Le stockage des données personnelles par l’État est «une atteinte à la liberté» et il est synonyme de «dictature». Non, nous ne vous parlons pas de la révolte des internautes – pour commencer – face aux propositions de l’Information and Communication Technologies Authority (ICTA) d’intercepter, de décrypter et d’archiver toutes les données entrant et sortant des Mauriciens sur Facebook, mais bien d’une déclaration de Pravind Jugnauth. 

C’était en 2013. Le Premier ministre actuel était alors dans l’opposition et contestait le fait que le gouvernement d’alors voulait stocker les données personnelles des citoyens sur la nouvelle carte d’identité biométrique. Huit ans plus tard, le gouvernement dirigé par Pravind Jugnauth vient proposer la même chose… Retour sur les propositions de l’ICTA pour réguler le contenu des réseaux sociaux. 

Dans un papier consultatif long de 24 pages, l’instance régulatrice détaille son projet. D’emblée, elle annonce pourquoi une telle surveillance est nécessaire pour protéger l’harmonie sociale. Le document explique que les réseaux sociaux ont révolutionné la communication et qu’aujourd’hui, chaque individu peut donner son point de vue. 

Mais cela mène à des dérapages et posts incendiaires. Comme Facebook ne comprend pas le kreol, les plaintes aux media administrators tombent dans l’oreille des sourds et rien ne se passe. L’harmonie sociale souffre et agonise à cause de ces posts. 

Il faut donc une solution. Pour préserver le mauricianisme qui règne, pas de rotin bazar, mais de haute technologie. L’ICTA propose de mettre un intermédiaire entre Facebook et son utilisateur. Cet intermédiaire veillera à ce que les informations jugées dangereuses et illégales ne soient pas postées, et au lieu de solliciter Facebook pour enlever des posts, cela se fera ici même. C’est là que l’affaire se corse.

Comment marche la proposition de surveillance ?

«In the proposed technical model, only social media traffic will need to transit via a filtering set up for decryption, archiving, inspection (as and when required) and re-encryption with the technical toolset selfsigned digital certificate.» Donc, filtrer le contenu de Facebook, le garder bien au chaud et l’inspecter en cas de besoin. Cependant, ce n’est pas si simple. Explications avec Ish Sookun. 

Pour savoir quel trafic concerne Facebook, il faudra filtrer l’intégralité des demandes d’accès aux sites et par la suite, identifier quelles demandes concernent Facebook. Cette partie du trafic sera redirigé vers un autre canal. Ici, personne ne peut savoir ce que contient la demande car tout est crypté. 

La seule évidence est qu’un trafic va vers Facebook sans savoir si c’est un post, une photo, un chat via Messenger, un pouce bleu (like), un partage ou autre. Impossible de savoir, non plus, si l’action concerne un profil privé, une page publique, un post public sur un profil privé… Donc, place au décryptage. L’ICTA propose donc un intermédiaire entre l’utilisateur de Facebook et Facebook lui-même.

Man-In-The-Middle

Attardons-nous un moment sur le procédé de cryptage de données en utilisant l’image des clés et des boîtes. Pour se connecter à Facebook, il faut deux clés : une publique et une autre privée qui est avec Facebook. Lorsqu’une demande est lancée par l’utilisateur, Facebook lui envoie une boîte vide avec la clé publique. L’utilisateur y met son nom – Tï PWiIinCe DezEùRRdeEure ou autre – et le renvoie à Facebook avec la clé publique. Là-bas, Facebook peut ouvrir cette boîte avec la clé privée en sa possession et hop, c’est parti pour des likes, partages et autres commentaires. Si la boîte avec son contenu est copiée en cours de route, cela ne sert à rien car la clé privée n’est pas disponible. 

L’ICTA se propose d’être l’intermédiaire entre l’utilisateur et Facebook. Donc, l’utilisateur émet sa demande à Facebook. La demande est interceptée par le serveur de l’ICTA et c’est lui qui envoie la boîte et une clé publique en se faisant passer pour le site Facebook. Le browser, ne se doutant de rien, fait confiance car l’intermédiaire lui présente la même patte blanche. La personne met son nom et mot de passe dans la boîte, la renvoie à l’ICTA. L’instance, avec sa propre clé privée pour ouvrir la boîte qu’elle a envoyée – puisque, dans ce cas de figure, elle n’a pas été envoyée par Facebook – et elle copie les données. 

Par la suite, elle fait une demande à Facebook pour se connecter. Lorsqu’elle reçoit la boîte de Facebook avec la clé publique, elle y met les données de l’utilisateur, la renvoie et Facebook, qui ne sait pas que c’est un intermédiaire, ouvre la boîte. Par la suite, tous les échanges avec Facebook – publications, partages, photos, etc. – passent par le serveur. Comme il a déjà accès au trafic, il peut tout voir. 

Ce procédé n’est pas nouveau et s’appelle Man-In-The Middle-Attack et très souvent, il n’est pas utilisé de manière légale par des personnes mal intentionnées. 

Tout décrypter puis trier

Dans un communiqué pour affirmer ses intentions nobles, l’ICTA s’est défendue de vouloir tout réguler et dit : «It has never been the intention of ICTA to regulate the use of online messaging applications since these types of communication are of a private nature as opposed to public postings.» Mais pour faire la différence entre les contenus publics et privés, il doit tout décrypter et ensuite faire un tri. 

De plus, comme Messenger fait partie du site Facebook lorsqu’on y accède d’un browser, elle est aussi concernée par le décryptage. Toutes les données seront donc décryptées et archivées, comme le stipule le papier consultatif. La raison est que les données échangées, qui démontrent quelle action a été prise sur Facebook par l’utilisateur, doivent être consultables au moment où le délit a été commis dans le cas d’une enquête.

