Il y a près de quatre ans, la même paire du service de renseignement britannique, a publié un document plaidant en faveur d'artifices permettant d'affaiblir le chiffrement pour protéger les enfants contre les abus sexuels en ligne. Ils tentent une nouvelle fois leur chance en publiant un nouvel article présentant un argument très similaire, tout en reconnaissant ses lacunes.
« Ce document n'est pas une analyse rigoureuse en matière de sécurité, mais vise à montrer qu'il existe aujourd'hui des moyens de contrer une grande partie des préjudices liés à l'exploitation sexuelle des enfants en ligne, mais aussi à montrer la portée et l'ampleur du travail qui reste à faire dans ce domaine », écrivent-ils.
« Nous n'avons identifié aucune technique susceptible de permettre une détection aussi précise des contenus pédopornographiques que le balayage des contenus et si les considérations de confidentialité que ce type de technologie soulève ne doivent pas être négligées, nous avons présenté des arguments qui suggèrent qu'il devrait être possible de la déployer dans des configurations qui atténuent bon nombre des préoccupations les plus graves en matière de confidentialité », ajoutent-ils.
Le duo fait ainsi valoir que pour se protéger contre les abus sexuels sur les enfants et le matériel qu'ils produisent, il est dans l'intérêt de tous que les forces de l'ordre aient un certain accès aux communications privées. Le même argument a été utilisé à maintes reprises auparavant, généralement contre les terroristes, les trafiquants de drogue et le crime organisé.
Leur proposition consiste à relancer les tentatives de filtrage automatisé des contenus transmis sur les plateformes en ligne. Il s’agit de demander aux fournisseurs de s'insérer dans le processus pour vérifier que du contenu pédopornographique n'est pas envoyé en ligne. Cette vérification pourrait être effectuée par une intelligence artificielle entraînée à détecter ce type de matériel. Les forces de l'ordre pourraient alors être averties et collaborer avec ces entreprises pour lutter contre le fléau. L’Electronic Frontier Foundation a pris position au premièr trimestre de l’année en cours contre une approche similaire en gestation du côté des USA.
L’intégralité de la position de l’EFF
Une campagne récemment lancée au Royaume-Uni diabolise le chiffrement en le présentant comme quelque chose que seul un criminel pourrait vouloir utiliser et le raisonnement qui fait office de socle pour le projet de loi EARN IT actuellement en discussion au Sénat américain est à peu près le même. Partout où nous nous tournons, nous trouvons des sénateurs et des têtes pensantes qui affirment que les gouvernements du monde entier doivent tenir les grandes entreprises technologiques responsables et ils disent qu'une étape importante de cette démarche est l'interdiction du chiffrement de bout en bout. Les criminels, disent-ils, ne devraient pas avoir la possibilité de protéger leurs communications d'un examen minutieux. Il n'est pas surprenant d'entendre les gouvernements invoquer la criminalité pour justifier des empiétements sur la liberté individuelle - ou, d'ailleurs, d'utiliser des mots chargés de sens comme "se cacher". Est-ce que vous vous "cachez" lorsque vous verrouillez la porte de votre maison tous les jours, simplement parce que le gouvernement n'a pas le droit d'y entrer sans mandat ? Est-ce que c'est "se cacher" que de sceller l'enveloppe de la carte que vous envoyez à votre valentine ? Même si vous acceptez qu'il s'agisse d'une dissimulation, le chiffrement de bout en bout ne sert pas uniquement, ni même principalement, à se cacher de la surveillance massive du gouvernement.
Chaque fois que les législateurs commencent à envisager la soi-disant utilisation abusive du chiffrement de bout en bout, ils feraient bien de réfléchir aux façons positives dont il est utilisé au quotidien. Beaucoup de temps est consacré (à juste titre) à la façon dont il a protégé des dénonciateurs comme Edward Snowden, mais le chiffrement de bout en bout a des utilisations vitales qui sont beaucoup plus proches de nous. La messagerie gratuite et chiffrée, par exemple, contribue à protéger les jeunes homosexuels de la violence intolérante (dans leur pays et à l'étranger, comme au Ghana). Dans le même temps, dans un monde où les agresseurs peuvent traquer leurs victimes uniquement en cachant un AirTag dans leur sac, le chiffrement de bout en bout joue un rôle direct pour aider les victimes à sortir de ces relations en leur permettant de contacter des amis pour obtenir de l'aide. Il existe autant de cas d'utilisation du chiffrement de bout en bout qu'il y a de personnes qui l'utilisent. Dire le contraire témoigne non seulement d'un manque d'imagination, mais aussi d'un discours qui ne peut être tenu que depuis une position de pouvoir et de privilège.
