Chapitre 3 : Défis de l’accès légal — Interception des communications par les organismes de sécurité
Rapport spécial sur l’accès légal aux communications par les organismes de sécurité et de renseignement
Interception des communications par les organismes de sécurité
102. *** Note de bas de page 233 D’après la GRC, les outils et l’équipement d’accès légal ne changent pas le réseau en soi. Ils servent plutôt à obtenir des données qui sont déjà recueillies et stockées par un FSC dans le cadre de ses activités opérationnelles courantes ou accessibles au FSC en raison du type de service fourni, comme des services Internet Note de bas de page 234 .
103. Les données sont isolées afin que l’organisme demandeur ne reçoive que les données qu’il est légalement autorisé à consulter Note de bas de page 235 . *** Note de bas de page 236 ***
*** Note de bas de page 237 ***
104. La capacité d’interception ne fournit pas un accès exceptionnel, ou une porte dérobée, à du contenu chiffré. Dans un système apte à l’interception, la GRC ou le SCRS peut obtenir ou intercepter des communications à partir du réseau d’un FSC, mais ne peut pas nécessairement les lire, car le chiffrement rend souvent le contenu indéchiffrable. Certains experts en cybersécurité et défenseurs de la vie privée considèrent toutefois la capacité d’interception légale comme étant une porte dérobée en soi.
Capacité d’interception et portes dérobées
Des débats de fond sur la façon de répondre aux défis du chiffrement ont entre autres proposé que le gouvernement puisse obliger les entreprises à créer un accès exceptionnel à des programmes de chiffrement, ou des portes dérobées, pour les organismes de sécurité et de renseignement. Le Centre canadien pour la cybersécurité (CCC) définit une « porte dérobée » comme étant un « moyen non recensé qui permet, discrètement ou anonymement, d’accéder à distance à un ordinateur après avoir contourné les mécanismes d’authentification et s’être donné accès au texte en clair Note de bas de page 238 . »
Selon le Citizen Lab, une fois qu’une porte dérobée est installée, rien ne garantit concrètement que seuls des organismes de l’État l’emprunteront. En raison de cette faille fondamentale, les systèmes d’accès exceptionnel constituent une menace inhérente pour les personnes qui dépendent des produits de communication chiffrés Note de bas de page 239 . De nombreux experts de la cybersécurité partagent ce même avis Note de bas de page 240 .
Le CST a également soulevé des préoccupations concernant les portes dérobées auprès du Comité. Bien qu’il ait indiqué que [traduction] « il existe des moyens de créer des solutions techniques qui sont considérées sécuritaires actuellement Note de bas de page 241 », il a précisé qu’une loi obligeant les FSC ou les fournisseurs de logiciels à mettre en place des portes dérobées, qui pourraient compromettre la cybersécurité plus globalement, serait pour lui une source de préoccupation Note de bas de page 242
D’après la GRC, [traduction] les portes dérobées « créent des vulnérabilités et peuvent affaiblir la sécurité générale d’un réseau; elles suscitent des préoccupations valables sur le plan de la sécurité, car les criminels ou d’autres acteurs hostiles peuvent exploiter ces vulnérabilités. Étant donné la nécessité de protéger les informations sensibles et de maintenir le droit des personnes à la vie privée, la GRC ne préconise pas la création de “portes dérobées” sur les réseaux des FSC. Au contraire, il serait plus sécuritaire et avantageux pour les organismes de sécurité et de renseignement de pouvoir exploiter les informations auxquelles les FSC ont déjà accès Note de bas de page 243 . »
Certains experts en cybersécurité et défenseurs de la vie privée considèrent toutefois la capacité d’interception légale comme étant une porte dérobée, indiquant que [traduction] « il n’existe aucune porte dérobée seulement accessible par les “gentils” Note de bas de page 244 . » D’autres avancent de même que, quoiqu’il soit possible d’affirmer que [traduction] « la technologie de la surveillance peut être développée de façon sécuritaire et sans risque de pénétration par les forces hostiles, les résultats antérieurs ne présagent rien de bon Note de bas de page 245 . »
Ni le SCRS ni la GRC ne voit la capacité d’interception comme représentant une porte dérobée, car elle ne compromet pas les plateformes ou les logiciels de chiffrement. Ils considèrent plutôt la pratique autorisée judiciairement du recours à des outils intégrés au système d’un FSC, neutres sur le plan du chiffrement, comme s’ils utilisaient la « porte avant ».
105. En l’absence d’une législation régissant la capacité d’interception, le SCRS et la GRC dépendent de la coopération *** des FSC pour concevoir et entretenir une capacité d’interception. Des fonds sont nécessaires pour la conception et la mise en oeuvre de solutions d’interception, *** Note de bas de page 246 . Le SCRS et la GRC payent la majorité de ces coûts — ce qui avantage également les services de police municipaux et provinciaux — sans être officiellement tenus de le faire Note de bas de page 247 . En 2022, le SCRS et la GRC ont dépensé ensemble *** $ dans la conception et l’entretien et *** $ au total en frais d’exploitation facturés par les FSC aux organismes de sécurité nationale et d’application de la loi au Canada Note de bas de page 248 .
106. Selon le SCRS et la GRC, seulement *** % des réseaux de FSC au Canada disposent d’une solution technique permettant une interception autorisée judiciairement de communications et de données connexes, et sont donc considérés comme étant aptes à l’interception, comme le montre le tableau 3.4. Le tableau ne tient toutefois pas compte des différences dans la taille des réseaux (c’est-à-dire que tous les réseaux ne sont pas égaux sur le plan de la part du marché et des usagers). Selon le Conseil de la radiodiffusion et des télécommunications canadiennes, les cinq plus grands FSC du Canada comptent pour plus de 87 % de la part des recettes Note de bas de page 249 . ***
| Catégorie de service | Nombre de FSC | Nombre total de réseaux |
Nombre de réseaux exploités individuellement (services) Bon: apte à l’interception légale |
Nombre de réseaux exploités individuellement (services) Attention: partiellement apte ou sous-développé |
Nombre de réseaux exploités individuellement (services) Mauvais: lacune dans l’interception légale |
|---|---|---|---|---|---|
| *** | *** | *** | *** | *** | *** |