Lois backdoor comparees: Russie, UK, Canada, Australie

Quand la Russie exige que les operateurs de telecoms remettent leurs cles de chiffrement au FSB, les medias occidentaux parlent de surveillance autoritaire. Quand le Royaume-Uni, le Canada et l'Australie adoptent des lois quasi identiques sous d'autres appellations, on parle de politique de securite nationale. Le resultat pour les citoyens et leurs communications privees est le meme dans les quatre cas.

Depuis 2016, quatre pays ont adopte des lois contraignant les entreprises technologiques a integrer des backdoors dans leurs services chiffres, sous peine d'amendes massives, de poursuites penales et d'exclusion du marche. Analyser ce que chaque loi exige concretement - en faisant abstraction du discours politique - revele un schema mondial qui concerne directement quiconque tient a sa vie privee numerique.

Russie : SORM, loi Yarovaya et le registre IMEI

Le dispositif de surveillance russe est le plus ancien et le plus complet des quatre. Le systeme SORM (en place depuis 1995) oblige tous les fournisseurs d'acces russes a installer du materiel controle par le FSB, donnant aux services de securite un acces direct au trafic de communications - sans mandat. La loi Yarovaya (loi federale 374, adoptee en 2016) est allee plus loin : les operateurs de telecoms doivent conserver le contenu des appels et messages six mois, et les metadonnees trois ans. Ils doivent de plus fournir les cles de dechiffrement au FSB sur demande.

En 2026, la Russie a renforce les controles en rendant obligatoire la liaison entre cartes SIM et IMEI. D'ici 2027, chaque appareil mobile devra etre enregistre dans une base de donnees nationale. Les telephones non enregistres seront coupes du reseau. Le FSB a egalement obtenu le droit d'ordonner directement aux fournisseurs de suspendre le service pour des utilisateurs specifiques.

Les fournisseurs VPN et les applications de messagerie operant en Russie sont classes comme "organisateurs de diffusion d'informations" - ils doivent stocker les donnees des utilisateurs russes sur le territoire et les remettre sur demande. La plupart des grands fournisseurs VPN (NordVPN, ExpressVPN, Surfshark, ProtonVPN) ont retire leurs serveurs physiques de Russie plutot que de se conformer. Private Internet Access est parti completement en 2016 apres que les autorites ont saisi ses equipements.

Royaume-Uni : La Charte des fouineurs fait peau neuve

L'Investigatory Powers Act 2016 britannique - surnomme la "Charte des fouineurs" par ses detracteurs - a legalise la collecte de donnees en masse et donne aux autorites de larges pouvoirs pour exiger le dechiffrement. Les amendements de 2024 ont rendu cette loi nettement plus dangereuse pour le chiffrement de bout en bout.

Aux termes de l'IPA mis a jour, les entreprises technologiques doivent notifier le ministere de l'Interieur avant tout mise a jour de securite et obtenir son approbation avant de deployer de nouvelles fonctions de chiffrement. Le gouvernement peut bloquer la publication d'une mise a jour securisee. La loi a une portee extraterritoriale - toute entreprise dans le monde dont les services atteignent des residents britanniques doit s'y conformer. Des ordonnances de secret interdisent aux entreprises d'informer les utilisateurs des injonctions secretes recues.

La reaction de l'industrie a ete inhabituellement directe. Apple a menace publiquement de desactiver iMessage et FaceTime au Royaume-Uni si la loi imposait un affaiblissement du chiffrement. Signal et WhatsApp ont declare qu'ils quitteraient le marche britannique plutot que de briser le chiffrement de bout en bout pour tous leurs utilisateurs. A la mi-2026, l'impasse persiste.

Australie : Le backdoor qui n'en est pas un

L'Australie a adopte le Telecommunications and Other Legislation Amendment (Assistance and Access) Act - dit TOLA - en 2018. Cette loi permet aux forces de l'ordre d'emettre des Technical Capability Notices : des injonctions obligeant les entreprises a creer de "nouvelles capacites" permettant l'interception de communications chiffrees.

