Journalistes, sources, citoyen·nes : tous·tes surveillé·es ? Les dangers du projet Chat Control
Pour lutter contre la cyber-pédocriminalité, un projet de règlement européen, déposé en 2022, prévoit de scanner les messageries des utilisateur·ices, même celles cryptées. Chaque citoyen•es de l’Union européenne serait concerné par ces contrôles, y compris les journalistes. Même si l’examen de ce texte a été repoussé, sa possible mise en application pourrait nuire au travail d’enquête. Décryptage.
Imaginez. Vous êtes journaliste et vous enquêtez sur un sujet « sensible ». Pour échanger avec votre source, vous utilisez une messagerie cryptée, grâce à laquelle vos échanges sont uniquement visibles par le destinataire. On parle des applications Signal, WhatsApp ou encore Telegram.
Imaginez maintenant que vous ne puissiez plus discuter avec vos sources sans que vos échanges, même cryptés, ne soient scannés. Cet étrange scénario pourrait être rendu possible avec le règlement européen CSAM (Child Sexual Abuse Regulation) qui vise à détecter des images ou des vidéos d’une personne de moins de 18 ans participant ou semblant participer à une activité sexuelle.
UNE MESSAGERIE CRYPTÉE KESAKO ? C’est une application de communication utilisant le chiffrement pour sécuriser ses données. Chaque message envoyé est transformé en un code illisible, empêchant son interception ou sa lecture par des opérateurs ou des institutions. Seuls l’expéditeur·rice et le·la destinataire peuvent lire le contenu.
Depuis 2013, Signal (40 millions d’utilisateur·ices) ou encore Telegram (200 millions d’utilisateur·ices) sont massivement utilisés dans des régimes autoritaires afin d’échapper à la surveillance d’État. Telegram a été largement utilisé par les opposants au régime de Poutine en Russie.
Leur usage s’est aussi généralisé dans les communications entre journalistes, sources et lanceur·euses d’alerte.
Depuis dix ans, États et services de renseignement cherchent à court-circuiter ces systèmes de protection, parfois en outrepassant les libertés individuelles encadrées par la loi. Le logiciel de surveillance Pegasus conçu et commercialisé en 2013 a permis à des États d’infiltrer les téléphones de chef·fes d’États, diplomates, journalistes et activistes. En France, le journaliste Edwy Plenel ou encore le Président Emmanuel Macron ont été victimes d’espionnage.
Messages privés surveillées par l’IA
Ce projet de règlement européen a été déposé le 11 mai 2022 par la social-démocrate Ylva Johansson, ancienne commissaire européenne aux Affaires intérieures. Il prévoit de scanner chaque images ou liens URL envoyés sur une boîte mail, une application ou une messagerie, même cryptée, pour y détecter des contenus pédocriminels. Chacune d’elle serait comparée à une base d’images connue. Si un lien est fait avec un contenu pédocriminel, un signalement serait transmis à un futur « Centre de l’Union européenne».
«Aujourd’hui, même s’ il existe des moyens de contourner la loi, il est interdit de surveiller un journaliste. Avec Chat Control, cela prendrait fin »
Noémie Veron, maîtresse de conférences en droit public.
Au vu de la quantité de messages qu’il serait nécessaire d’analyser, l’Union européenne comptant plus de 700 millions d’habitant•es, «ces scans seraient probablement réalisés par une intelligence artificielle », avance Olivier Tesquet, journaliste au pôle enquête de Télérama.
Une enquête du Monde confirme cette hypothèse. L’ancienne commissaire européenne serait en contact étroit avec l’entreprise américaine d’intelligence artificielle Thorn, spécialisée dans la détection de contenu pédopornographique, depuis au moins mai 2022.
« Beaucoup de détournement sont possibles »
Chaque message, même crypté, serait donc scanné pour lutter contre la pédocriminalité. Problème, pour le moment, aucun régime particulier n’est prévu pour les politiques, les universitaires… et les journalistes. «Aujourd’hui, même s’ il existe des moyens de contourner la loi, il est interdit de surveiller un journaliste. Avec Chat Control, cela prendrait fin », s’inquiète Noémie Veron, maîtresse de conférences en droit public.
Pourtant, les journalistes utilisent largement les messageries cryptées dans le cadre de leur travail. «Pour échanger et protéger nos sources, notamment nos sources militantes, nous utilisons l’application Signal , précise Marie Allenou, journaliste à Rue89Lyon, un média d’investigation locale. Nous avons aussi une plateforme sur laquelle il est possible de nous transmettre des documents de façon confidentielle et sécurisée. »
Problème, si les images ou liens URL échangés venaient à être scannés, avant d’être cryptées « les sources seraient bien plus réticentes à nous parler et des informations d’intérêt général pourraient ne pas être portées à connaissance du public », poursuit la journaliste.
De nouvelles techniques d’enquête ?
Alors, certains journalistes prévoient un possible retour aux « techniques traditionnelles », privilégiant le contact humain. « Rien ne vaut une rencontre dans un café ou des documents transmis en papier. À l’heure où les technologies de surveillance se multiplient, c’est le moyen le plus sûr de se protéger », assure Jérôme Hourdeaux, journaliste à Médiapart, spécialiste des questions de libertés publiques.
Même son de cloche pour Streetpress : « À la rédac’, quand nous avons des informations importantes à transmettre, nous le faisons toujours à l’oral, jamais sur des canaux numériques », explique Christophe-Cécil Garnier, rédacteur en chef adjoint au pôle enquête.
Certains médias, comme Mediapart ont développé un service informatique à la pointe des questions de surveillance numérique. Jérôme Hourdeaux et ses collègues peuvent par exemple faire analyser régulièrement leur téléphone et recevoir des conseils pratiques dans leur travail. D’autres rédactions, moins spécialisées dans l’enquête, « ne prennent pas la mesure des risques de la surveillance numérique avec leurs sources », s’inquiète Jérôme Hourdeaux.
Pourtant, ces risques de surveillance existent depuis une dizaine d’années.« Je n’ai jamais fait confiance à mon téléphone, assure Jérôme Hourdeaux. Le cadre législatif actuel permet déjà une surveillance ciblée, qu’il est nécessaire de prendre en compte lorsque l’on enquête sur des sujets sensibles ».
Des failles techniques
Autre problème à prendre en compte concernant Chat Control : les failles techniques. Exemple : le risque de « faux-positifs ».Chaque IA possède une « marge d’erreur », plus ou moins importante. Certaines images signalées risquent donc d’être identifiées à tort comme des contenus pédocriminels, et seraient alors signalées.
Sauf que ces « faux-positifs » peuvent être créés de toutes pièces. Mathieu Goessens, ingénieur numérique, en parle plus en détail. «Imaginez une entreprise qui ne voudrait pas qu’un rapport confidentiel tombe entre les mains d’un•e journaliste. Il lui suffirait de créer “un faux-positif”, une photo lambda considérée par Chat Control comme étant un contenu pédocriminel, et de le glisser à l’intérieur de ce document. »
Si le•la journaliste envoie ce rapport à son rédacteur en chef, l’image serait donc automatiquement scannée et signalée. Que se passerait-il alors si, dans le cadre de son enquête, un•e journaliste était accusé de détenir et de diffuser des images trafiquées et considérées comme pédocriminelles ? Beaucoup de questions restent à éclaircir avant que le projet de règlement accède à nouveau au parlement européen.