L'enfer est pavé de bonnes intentions
Les gouvernements ont la responsabilité de protéger leurs citoyens. Au nom de cette responsabilité, ils estiment parfois devoir fouiller dans la vie privée de leurs concitoyens, brandissant des jokers comme la sécurité nationale, la protection des enfants et autres motifs qui suscitent de vives émotions.
Le problème qui se profile est qu'une fois que les « mesures de protection » sont mises en place, même avec les meilleures intentions du monde, elles sont généralement vulnérables à la dérive de la mission.
Parlons par exemple du système de blocage de contenu Cleanfeed mis en œuvre au Royaume-Uni par BT, le plus grand fournisseur Internet de Grande-Bretagne, le premier à bloquer la liste de contenu d'images d'abus d'enfants de l'Internet Watch Foundation. Il a été créé en 2003 et mis en ligne en juin 2004.
Développé à un coût estimé à 500 000 £, le but déclaré était d'empêcher l'accès au matériel pédopornographique. Pour la plupart des gens dans la société, cela était considéré comme une décision positive, mais quelques années plus tard, l'existence même de Cleanfeed était considérée comme une opportunité.
Dans un effort pour supprimer l'indexeur Usenet Newzbin, les studios hollywoodiens ont demandé et obtenu une injonction qui obligeait BT à utiliser Cleanfeed pour bloquer le site, les studios admettant que la société était ciblée parce qu'elle disposait des outils nécessaires pour mettre en œuvre le blocage.
La situation était donc loin de correspondre à sa mission première relative à la protection de l'enfance : la technologie mise sur place dans cette optique a été détournée de son objectif. Ainsi, rien qu'en juin 2023, plus de 850 nouvelles entrées sont apparues sur les listes de blocage des FAI britanniques.
Le gouvernement français dit vouloir protéger sa population
La volonté du gouvernement français d'empêcher les enfants d'accéder à du contenu pornographique en ligne est bien documentée. Peu de gens contestent que les sites largement disponibles et librement accessibles ne conviennent pas aux mineurs, mais dans un monde où la responsabilité parentale est considérée comme démodée, pour ne pas dire inefficace, la France estime que la législation est le seul moyen de protéger les enfants du pays.
Parallèlement, le gouvernement est sur le point d'adopter une nouvelle loi visant à protéger les adultes des dangers de la fraude en ligne. Compte tenu de l'ampleur du problème et de l'absence de réponse des forces de l'ordre à l'échelle mondiale, qu'est-ce qui pourrait mal se passer ? Selon Mozilla, la structure derrière le navigateur Firefox, presque rien - si c'est fait correctement, du moins.
Quels sont les risques d’un blocage des sites web via le navigateur ?
Le blocage des sites web via le navigateur est une mesure technique qui consiste à empêcher l’accès à certains contenus en fonction de leur adresse URL. Contrairement au filtrage par les fournisseurs d’accès à internet (FAI), qui peut être contourné par l’utilisation d’un VPN ou d’un proxy, le blocage par le navigateur rend impossible la consultation des sites web interdits, sauf à changer de navigateur ou à modifier son fichier hosts.
Cette mesure présente plusieurs risques pour l’internet ouvert mondial :
- Elle remet en cause le principe de neutralité du net, qui garantit que tous les contenus sont traités de manière égale sur internet, sans discrimination ni interférence. En imposant aux navigateurs de bloquer certains sites web, le gouvernement français se donne le pouvoir de décider quels contenus sont légitimes ou non, sans passer par une autorité judiciaire indépendante ni respecter le droit à un recours effectif.
- Elle porte atteinte à la liberté d’expression et au droit à l’information des utilisateurs, qui se voient privés de l’accès à des sources diverses et potentiellement critiques. Le blocage des sites web via le navigateur pourrait avoir un effet dissuasif sur les éditeurs de contenus, qui pourraient s’autocensurer par peur de figurer sur la liste noire du gouvernement. Il pourrait aussi entraîner des erreurs ou des abus, comme le blocage de sites web légitimes par erreur ou pour des raisons politiques.