Le gouvernement australien soutient que TOLA interdit d'exiger des "vulnerabilites systemiques". Les experts en securite denoncent unanimement l'impossibilite mathematique de cette position - une backdoor qui fonctionne pour une partie est une vulnerabilite pour tous. Signal a declare sans ambages qu'il n'est techniquement pas capable de dechiffrer les messages de ses utilisateurs et ne creerais pas de code special a cet effet. Le regime de secret total de la loi signifie que les employes qui divulguent la reception d'un TCN s'exposent a des poursuites penales.

Le prejudice pratique a depasse la seule vie privee des utilisateurs. Des startups technologiques australiennes ont signale avoir perdu des contrats internationaux parce que des clients soupconnaient la presence de backdoors gouvernementaux dans leurs produits. La loi a de facto rendu les logiciels australiens suspects sur le marche mondial.

Canada : Injonctions secretes sans controle judiciaire

Le projet de loi canadien C-26 a recu la sanction royale le 18 juin 2026. La Loi sur la cybersecurite et la securite des telecommunications confere au ministre de l'Industrie des pouvoirs etendus et largement secrets : la possibilite d'ordonner secretement aux operateurs de telecoms de deconnecter certains services, d'interrompre le service pour des utilisateurs specifiques et de partager des informations confidentielles avec des organismes de reglementation. Le non-respect est passe d'une amende pouvant atteindre 15 millions de dollars par jour.

L'Association canadienne des libertes civiles (CCLA) et les chercheurs du Citizen Lab de l'Universite de Toronto ont ete parmi les critiques les plus severes du projet de loi. Leur objection centrale : les injonctions ne requierent pas d'autorisation judiciaire et les entreprises ne peuvent les contester publiquement. Ce regime d'injonctions secretes sans reddition de comptes publique reflete les mecanismes utilises dans les etats autoritaires - la difference est procedurale, pas substantielle.

Le schema commun

• Obligations de secret : Les quatre pays interdisent aux entreprises d'informer les utilisateurs des injonctions de surveillance recues.
• Portee extraterritoriale : Le Royaume-Uni et le Canada revendiquent explicitement la juridiction sur les entreprises etrangeres dont les services atteignent leurs residents.
• Le chiffrement comme cible : Chaque loi, dans un langage different, vise a neutraliser le chiffrement de bout en bout en obligeant les entreprises a maintenir une capacite de dechiffrement.
• Responsabilite asymetrique : Les gouvernements peuvent emettre des injonctions secretes ; les entreprises et les utilisateurs ne peuvent les contester publiquement.

Signal ne peut se conformer a aucune de ces lois sans briser fondamentalement son service. L'entreprise l'a declare dans chaque juridiction. Il en va de meme pour toute plateforme de messagerie construite sur un vrai chiffrement de bout en bout.

Comment les fournisseurs VPN reagissent

Dans les quatre juridictions, l'industrie VPN a converge vers la meme solution technique : les serveurs RAM uniquement. Quand un serveur ne stocke rien sur disque et fonctionne entierement en memoire vive, la saisie du materiel ne fournit aucune donnee utilisateur. Cette architecture contrecarre directement les lois exigeant des journaux accessibles - il n'y a rien a remettre car rien ne persiste apres l'extinction du serveur.

Pour les utilisateurs dans chacun de ces quatre pays, un VPN avec une politique de zero journaux verifiee et une infrastructure RAM uniquement offre une protection reelle contre les systemes de conservation obligatoire des donnees. Cela ne protege pas contre les lois obligeant les FAI a bloquer les protocoles VPN eux-memes - comme la Russie le fait de plus en plus via ses systemes TSPU d'inspection profonde des paquets - mais regle directement le probleme de la retention des donnees.