Nos campagnes, et l'histoire de la Free Software Foundation (FSF), montrent que nous ne voulons pas seulement demander des comptes aux grandes entreprises technologiques. Au-delà de ce terme quelque peu trompeur, nous pensons que les entreprises qui composent les "Big Tech", comme Apple, Microsoft et Amazon, entre autres, doivent être radicalement remodelées, avec pour fondement le respect de la liberté des utilisateurs. Et si nous apprécions que des entreprises comme Apple et Meta fassent beaucoup de publicité pour le chiffrement de bout en bout, nous devons nous rappeler que ces entreprises, dans l'ensemble, ne sont pas des amis de la liberté des utilisateurs. En tant qu'activistes, nous devons aider ces entreprises à comprendre que leur soutien à des technologies telles que le cryptage de bout en bout devrait être étendu à d'autres aspects importants de la liberté des logiciels et des utilisateurs.
Avec des initiatives telles que la loi EARN-IT, le Congrès ne s'en prend aux "Big Tech" que dans un sens très précis, à savoir en mettant gravement en danger la vie privée de tous les utilisateurs d'ordinateurs. Dans le même temps, toute mesure légale réglementant le cryptage aura un impact sur la mise en œuvre du cryptage dans les logiciels libres, et sur son utilisation par les utilisateurs de logiciels libres. Une fois qu'une porte dérobée est créée, nous n'avons pas le droit de spécifier comment elle est utilisée, ou par qui. Il s'agit, par définition, d'un risque de sécurité.
Dans un monde sous la loi EARN IT, le simple fait d'utiliser le chiffrement peut constituer un motif pour vous traîner devant un tribunal. En tant que militants pour la liberté des utilisateurs, l'une de nos réponses devrait être de normaliser le cryptage autant que possible. Les dénonciateurs sont importants pour de nombreux types de liberté, y compris la liberté de l'utilisateur et nous devons nous assurer que les personnes dénonçant les violations de la licence publique générale (GPL), les rootkits de gestion des restrictions numériques (DRM) ou toute autre injustice technologique ne se distinguent pas de la foule par leur utilisation du chiffrement. Le fait que les gens prennent au sérieux l'idée que seuls les criminels utilisent le chiffrement devrait nous faire réfléchir : cela signifie que nous avons échoué dans notre objectif d'apporter la vie privée à la majorité des utilisateurs et que nous devons faire plus.
La première étape pour en faire plus ? Arrêter EARN-IT dans son élan. La FSF exhorte tous ses sympathisants à contacter les membres de leur congrès local et à leur conseiller de voter contre la loi EARN-IT. Où que vous soyez dans le monde, tenez bon dans votre campagne pour défendre le droit des lanceurs d'alerte et des gens ordinaires à protéger leurs communications de la surveillance massive. Après tout, le citoyen lambda d'aujourd'hui peut être amené à devenir le dénonciateur de demain.
L’UE dans une mouvance similaire
L'UE envisage d’obliger les fournisseurs de services en ligne à scanner de façon automatique des contenus suspects dans tous les chats, messages et courriels privés, ce, de manière générale et sans distinction. L'objectif : lutter contre les abus sexuels des enfants en ligne. Le projet de loi est à controverse si l’on s’en tient à des résultats des sondages – publiés par la Commission – qui montrent que les populations y voient l’instauration d’une surveillance de masse.
L'Union européenne a franchi un cap décisif dans sa lutte contre la pédophilie, la pédopornographie et toute autre forme d'abus que peuvent subir les enfants en ligne en approuvant – à mi-parcours de l’année précédente – la ePrivacy Derogation. Une majorité de membres du Parlement de l’UE avait adopté la loi qui permet aux fournisseurs de services de scanner toutes les correspondances privées. La proposition de la Commission en entente de présentation vient saler l’addition : Chatcontrol 1.0 prévoyait que la fouille des chats, messages et courriels privés soit effectuée par les fournisseurs de services en ligne de façon volontaire. Chatcontrol 2.0 (le texte en attente de présentation) les y oblige et s’applique aux communications chiffrées.
Les conséquences de la possible adoption de ce projet sont :
- toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
- si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
- les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la "sollicitation d'enfants" signalent souvent à tort les conversations intimes ;
- des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
- lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;
Source : GCHQ
Et vous ?
Un Internet sur le modèle chinois, c’est-à-dire contrôlé par les gouvernements, relève-t-il de l’inéluctable ?
Que pensez-vous des portes dérobées comme solution à l'affaiblissement du chiffrement d'un point de vue technique ? Est-ce une solution envisageable ?
Voir aussi :
Le DOJ prévoit de frapper le chiffrement alors que le fer du « Techlash » est chaud, en espérant que la loi anti-chiffrement australienne facilitera l'adoption d'une loi similaire aux USA
Un rapport de l'EFF révèle comment les trackers de données personnelles de la Big Tech se cachent dans les médias sociaux et les sites Web, et attaquent la vie privée des utilisateurs à chaque clic
Le Congrès US pourrait adopter EARN IT, le projet de loi qui met fin au chiffrement en ligne, malgré l'opposition des entreprises technologiques
Des sénateurs US présentent un projet de loi pour la protection des enfants qui sous-entend l'arrêt du chiffrement en ligne, et considéré par ses détracteurs comme un « cheval de Troie »