Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Signal, une plateforme de messagerie chiffrée, menace de se retirer du marché américain,
Si le projet de loi anti-chiffrement EARN IT est adopté

Le , par Stan Adkens

195PARTAGES

7  0 
EARN IT Act (Eliminating Abusive and Rampant Neglect of Interactive Technologies) est un projet de loi qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne. Signal, une application de messagerie qui offre un chiffrement de bout en bout, a averti mercredi qu’une éventuelle adoption de cette loi sapera le chiffrement de bout en bout, et a appelé ses utilisateurs à s'y opposer. En cas d’adoption du projet de loi, qui est sur la table du Sénat, l’application sera dans l’obligation de quitter le marché américain, a menacé Signal dans un billet de blog.

Selon le billet de blog publié par l'association à but non lucratif à l'origine de l'application gratuite, depuis le début de la pandémie de coronavirus, Signal a connu une forte augmentation de son trafic. « De nouveaux utilisateurs s'inscrivent à un rythme sans précédent, et nous avons augmenté la capacité de nos serveurs plus rapidement que nous ne l'avions prévu », lit-on dans le billet.


Mais mercredi, l'association a tiré la sonnette d'alarme autour du projet de loi EARN IT. « À un moment où plus de personnes que jamais bénéficient de ces protections (de chiffrement), le projet de loi EARN IT proposé par la commission judiciaire du Sénat menace de les mettre en danger », a écrit Joshua Lund, développeur chez Signal, dans le post.

Bien que l'objectif de cette nouvelle loi, qui bénéficie d'un soutien bipartite, soit d'éradiquer l'exploitation des enfants en ligne, elle y parvient en laissant le gouvernement américain imposer la manière dont les sociétés d’Internet doivent lutter contre ce problème - même si cela implique de saper le chiffrement de bout en bout qui protège les messages des fouineurs. Mais le problème est que les applications de messagerie chiffrées ne sont pas utilisées que par les méchants.

« Signal est recommandé par l'armée américaine. Il est couramment utilisé par les sénateurs et leur personnel. Les alliés américains de la Commission européenne sont également des utilisateurs de Signal. Le chiffrement de bout en bout est fondamental pour la sûreté, la sécurité et la confidentialité des conversations dans le monde entier », a dit l’association. En mars, les partisans de ce projet de loi ont fait venir des témoins devant le comité judiciaire du Sénat pour exprimer les faits d'abus sexuels dont ils (ou leurs proches) ont été victimes. Ces derniers ont tous appelé à l'adoption du projet de loi, car il sera un garde-fou pour empêcher la distribution et la redistribution de contenus d'abus sexuels d'enfant en ligne.

Les entreprises qui refuseront d’appliquer la loi une fois qu’elle sera adoptée risquent de perdre l'immunité juridique prévue par la section 230 de la loi Communications Decency Act, qui peut les mettre à l'abri de poursuites concernant des contenus répréhensibles ou illégaux publiés sur leurs sites Web ou leurs applications. « La loi EARN IT transforme la protection de l'article 230 en une hypocrite monnaie d'échange. À un niveau élevé, le projet de loi propose un système dans lequel les entreprises doivent obtenir la protection de la section 230 en suivant un ensemble de "meilleures pratiques" conçues par la commission et qui sont extraordinairement peu susceptibles de permettre un cryptage de bout en bout », a écrit l’association.

Elle prévient également que « Certains grands mastodontes de la technologie pourraient hypothétiquement supporter l'énorme charge financière que représente le traitement de centaines de nouvelles poursuites s'ils devenaient soudainement responsables des propos aléatoires de leurs utilisateurs, mais il ne serait pas possible pour une petite organisation à but non lucratif comme Signal de continuer à fonctionner aux États-Unis ».

EARN IT pourrait donner aux autorités le pouvoir de dicter la manière dont les sociétés d'Internet combattent l'exploitation des enfants en ligne

Selon Lund, les entreprises et organisations technologiques pourraient être contraintes de se délocaliser, et les nouvelles startups pourraient choisir de se lancer hors des Etats-Unis, si jamais elles sont contraintes d’abandonner le chiffrement de bout en bout. La raison pour laquelle Signal craint que le projet de loi ne compromette ce type de chiffrement est qu'il donne au procureur général américain William Barr - l'un des principaux critiques du chiffrement - le pouvoir de dicter la manière dont les sociétés d’Internet combattent l'exploitation des enfants en ligne.


