Frankrijk dringt aan op toegang voor wetshandhaving tot Signal, WhatsApp en versleutelde e-maildiensten

In een opvallende zet heeft Frankrijk een wetsvoorstel gepresenteerd dat techbedrijven verplicht om versleutelde berichten en e-mails, zoals die van Signal en WhatsApp, aan de autoriteiten te overhandigen. Dit voorstel, dat momenteel in de Franse Nationale Assemblee wordt besproken, is een aanvulling op de zogenaamde "Narcotraffic"-wet en heeft als doel de strijd tegen drugshandel te versterken.

De voorgestelde wet verplicht technologiebedrijven om binnen 72 uur versleutelde chatberichten van verdachten over te dragen aan de Franse wetshandhaving. Deze maatregel heeft echter aanzienlijke bezorgdheid gewekt onder techbedrijven en maatschappelijke organisaties, die vrezen dat het creëren van zogenaamde "backdoors" in versleutelde diensten cybercriminelen en vijandige staten in de kaart zal spelen.

Individuen die niet aan deze eisen voldoen, riskeren boetes van €1,5 miljoen, terwijl bedrijven geconfronteerd kunnen worden met boetes tot 2% van hun jaarlijkse wereldwijde omzet. Matthias Pfau, CEO van Tuta Mail, een Duitse aanbieder van versleutelde e-maildiensten, stelt dat het invoeren van backdoors in versleutelde diensten niet mogelijk is zonder de beveiliging ervan fundamenteel te verzwakken. "Een backdoor die alleen voor de goede jongens toegankelijk is, is een gevaarlijke illusie. Het verzwakken van encryptie voor wetshandhaving creëert onvermijdelijk kwetsbaarheden die door cybercriminelen en vijandige buitenlandse actoren zullen worden uitgebuit. Deze wet zou niet alleen criminelen treffen, maar de veiligheid voor iedereen vernietigen," aldus Pfau.

Matthew Hodgeson, CEO van Element, een beveiligd communicatieplatform dat door overheden wordt gebruikt, uitte ook zijn bezorgdheid over de technische haalbaarheid van de Franse voorstellen. "We zijn diep bezorgd over weer een mogelijke aanval op encryptie. Net als de Online Safety Act in het VK, toont dit Franse voorstel een diepgaand misverstand van wat technisch mogelijk is in end-to-end versleutelde systemen," voegde hij eraan toe. "We zullen blijven herhalen totdat de boodschap doordringt – er zijn geen veilige backdoors in versleutelde diensten."

Frankrijk heeft een belangrijke rol gespeeld in het hacken van versleutelde berichtenservices die door drugshandelaren worden gebruikt, zoals EncroChat, Sky ECC en Anom, wat heeft geleid tot duizenden arrestaties wereldwijd van verdachten van drugshandel en witwassen van geld. Tegenstanders van de Franse wet beweren echter dat het breken van een encryptietoepassing die naar verluidt door criminelen wordt gebruikt, heel anders is dan het breken van de encryptie van chat-apps zoals WhatsApp en Signal, en versleutelde e-mails die door miljarden mensen voor niet-criminele communicatie worden gebruikt.

"We zien geen bewijs dat het Franse voorstel noodzakelijk of proportioneel is. Integendeel, elke backdoor zal vroeg of laat worden uitgebuit; het is slechts een kwestie van tijd," aldus Pfau.

De Franse senatoren Étienne Blanc en Jérôme Durain dienden het wetsvoorstel, getiteld "Frankrijk uit de drugshandelval halen", in januari 2024 in. Het wetsvoorstel heeft zijn eerste lezing doorstaan en zal op 4 maart 2025 in commissie worden behandeld, waarna het op 17 maart 2025 door de Nationale Assemblee zal worden besproken.

De amendementen verplichten platforms om de nodige technische maatregelen te implementeren zodat inlichtingendiensten toegang kunnen krijgen tot begrijpelijke inhoud van correspondentie en gegevens die via hen worden verzonden. Bovendien moeten Franse inlichtingendiensten overleggen met de Nationale Toezichtscommissie voor Inlichtingenverzamelingstechnieken (CNTR) voordat ze autorisaties kunnen verkrijgen om duidelijke versies van versleutelde berichten van techbedrijven op te eisen.

