Cet article a été initialement publié en français dans L’express.
Le 17 mai 2020, l’Internet Society, aux côtés de l’IGF Mauritius, a répondu à l’appel du gouvernement de l’île Maurice à commenter les amendements proposés à la loi sur les technologies de l’information et de la communication (TIC) visant à réglementer l’utilisation des réseaux sociaux à Maurice et à lutter contre leur abus et leur mauvaise utilisation. S’ils sont mis en œuvre, ces amendements auront de graves conséquences pour tous les utilisateurs d’Internet à Maurice. D’autres organisations de premier plan, dont AccessNow, Mozilla et Google, ont également contribué au débat en soulignant que cette proposition nuirait de manière disproportionnée à la sécurité d’Internet.
L’île, dont l’économie est forte et prospère, a longtemps été bien classée sur les baromètres de démocratie, de l’économie et de la liberté politique. Dans le dernier Rapport sur la liberté d’Internet de Freedom House, l’île Maurice décroche la première place en Afrique et est considérée comme un « pays libre », avec des scores corrects en matière de droits politiques et de libertés civiles. Le pays n’est peut-être pas un signataire à part entière de l’article 19 de la Déclaration universelle des droits de l’homme, mais la liberté d’expression est inscrite à l’article 12 de la Constitution du pays.
Mais, comme de nombreux pays « démocratiques », l’île Maurice n’est pas à l’abri des conséquences négatives de réglementations de plus en plus sévères à l’égard d’Internet. De précédentes modifications de la législation relative aux TIC ont rendu plus difficile le fait de s’exprimer librement et en toute sécurité sur Internet. De nouvelles restrictions semblent désormais poindre, avec la proposition par l’autorité mauricienne de réglementation des TIC (l’ICTA) de nouvelles modifications législatives permettant de surveiller le trafic sur les réseaux sociaux.
Selon cette proposition, l’objectif est de « réglementer ou limiter [les] contenus nocifs et illégaux sur Internet », et en particulier sur les plateformes de réseaux sociaux. Pour ce faire, l’ICTA souhaite créer un Comité national d’éthique numérique, dont le but déclaré serait d’identifier et de signaler les contenus de ce type. De plus, une Unité d’application technique ferait office de mécanisme de surveillance et chercherait à surveiller l’intégralité du trafic sur les réseaux sociaux.
Les principaux sites Web et plateformes sociales ont mis en place des canaux de communication sécurisés (HTTPS) afin de crypter le trafic entre l’appareil de l’utilisateur final et le serveur. Personne, pas même un fournisseur d’accès à Internet (FAI), ne peut accéder au contenu du trafic qui transite par son réseau. Les outils techniques proposés par l’ICTA décrypteraient, stockeraient, puis re-crypteraient le trafic Web entre un utilisateur final à Maurice et les plateformes sociales en utilisant un serveur proxy. Ce dernier agirait comme une boîte intermédiaire entre les utilisateurs finaux et l’Internet, saisissant, archivant et transférant tout le trafic qui passerait par lui. En termes techniques, cela revient à réaliser une attaque de type « machine-in-the-middle (MITM) ».
Pour se conformer à la proposition de l’ICTA, si elle est mise en œuvre, tous les fournisseurs d’accès Internet de l’île Maurice devront demander à leurs utilisateurs d’installer un certificat personnalisé contenant une clé unique mais invérifiable permettant de rediriger les communications des réseaux sociaux vers le serveur de l’ICTA. Sans l’installation de ce certificat, l’accès à certains sites Web serait refusé.
Cependant, toute personne disposant de la clé privée de ce certificat pourra accéder, lire et peut-être même modifier le trafic chiffré de tout citoyen mauricien Cela fait peser une grave menace sur tous les internautes de ce pays, car tout le trafic entre un utilisateur et les sites de réseaux sociaux (notamment les informations de connexion, les mots de passe, les transactions financières et les messages privés) serait rendu accessible, ce qui aurait indéniablement des conséquences désastreuses en cas d’accès non autorisé. De plus, du point de vue d’un opérateur de réseau, il est presque impossible de discerner le trafic des réseaux sociaux du reste du trafic professionnel et personnel.
Des questions devraient également se poser quant à l’efficacité à long terme d’une telle mesure. Il est possible que les principaux navigateurs boycottent cette mesure comme ils l’ont fait par le passé : Google et Mozilla ont déjà mis en œuvre des techniques pour s’opposer aux certificats auto-signés imposés par les gouvernements d’autres pays. Les criminels potentiels peuvent facilement utiliser des technologies comme les VPN ou Tor pour contourner la surveillance, ce qui rendra à terme inutile le mécanisme proposé. De plus, le serveur proxy lui-même pourrait devenir la cible de cyberattaques « commanditées par un État », et les conséquences de fuites de ses données pourraient se révéler désastreuses.
Il est évidemment nécessaire de répondre à la prolifération des discours de haine, de la désinformation et d’autres formes d’activités illicites en ligne, et l’île Maurice n’est pas le premier pays à prendre des mesures en ce sens. Cependant, la proposition de l’ICTA ouvre la porte à d’innombrables conséquences imprévues, et met en danger la confidentialité et la sécurité des internautes de l’île Maurice. De telles mesures n’aideront pas Maurice à se profiler comme une destination commerciale attrayante à un moment où le pays est considéré comme « à haut risque » par l’UE en raison des déficiences de son régime de lutte contre le blanchiment d’argent et le financement du terrorisme (« AML/CFT »). Cela découragera aussi fortement les entreprises technologiques d’établir des bureaux à Maurice pour profiter de la main-d’œuvre hautement qualifiée et des règles fiscales avantageuses. Il pourrait en résulter un important retard dans la transition numérique mauricienne, avec un effet très limité sur les responsables d’infractions que cette proposition vise à identifier.
Si la proposition de l’ICTA est mise en œuvre, cela rendra Internet inégal, fragmenté et mal sécurisé à l’île Maurice. Ce qui aura des conséquences durables sur la sécurité et la confidentialité en ligne de tous les utilisateurs d’Internet. Cela nuira également au droit des citoyens à ne pas être inquiétés en raison de leurs opinions, une valeur chère à tous les citoyens mauriciens.
Image de Rodion Kutsaev via Unsplash