- Elle compromet la sécurité et la confidentialité des utilisateurs, qui sont exposés à des risques accrus de piratage, de surveillance ou de censure. Le blocage des sites web via le navigateur implique que les navigateurs doivent communiquer avec le gouvernement pour recevoir la liste des sites web interdits, ce qui crée une faille potentielle dans la protection des données personnelles. Il implique aussi que les navigateurs doivent modifier leur fonctionnement normal, ce qui peut affecter leur performance, leur stabilité ou leur compatibilité avec les standards du web.
Mozilla met en garde
Ci-dessous un extrait du billet de Mozilla.
Dans une tentative louable, mais périlleuse de lutter contre la fraude en ligne, la France s’apprête à obliger les créateurs de navigateurs à mettre en œuvre une fonctionnalité technique relevant de la dystopie. L’article 6 du projet de loi SREN obligerait les développeurs de navigateur à créer les moyens de bloquer obligatoirement les sites web figurant sur une liste fournie par le gouvernement et intégrée directement dans le navigateur. Une telle mesure renverserait des décennies de normes établies en matière de modération des contenus. Celle-ci fournira également aux gouvernements autoritaires un moyen de minimiser l’efficacité des outils qui peuvent être utilisés pour contourner la censure.
Malgré sa motivation légitime, cette mesure qui vise à bloquer des sites web directement dans le navigateur serait un désastre pour un Internet libre et serait disproportionnée par rapport aux objectifs du projet de loi, à savoir la lutte contre la fraude. Elle instaurerait également un précédent inquiétant et des capacités techniques que d’autres régimes exploiteront à des fins bien plus néfastes. Pour atteindre les objectifs de cette législation, il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et l‘hameçonnage (phishing) plutôt que de les remplacer par des listes de blocage de sites web imposées par le gouvernement.
Navigateurs et systèmes de protection contre le hameçonnage
Les navigateurs ont été un élément clé de l’expansion du Web, en servant d’agents utilisateurs qui facilitent nos interactions sur Internet. Ce rôle, dont Mozilla est un acteur à part entière depuis plus de 25 ans via Firefox, repose sur quelques présomptions fondamentales qui permettent aux navigateurs de se concentrer sur les intérêts de leurs utilisateurs et utilisatrices tout en laissant les décisions relatives à la réglementation du contenu plus en amont de la chaîne, entre les intermédiaires du réseau (tels que les fournisseurs d’accès à Internet) ou les éditeurs de services (sites web).
Les deux systèmes de protection contre les logiciels malveillants et l’hameçonnage les plus utilisés dans l’industrie sont Safe Browsing de Google et Smart Screen de Microsoft, Mozilla (ainsi qu’Apple, Brave et bien d’autres) utilisant Safe Browsing de Google. Le service Safe Browsing existe depuis au moins 2005 et protège actuellement près de la moitié de la population mondiale en ligne sur divers appareils et logiciels. Il couvre les logiciels malveillants, les logiciels indésirables et l’ingénierie sociale (hameçonnage et autres sites trompeurs). Il dispose également de politiques générales assez robustes et est également disponible via une API gratuite, ce qui en fait un moyen simple pour les organisations de protéger les utilisateurs.
Firefox utilise l’offre Safe Browsing de Google depuis 2007 et dispose d’une implémentation unique qui protège la vie privée des utilisateurs tout en les empêchant d’être victimes de logiciels malveillants et d’hameçonnage. Ce paramètre peut également être désactivé par les utilisateurs à tout moment, ce qui leur permet de garder le contrôle de leur expérience sur le Web.