De wet staat ook het gebruik van spionagesoftware zoals NSO Group's Pegasus of Paragon toe, waarmee de politie op afstand microfoons en camera's van mobiele telefoons en computers kan activeren, volgens een analyse van de maatschappelijke organisatie La Quadrature Du Net. Daarnaast breidt de wet de reikwijdte van algoritmen, bekend als "zwarte dozen", uit, die gegevens over internetcommunicatie verzamelen met als doel personen te identificeren die verdacht worden van criminele activiteiten, om de verzameling van gegevens ter bestrijding van criminaliteit en georganiseerde misdaad te autoriseren.

De politie krijgt ook de bevoegdheid om websites en inhoud met betrekking tot drugshandel, die door leden van het publiek via het Pharos-meldingssysteem zijn gerapporteerd, te censureren of de toegang ertoe te beperken, indien het materiaal als illegaal wordt beschouwd, zonder tussenkomst van een rechter. Deze maatregel heeft zorgen gewekt bij mensenrechtenorganisaties, die vrezen dat gedeelde memes of grappen over drugs, of fragmenten van films, onterecht kunnen worden geblokkeerd.

Tuta Mail heeft gewaarschuwd dat als de voorstellen worden aangenomen, dit Frankrijk in conflict zal brengen met de wetten van de Europese Unie en de Duitse IT-beveiligingswetten, waaronder de IT-beveiligingswet en de Duitse Telecommunicatiewet (TKG), die bedrijven verplichten om de gegevens van hun klanten te beveiligen. Als Frankrijk doorgaat met zijn voorstellen, zou Tuta Mail, dat diensten aanbiedt in Frankrijk en Duitsland, gedwongen worden een keuze te maken tussen het naleven van de Franse of Duitse wet.

"Duitse wetten zoals de IT-beveiligingswet en de TKG verplichten ons om gegevens te beschermen en vereisen dat IT-systemen niet op een manier worden gewijzigd die de beveiliging verzwakt, alleen voor toegang door wetshandhaving. Wij bij Tuta zullen geen enkele wet naleven die een backdoor vereist, maar de Duitse wet verbiedt ons ook om dit te doen," zei Pfau.

"De Europese Toezichthouder voor Gegevensbescherming heeft duidelijk gesteld dat elke nieuwe maatregel die encryptie beperkt, de 'noodzaak- en proportionaliteitstoets' moet doorstaan, gebaseerd op onderbouwd bewijs. We zien geen bewijs dat het Franse voorstel noodzakelijk of proportioneel is," voegde hij eraan toe.

La Quadrature du Net, een non-profitorganisatie die de rechten en vrijheden van mensen op het internet verdedigt, heeft politici aangespoord om de amendementen te verwerpen wanneer deze in maart in de Nationale Assemblee worden besproken. De groep verklaarde in een blogpost in januari dat maatschappelijke organisaties, cryptografie-experts en het Franse Cyber Security Agency ANSSI al jaren waarschuwen dat toegang tot versleutelde communicatie niet alleen technisch onmogelijk is, maar ook in strijd met digitale beveiligingseisen.

"End-to-end encryptie is ontworpen zodat bedrijven zelf geen toegang hebben tot berichten. Toegang introduceren (een backdoor) zou het beschermingsniveau van alle communicatie verzwakken en dit is nergens ter wereld voorzien," aldus de organisatie.

Het Observatorium voor Vrijheden en Digitale Technologie (OLN), een coalitie die de Franse advocatenvereniging, de magistratenvereniging en mensenrechtenorganisaties vertegenwoordigt, heeft ook opgeroepen tot afwijzing van het wetsvoorstel. Het heeft zorgen geuit dat het wetsvoorstel voorkomt dat informatie over surveillanceoperaties aan verdachten wordt onthuld, waardoor het voor hen onmogelijk wordt om deze aan te vechten. "De aangeklaagden zouden daardoor geen enkele manier meer hebben om te weten of en hoe ze werden gemonitord, ook niet in het geval van mogelijk misbruik door de opsporingsdiensten," aldus OLN.

In een tijd waarin drugshandelnetwerken, terroristische groepen en andere criminele organisaties profiteren van de wijdverspreide inzet van versleutelde messagingdiensten en de moeilijkheden voor inlichtingendiensten om toegang te krijgen tot de informatie die op deze platforms wordt uitgewisseld, roept deze amendement op tot een noodzakelijke heroverweging van de balans tussen veiligheid en privacy.