
Mais au-delà de cela, les États (et la justice) peuvent passer outre les plateformes en visant les ordinateurs ou les portables des suspects ou en visant les métadonnées. En outre, dans le cas de Telegram, il est aisé de récupérer les contenus qui sont publics par nature (dans les groupes).
De nombreuses plateformes collaborent désormais avec les autorités y compris dans des cas dépassant le cadre du terrorisme comme l’a montré l’affaire touchant Protonmail dans laquelle le fournisseur de boites mail a fourni des informations sur un militant français pour le climat.
Les entreprises
C’est un sujet peu évoqué, mais dans le monde numérisé qui est le notre, des entreprises privées ont désormais accès à plus d’informations sur nous que des États. C’est notamment le cas de Google qui connaît vos préférences sexuelles (et politiques) bien mieux que votre partenaire, comme nous l’expliquions dans cet article, ou de Meta.
Le gouvernement français est un gros utilisateur de Telegram et de Whatsapp. Nous avions publié un article listant les usages de chaque ministre du gouvernement d’Élisabeth Borne. Ce qui démontre leur inculture technique et leur très mauvaise évaluation du risque.
Ce n’est pas tant la faiblesse de l’une ou l’autre des applications qui pose problème dans ce cas précis, mais plus ce que les entreprises qui détiennent les clefs de la maison peuvent faire avec des utilisateurs de ce genre.
Bien entendu, il est possible d’imaginer un scénario catastrophe où l’une ou l’autre des messageries parviendrait à duper un ministre et lui faire dire des choses qu’un ministre (ou un président ?) ne devrait pas dire. Mais plus simple, elles sont en mesure de suivre chaque utilisateur en temps réel et de voir avec qui il parle.
Cela devrait épouvanter n’importe qui. Surtout dans le cas de Whatsapp qui appartient à Meta. Car ce fantastique aspirateur a données personnelles peut faire de la corrélation entre les données de Whatsapp et celles du reste de Meta. Et là, c’est un peu le drame comme nous l’expliquions dans cet article.
Une arrestation politique ? Une justice aux ordres ?
L’ambiance politique étant ce qu’elle est et l’amour porté par le peuple de France à son président, de nombreuses personnes ont évoqué une arrestation « politique » et, évidemment, une « justice aux ordres ».
Il existe deux types de magistrats : les magistrats du siège (les juges) qui sont indépendants, et le parquet (ministère public) qui est toujours dépendant du ministère de la justice, celui-ci fixant par exemple les politiques pénales. Le ministère anime et coordonne l'exercice de l'action publique.
Le parquet peut également faire remonter des informations vers le ministère pour des affaires particulièrement importantes et il est fort probable que pour Pavel Durov, de nombreux téléphones ont du sonner depuis quelques jours...
Dans le cas qui nous occupe, un magistrat indépendant instruit et il est peu probable qu’il soit aux ordres. D’autant que l’on voit mal l’exécutif demander l’arrestation de Pavel Durov à qui il a offert la nationalité française via une procédure très spéciale (voir notre article ici).
Pavel Durov est présumé innocent. Pendant sa garde-à-vue, les enquêteurs vont tenter de trouver des éléments solides pour qu’il puisse être mis en examen. Si de tels éléments sont apportés, il ressortira probablement libre en attente d’un procès ultérieur.
Enfin, il convient de garder à l’esprit que la justice n’est évidemment pas parfaite puisqu’elle est humaine, mais qu’elle est notre rempart contre l’arbitraire. Et il n’y a rien de pire pour l’esprit humain que l’arbitraire. Laissons-la travailler, il sera temps plus tard de s’interroger sur la pertinence de tel ou tel acte de procédure et le procès à venir (ou pas) en donnera l’occasion.
La loi, c’est plus fort que toi
Nous avions expliqué dans un précédent article à propos de la collaboration de Protonmail avec les autorités la force de la loi. Une entreprise peut dérouler n’importe quel discours marketing fantaisiste sur sa politique de « no logs » et la protection de la vie privée, la loi impose aux fournisseurs de services comme les VPN, les boites mail, etc., de fournir, dans certains cas, les informations nécessaires à l’identification d’un de leurs utilisateurs.
Pour ce faire, ces entreprises conservent des « traces » lorsqu’ils n’ont pas un numéro de carte bancaire pour facturer. Et la plupart des boites répondent favorablement par des procédures désormais bien rodées que nous avions évoquées ici. La loi, c’est plus fort que ton discours marketing.
Le cas de Pavel Durov démontre par ailleurs que ce n’est pas parce que l’on a les moyens de s’acheter un passeport dans une île des caraïbes que l’on va échapper à la justice d’un autre pays. Les vendeurs de nationalités exotiques évoquées dans notre précédent papier sur Pavel Durov et son passeport de Saint Kitt and Nevis sont eux aussi des vendeurs de snake oil. Les mandats d’arrêt compliquent très sérieusement les voyages des personnes visées. La preuve.
OK, pas de truc mystérieux et politique là-dessous mais alors ?
Il est donc probablement stupide de voir dans l’arrestation de Pavel Durov le fruit d’un quelconque complot politico-judiciaire. Il est également très prématuré de disserter sur la procédure qui n’en est qu’à ses débuts. Peu de choses ont filtré et les informations ne peuvent venir que des enquêteurs, des parties ou du parquet. Or cela ne dit rien de l’avancée de l’instruction du juge.
En revanche, il serait intéressant de savoir qui a déposé la plainte (contre X) qui a mené à l’arrestation de Pavel Durov et ce qu’il y a réellement dedans. Il s’agit d’une plainte qui ne vise pas directement Pavel Durov. Pourquoi avoir émis un mandat de recherche contre lui ? Est-ce que quelque chose dans la plainte le motive ? Est-ce que la justice a trouvé intéressant de poser la question de la complicité d’un patron d’une plateforme qui refuserait de coopérer avec les autorités dans le cas de réquisitions légales ? Est-ce que cette procédure tombe bien alors que le DSA est entré en vigueur et qu’Elon Musk s’oppose à Thierry Breton sur ce sujet ? Probablement. De là à y voir lien ou un complot…
Edit du 28 août à 15h39 : modification de la phrase portant sur les mandats d'arrêt « internationaux ». Comme le fait remarquer @Solarus0, ces mandats n'ont pas d'existence légale à proprement parler.