En effet, au cours des derniers mois, M. Barr a demandé à Facebook de revenir sur son projet d'étendre le chiffrement de bout en bout à l'ensemble de ses services, en affirmant que cette technologie empêche les forces de l'ordre de traquer les criminels, y compris les délinquants sexuels qui s'en prennent aux enfants. Ce dernier a écrit à Facebook en octobre dernier en ces termes : « Les entreprises ne devraient pas délibérément concevoir leurs systèmes de manière à empêcher toute forme d'accès au contenu, même pour prévenir ou enquêter sur les crimes les plus graves ». « Cela met nos citoyens et nos sociétés en danger en érodant gravement la capacité d'une entreprise à détecter et à répondre aux contenus et activités illégaux, tels que l'exploitation et les abus sexuels des enfants, le terrorisme », a-t-il ajouté.

Toutefois, selon Signal, les efforts visant à saper le chiffrement de bout en bout risquent de ne pas faire de mal seulement qu’aux véritables criminels, qui choisiront simplement d'autres moyens de masquer leurs activités en ligne. « Si un logiciel facile à utiliser comme Signal devenait inaccessible, la sécurité de millions d'Américains (y compris les élus et les membres des forces armées) serait affectée de manière négative », selon Lund. « Pendant ce temps, les criminels continueraient simplement à utiliser des logiciels largement disponibles (mais moins pratiques) pour sauter à travers les cerceaux et continuer à avoir des conversations chiffrées », a-t-il ajouté.

Le projet de loi fait face à des contestations

Les législateurs, qui s’opposent au projet de loi, invoquent le risque d'abus. « Cette terrible loi est un cheval de Troie pour donner au procureur général Barr et à Donald Trump le pouvoir de contrôler les discours en ligne et d'exiger que le gouvernement ait accès à tous les aspects de la vie des Américains », a déclaré le sénateur Ron Wyden (D-Oregon) le mois dernier.

L'Electronic Frontier Foundation (EFF) fait partie des détracteurs de EARN IT. Selon Joe Mullin, analyste des politiques chez l’EFF, le projet de loi que la commission judiciaire du Sénat espère faire passer pourrait imposer un logiciel approuvé par le gouvernement qui scannerait chaque message envoyé par les utilisateurs. Selon M. Mullin, « les entreprises qui traitent ces messages ne seraient pas autorisées à les chiffrer de manière sécurisée, ou elles perdraient les protections juridiques qui leur permettent de fonctionner », a-t-il déclaré dans un article le mois dernier.

Riana Pfefferkorn, directrice associée de la surveillance et de la cybersécurité au Stanford Center for Internet and Society, est aussi contre le projet de loi. Selon Signal, elle a rédigé une analyse détaillée de certains des nombreux problèmes que pose ce projet de loi. Elle souligne notamment que le projet de loi donnerait un pouvoir sans précédent au procureur général William Barr, « qui deviendrait l'arbitre de toute recommandation de la commission des "meilleures pratiques" que le projet de loi EARN IT créerait », a rapporté Lund.

Mais le projet de loi a également reçu le soutien des sénateurs démocrates américains et républicains. « Notre objectif est de le faire d'une manière équilibrée qui n'entrave pas trop l'innovation, mais qui s'attaque par la force à l'exploitation des enfants », a déclaré le mois dernier le sénateur américain Lindsey Graham en annonçant la loi. « En termes simples, les entreprises technologiques doivent faire mieux », a ajouté le sénateur Richard Blumenthal. « Les entreprises technologiques disposent d'une protection spéciale extraordinaire contre la responsabilité juridique, mais cette protection unique s'accompagne d'une responsabilité ».

Signal encourage les citoyens américains à prendre contact avec leurs élus et à exprimer leur opposition au projet de loi EARN IT via le centre d'action de l’EFF.

Un commentateur ne comprend pas pourquoi la police ne peut pas retrouver les criminels à cause des chats chiffrés de bout en bout. « Il n'est pas nécessaire de connaître le contenu d'un chat pour glaner des quantités massives de métadonnées », a-t-il écrit. Pour lui, « Si Facebook Messenger et WhatsApp sont véritablement chiffrés E2E, Facebook pourra toujours savoir en temps réel qui parle à qui, quelle est son adresse IP et, éventuellement, sa localisation réelle (s'il utilise l'application sur son téléphone). Cela peut être utilisé pour créer un profil de signature... »

Aussi, écrit-il, « Les terroristes et les pédophiles les plus dangereux utilisent des moyens de communication bien plus sophistiqués que Wire, Signal, WhatsApp, Wickr, etc. » Et vous, qu’en pensez-vous ?

