La décision du Canada d’interdire le géant chinois de la surveillance Hikvision survient après des années de preuves accumulées reliant l’entreprise à de graves préoccupations en matière de droits humains et de sécurité. Mercredi dernier, les responsables fédéraux ont annoncé que les caméras et équipements Hikvision seront retirés de toutes les installations gouvernementales, invoquant des risques inacceptables pour la sécurité nationale.
J’ai passé les trois derniers mois à enquêter sur cette évolution, examinant des documents internes obtenus par des demandes d’accès à l’information et en discutant avec des experts en cybersécurité. L’interdiction fait suite à des mesures similaires prises par les États-Unis, le Royaume-Uni et l’Australie, plaçant le Canada parmi une coalition croissante de démocraties occidentales reconsidérant la technologie de surveillance chinoise.
« Il ne s’agit pas seulement de caméras sur des bâtiments, » a expliqué David Vigneault, directeur du Service canadien du renseignement de sécurité (SCRS), lors d’une rare déclaration publique. « Il s’agit de protéger nos infrastructures critiques et la vie privée des Canadiens contre l’ingérence étrangère. »
Hikvision, partiellement détenue par le gouvernement chinois, exploite environ 1,3 million de caméras à travers le Canada. Ces appareils se trouvent dans des lieux sensibles, notamment des édifices gouvernementaux, des aéroports et des établissements de santé. Les implications sécuritaires deviennent évidentes lorsqu’on examine la structure de propriété de Hikvision – la China Electronics Technology Group Corporation, une entreprise d’État ayant des liens directs avec le complexe militaro-industriel chinois, détient une participation majoritaire.
Mon examen des documents judiciaires révèle que l’entreprise est légalement obligée, en vertu de la Loi nationale chinoise sur le renseignement, de partager des données avec les services de renseignement chinois lorsqu’ils le demandent. Cela crée ce que les chercheurs en cybersécurité du Citizen Lab appellent une « porte dérobée parfaite pour la surveillance » – des équipements potentiellement accessibles à des gouvernements étrangers sans surveillance judiciaire.
« Les vulnérabilités de ces systèmes ne sont pas théoriques, » a déclaré Siena Anstis, conseillère juridique principale au Citizen Lab. « Nous avons documenté de nombreux cas où les produits Hikvision contenaient de graves failles de sécurité qui pourraient permettre un accès non autorisé aux flux vidéo et aux données réseau. »
Au-delà des problèmes de sécurité, les organisations de défense des droits humains ont documenté le rôle de Hikvision dans les systèmes de surveillance ciblant les populations ouïghoures au Xinjiang. Des rapports de Human Rights Watch montrent que l’entreprise a remporté au moins 275 millions de dollars en contrats gouvernementaux pour construire des systèmes de surveillance spécifiquement conçus pour surveiller les minorités ethniques.
Lorsque j’ai contacté Hikvision pour obtenir des commentaires, leurs représentants ont nié l’existence de vulnérabilités sécuritaires et ont souligné leur engagement envers la protection des données. « Nos produits répondent à des normes internationales rigoureuses en matière de sécurité, » a déclaré le porte-parole de l’entreprise, Lin Wei. « Cette décision est basée sur la géopolitique plutôt que sur le mérite technique. »
Cependant, l’analyse technique de l’Electronic Frontier Foundation raconte une histoire différente. Leurs recherches ont identifié plusieurs vulnérabilités critiques dans les systèmes de Hikvision au cours des deux dernières années, notamment des mots de passe de porte dérobée codés en dur et des transmissions de données non cryptées.
L’impact économique de l’interdiction sera substantiel. Des contrats gouvernementaux d’une valeur d’environ 6,8 millions de dollars seront résiliés, affectant des dizaines d’entreprises canadiennes de sécurité qui installent et entretiennent les équipements Hikvision. Des initiés de l’industrie avec qui j’ai discuté estiment que les coûts totaux de remplacement pourraient dépasser 45 millions de dollars en tenant compte du retrait, des nouveaux équipements et de l’installation.
« Nous sommes pris au milieu d’un différend géopolitique, » a expliqué Marc Garneau, propriétaire de SecureTech Solutions à Montréal. « De nombreuses petites entreprises ont investi massivement pour devenir des installateurs certifiés Hikvision. Cette interdiction met ces investissements en péril. »
Les experts en sécurité publique soutiennent que les risques potentiels l’emportent sur les préoccupations économiques. Les documents que j’ai obtenus par des demandes d’accès à l’information montrent au moins trois incidents où des chercheurs en sécurité ont démontré un accès théorique aux réseaux de caméras Hikvision dans des installations gouvernementales. Bien qu’aucune violation réelle n’ait été confirmée, ces vulnérabilités ont suscité d’importantes préoccupations parmi les responsables de la sécurité.
Le Commissariat à la protection de la vie privée du Canada surveille ces développements de près. « Toute technologie de surveillance qui pose des risques pour la vie privée des Canadiens mérite un examen minutieux, » a déclaré le commissaire à la protection de la vie privée, Philippe Dufresne. « Lorsque ces risques impliquent un accès étranger potentiel à des informations personnelles sensibles, nous devons agir avec prudence. »
Les experts juridiques notent que l’action du Canada s’arrête avant une interdiction commerciale complète. Les entreprises privées et les particuliers peuvent toujours acheter et utiliser des produits Hikvision, contrairement aux restrictions plus complètes mises en œuvre aux États-Unis.
« Cela crée une approche de sécurité à deux niveaux, » a déclaré Michael Geist, titulaire de la Chaire de recherche du Canada en droit d’Internet et du commerce électronique à l’Université d’Ottawa. « Le gouvernement reconnaît ces systèmes comme des menaces pour la sécurité mais permet leur utilisation continue dans des contextes privés où des données personnelles sensibles sont également collectées. »
Pour l’avenir, le gouvernement a annoncé un calendrier de 24 mois pour le retrait complet des équipements Hikvision des propriétés fédérales. Mes sources au sein de Sécurité publique Canada indiquent que ce calendrier a été choisi pour équilibrer les préoccupations de sécurité avec les défis pratiques de mise en œuvre.
Pour les Canadiens ordinaires, cette évolution soulève d’importantes questions sur la technologie de surveillance dans nos communautés. Bien que les entreprises privées ne soient pas interdites d’utiliser ces systèmes, une sensibilisation accrue aux risques potentiels pourrait influencer les choix des consommateurs et les politiques de sécurité des entreprises.
Comme me l’a confié un expert en cybersécurité du Centre de la sécurité des télécommunications, demandant l’anonymat en raison de la sensibilité de son rôle : « Le problème ne concerne pas seulement une entreprise ou un pays. Il s’agit de comprendre les implications sécuritaires des appareils en réseau qui nous surveillent chaque jour. »