On pourrait penser que les pratiques actuelles du secteur de la protection contre les logiciels malveillants et le hameçonnage ne sont pas très différentes de la proposition française. C’est loin d’être le cas, car le principal facteur de différenciation est qu’elles ne bloquent pas les sites web, mais se contentent d’avertir les utilisateurs des risques et de leur permettre d’accéder aux sites web s’ils choisissent de l’accepter. Ce type de langage n’est pas présent dans la proposition actuelle, qui se concentre sur le blocage. Il n’y a pas non plus de référence à des implémentations préservant la vie privée ou à des mécanismes empêchant l’utilisation de cette fonction à d’autres fins. En fait, la possibilité pour un gouvernement d’exiger qu’un certain site web ne s’ouvre pas du tout sur un navigateur/système est un terrain inconnu et même les régimes les plus répressifs dans le monde préfèrent jusqu’à présent bloquer les sites web en amont du réseau (fournisseurs d’accès à Internet, etc.).
Un précédent mondial
Forcer les navigateurs à créer des fonctionnalités permettant de bloquer des sites web au niveau du navigateur est une pente glissante. Bien qu’elle ne soit envisagée aujourd’hui en France que pour les logiciels malveillants et l’hameçonnage, cette mesure créera un précédent et donnera aux navigateurs la capacité technique de réaliser tout ce qu’un gouvernement pourrait vouloir restreindre ou criminaliser dans une juridiction donnée, et ce, pour toujours. Un monde dans lequel les navigateurs peuvent être forcés d’incorporer une liste de sites web interdits au niveau logiciel qui ne s’ouvrent tout simplement pas, que ce soit dans une région ou dans le monde entier, est une perspective inquiétante qui soulève de sérieuses préoccupations en matière de liberté d’expression. Si cette loi est adoptée, le précédent qu’elle créerait rendrait beaucoup plus difficile pour les navigateurs de rejeter les demandes de ce type émanant d’autres gouvernements.
De meilleures solutions existent
Plutôt que d’imposer un blocage basé sur le navigateur, nous pensons que la législation devrait se concentrer sur l’amélioration des mécanismes existants déjà utilisés par les navigateurs – des services tels que Safe Browsing et Smart Screen. La loi devrait plutôt se concentrer sur l’établissement de délais clairs et raisonnables dans lesquels les principaux systèmes de protection contre l’hameçonnage devraient traiter les demandes légitimes d’inclusion de sites web émanant d’agences gouvernementales autorisées. Toutes ces demandes d’inclusion devraient être basées sur un ensemble solide de critères publics limités aux sites d’hameçonnage/escroquerie, faire l’objet d’un examen indépendant par des experts et expertes et contenir des mécanismes d’appel judiciaire au cas où une demande d’inclusion serait rejetée par un éditeur. Un tel cadre juridique créerait un mécanisme de coordination bien plus équilibré qu’une proposition de blocage de sites web, et qui protégerait les utilisateurs non seulement en France, mais dans le monde entier. Tirer parti des offres déjà présentes sur des milliards d’appareils et de logiciels pour lutter contre la fraude est une solution bien plus efficace que de tenter de réinventer la roue avec un blocage de sites web basé sur le navigateur.
Conclusion
Mozilla estime que la proposition française de bloquer les sites web via le navigateur est une mesure disproportionnée et dangereuse pour l’internet ouvert mondial. Elle menace la neutralité du net, la liberté d’expression et la sécurité des utilisateurs. Elle crée aussi un précédent inquiétant pour d’autres pays qui pourraient s’inspirer de ce modèle pour censurer ou contrôler l’accès à l’information sur internet. Pour lutter efficacement contre la fraude en ligne, il faut privilégier des solutions qui respectent les droits et libertés des utilisateurs, comme la coopération internationale, l’éducation et les outils de protection existants.
Sources : Mozilla, projet de loi visant à sécuriser et réguler l’espace numérique
Et vous ?
Que pensez-vous de la proposition française de bloquer les sites web via le navigateur ?
Quels sont les avantages et les inconvénients de cette mesure pour les utilisateurs et les éditeurs de contenus ?
Quelles sont les alternatives que vous préconisez pour lutter contre la fraude en ligne ?
Avez-vous déjà été victime ou témoin d’une fraude en ligne ? Si oui, comment avez-vous réagi ?
Quels sont les outils ou les conseils que vous utilisez pour vous protéger des logiciels malveillants et de l’hameçonnage sur internet ?