Source : Signal

Et vous ?

Que pensez-vous de l’appel de Signal ?
Vous aussi, pensez-vous comme le commentateur qu’il n’est pas nécessaire de prendre le risque d’affaiblir le chiffrement E2E afin de retrouver les criminels en ligne ?

Lire aussi

USA : l'EFF encourage les internautes à faire entendre leurs voix contre le projet de loi EARN IT, qui pourrait donner aux autorités la possibilité d'exiger un affaiblissement du chiffrement
Le projet de loi EARN IT serait le plan du gouvernement pour scanner chaque message en ligne, grâce à un logiciel approuvé par le gouvernement, selon l'EFF
Le Congrès US pourrait adopter EARN IT, le projet de loi qui met fin au chiffrement en ligne, malgré l'opposition des entreprises technologiques
Les USA demandent à Facebook de ne pas procéder au chiffrement de bout en bout de ses services de messagerie, pour être en mesure de mieux protéger les enfants

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de pvanhuyse
Nouveau membre du Club https://www.developpez.com
Le 16/04/2020 à 8:22
Réduire les libertés sous prétexte de sécurité, un vieux classique.
4  0 
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 14/04/2020 à 10:17
j'en pense que s'ils cherchaient vraiment à entraver les communications des pédocriminels, c'est mal barré. On a des exemples de communications entre terroristes ou criminels dans des tas de séries, sans passer par des tuyaux chiffrés de bout en bout, suffit juste de trouver un coin discret. un IRC paumé, le chat de la playstation, les commentaires d'un blog...

Mais bon, visiblement ils ne cherchent plus qu'à convaincre les idiots que leur but est vraiment ça, et pas juste de la surveillance de masse.
3  0 
Avatar de
https://www.developpez.com
Le 15/04/2020 à 21:03
C'est singulier comme démarche juridique, car "Il pointe également l’ambivalence de la proposition de loi, puisque Signal est activement utilisé et recommandé par l’armée américaine, au Sénat ainsi que dans les communications avec les alliés du pays, notamment européens."

Ah !
2  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 06/07/2020 à 16:41
Citation Envoyé par el_slapper Voir le message
Tous les experts en sécurité m'ont dit la même chose :

  1. une porte dérobée, c'est une porte
  2. une porte, pour un hacker, c'est toujours une porte ouverte


Et j'ai tendance à les croire.
Mmmm.... je serais un peu plus nuancé, c'est juste mon esprit de contradiction et de pinaillage.

Le problème des backdoors est qu'elles sont généralement très peu sécurisées, et se reposent sur une sécurité par l'obscurité (très nul), ou donnent accès à bien trop de données si jamais elles étaient exploitées.

Par exemple, un compte backdoor sur Windows n'a pas de raison d'être moins sécurisé que votre e.g. mot de passe. Le problème c'est que si on vole votre mot de passe, on n'a accès qu'à votre compte, alors que si on exploite la backdoor, on a accès à tous les ordinateurs Windows.

Les backdoors deviennent alors très attractives, dont les attaquants, sont bien plus motivés et y mettent bien plus de moyens. Par sûr e.g. que la Chine utilise tous ses super-calculateurs pour trouver mon mot de passe Windows... en revanche, pour trouver une backdoor sur l'ensemble des ordinateurs Windows... c'est tout de suite bien plus intéressant.

Après il existe des technologies de fonctions avec trappes, de dés-anonymisations, qui sont un peu comme des backdoors. Mais quand on le fait, c'est pas des guignols de politiciens qui se penchent dessus. C'est pas une clé globale stockée n'importe où qui donne accès à toutes les données, ni même censée être très utilisée.

Par exemple, un cas d'usage est pour les dossiers médicaux. Seul vous et votre médecin devez pouvoir consulter vos données médicales, donc être chiffrées de sorte à ce que celui vous et votre médecin puissiez y accéder. Le problème est... que se passe-t-il si vous vous retrouvez à l'hôpital inconscient dans un cas urgent ? Votre médecin n'est pas là, et vous êtes inconscient. Il y a alors besoin d'une "backdoor", que certains personnels médicaux pourront utiliser... mais en conservant les traces des accès avec tout un cadre protocolaire et juridique.