Impossible d’y échapper 

Pour se faire passer pour l’utilisateur, l’ICTA lui demandera d’installer une certification authority en amont pour que le browser lui fasse confiance. Par la suite, le browser fera confiance à tous les autres sites interceptés par l’ICTA. En cas de refus d’installer le certificat, le browser préviendra l’utilisateur que visiter Facebook pose un risque. Si l’utilisateur est téméraire et accepte, la connexion sera établie avec le serveur de l’ICTA, qui se fait passer pour Facebook, et tout se passe comme expliqué.

Les problèmes 

L’ICTA se propose donc de bloquer les contenus jugés «nuisibles et illégaux». Pour juger de ce qui tombe sous cette catégorie, un National Digital Ethics Committee (NDEC) sera créé. Qui y siègera ? Comment ses membres seront-ils nommés ? Par qui ? Quels critères utiliseront-ils avant leur décision ? On n’en sait pas grand-chose pour le moment. 

Passons. Lorsque le couperet du NDEC tombe, son lien (URL) sera bloqué et la paix sera sauvée. Mais, si la publication en question a été partagée, les partages, eux, seront toujours visibles car chaque partage détient un URL différent. À moins de tout retracer, ce qui constitue un travail astronomique… 

Autre lacune : lorsqu’une photo est publiée sur Facebook, elle est stockée sur un Content Delivery Network, raison pour laquelle l’URL n’est plus facebook.com quand un utilisateur clique sur une photo. Donc, l’accès à ce réseau de stockage sera-t-il bloqué si une photo est jugée dangereuse, au risque de bloquer toutes les autres photos du réseau ? 

Les données sensibles posent problème aussi. Ceux qui mettent les informations de leur carte de crédit pour des transactions sur Facebook, ceux qui postent dans des groupes secrets et même ceux qui parlent intimement sur Messenger verront leurs informations décryptées et archivées. 

En cas de plainte et de publication jugée «nuisible», est-il démocratique et éthique de retirer un poste ? Pourquoi ne pas passer par les institutions existantes, comme la cour, pour trancher et décider, comme c’est le cas pour tous les autres délits existants ? 

Termes pas clairs

Plusieurs termes utilisés dans ce papier consultatif ne sont également pas clairs. Lorsque l’ICTA parle d’avoir approché des modérateurs, parlent-ils des modérateurs de pages à Maurice, ou l’équipe Facebook ? Quelle est la définition de fake profile page ? Le papier mentionne des posts qui peuvent poser une «menace à l’harmonie sociale» sans dire lesquels.

Pourquoi cette proposition ? 

En 2018, la loi a été amendée pour rendre tout post Facebook qui «cause du désagrément» un délit. Pourquoi ce nouveau système de surveillance ? Selon l’ICTA, c’est parce que souvent, les demandes pour enlever des posts ne sont pas prises en considération. La question à se poser est : Pourquoi ? 

Entre 2017 et 2019, le gouvernement de Pravind Jugnauth a demandé des informations sur sept comptes à Facebook. Il n’y a pas eu de retour. Ces sept comptes concernaient des personnes qui critiquaient le gouvernement. Quant à Google, le gouvernement lui a envoyé huit requêtes pour enlever 29 sites Internet. Parmi, 20 étaient des sites critiques du gouvernement. Rien à voir avec la cybercriminalité et ce qui est interdit sur Facebook. 

Si la loi passe, ce sera le NDEC qui décidera de retirer les posts au lieu de Facebook. Quels seront les critères qu’ils prendront en considération pour décider de ce qui est «nuisible et illégal» ? Les publications contre le gouvernement seront-elles jugées nuisibles ? Aucune information encore une fois. 

Toujours est-il que pour l’instant, cette décision sera humaine et prise exclusivement par le NDEC car il n’existe pas d’intelligence artificielle pour faire la différence entre une information nuisible et le reste.

Est-ce constitutionnel ? 

L’ICTA le dit lui-même dans le papier consultatif. «The proposed statutory framework will undoubtedly interfere with the Mauritian people’s fundamental rights and liberties, in particular, their rights to privacy and confidentiality and freedom of expression.». 

L’entité concède que le projet devra passer le test de la constitutionalité, plus précisément, l’article 12 qui parle de liberté d’expression et précise : «Except with his own consent, no person shall be hindered in the enjoyment of his freedom of expression, that is to say, freedom to hold opinions and to receive and impart ideas and information without interference, and freedom from interference with his correspondence.»

Les solutions 

En ce qui concerne les posts qui mettent vraiment en danger l’harmonie sociale, les posts insultants et autres, il y a déjà un système en place pour les faire enlever ou obtenir les informations appropriées. La première est de contacter Facebook, dire pourquoi le post est «nuisible et illégal» pour de vrai, prouver que l’entité qui a contacté Facebook est une law enforcement agency et le nécessaire sera fait. 

Il est vrai que pour des demandes hors des États-Unis, cela prend du temps. Cependant, il est possible de passer par une escrow company qui fera les démarches nécessaires aux États-Unis, et tout ira plus vite. Le paiement est d’environ $ 200 (Rs 8 085 au taux de change de vendredi, soit 173 160 fois moins cher que les contrats alloués par la STC pendant le confinement l’année dernière). 

L’ICTA a émis le papier consultatif le 14 avril et le public a jusqu’au 5 mai à 16 heures pour soumettre ses propositions et points de vue à l’adresse socialmediaconsultation@ icta.mu