Si on reprend la problématique, en soit avoir une backdoor sur nos communications chiffrées, ça peut se faire... il faudrait tout un protocole, avec plusieurs personnes possédant une "partie" de clé personnelle, e.g. un juge, un policier, le FAI, avec un enregistrement des accès, une procédure juridique, et sur un ensemble de données limitées, à la fois temporellement, et cibler une personne précise. C'est compliqué, cela fait intervenir des pans de recherches en crypto, c'est loin d'être trivial.

Pas comme ce qu'ils veulent faire et donner une clé à la NSA pour que ce soit la fête du slip.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 07/07/2020 à 9:20
oui, on est d'accord. J'ai donné le principe de base, tu rentres beaucoup plus dans les détails.

D'ailleurs, ton histoire de dossiers médicaux, je connais bien. On appelle ça le "bris de glace". Et c'est soumis à autorisation et audité de partout, en effet. Pour moi, ce n'est pas une backdoor, c'est un accès autorisé aux données. Avec des procédures bien particulières. Une backdoor, c'est donner les clefs de la base à quelqu'un. Un bris de glace, c'est tamponner administrativement le droit, via l'interface utilisateur, le droit à quelques professionnels de santé d'accéder à un dossier médical unique.

En hospitalier, il est interdit de faire des delete. On met à jour les données. Si elles sont obsolètes, voire fausses, le système rajoute une date de fin de validité. Mais jamais de suppression. C'est interdit. Ca (plus d'autres mécanismes) permet d’auditer tout ce qui c'est passé. Effectivement, si tu donnes les clefs de la base à quelqu'un, le Delete devient possible. Outre le fait que ça corromprait méchamment la base (conçue pour que jamais rien ne soit supprimé), ça donnerait le droit de faire des choses qui sont clairement illégales(et pas par hasard).

Donc je fais la différence entre une backdoor et un bris de glace. La seconde est propre et maîtrisée. Evidemment, ces crétins ivres de leur pouvoir veulent la première - qui est catastrophique à tous les points de vue, sauf quand on veut faire du dégât.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 07/07/2020 à 13:19
Citation Envoyé par Neckara Voir le message
Je ne connaissais pas cette terminologie.

Pour une vraie Backdoor sinon, on a les comptes admins sur les ordinateurs professionnels auxquels les sysadmins ont généralement accès. C'est utile, mais c'est vrai que pour le coup faut leur faire confiance.

Peut-être devraient-ils eux aussi avoir une procédure "bris de glace", pour déverrouiller l'accès à ce compte admin.
C'est une terminologie médicale, je ne sais pas si ça existe ailleurs. Et c'est complètement contrôlé par l'application. Un admin (au sens fonctionnel, souvent un cadre de santé, pas forcément un admin technique) donne à l'utilisateur des droits bris de glace sur un patient, et le docteur/infirmier/pharmacien a soudain accès aux données concernant le patient en question. Un équivalent pourrait être intéressant en effet, mais il nécessite d'abord d'identifier les besoins réels, et de mettre en place une interface et des procédures qui permettent d'agir sur le domaine ou l'urgence l'exige. Ce n'est pas ça qu'ils veulent. Ce qu'ils veulent, c'est les pleins pouvoirs sur les données.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 15/04/2020 à 23:02
Citation Envoyé par DevTroglodyte Voir le message
j'en pense que s'ils cherchaient vraiment à entraver les communications des pédocriminels, c'est mal barré. On a des exemples de communications entre terroristes ou criminels dans des tas de séries, sans passer par des tuyaux chiffrés de bout en bout, suffit juste de trouver un coin discret. un IRC paumé, le chat de la playstation, les commentaires d'un blog...

Mais bon, visiblement ils ne cherchent plus qu'à convaincre les idiots que leur but est vraiment ça, et pas juste de la surveillance de masse.
ou la stéganographie. Tu envoies une vidéo parfaitement légitime et anodine...avec quelques pixels changés de manière stratégique. Indétectable - et pourtant non chiffré. Bon, les djihadistes utilisaient du porno, pour ça, dans le temps. Mais ça marche aussi avec des vidéos de chat.
1  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 06/07/2020 à 14:53
Bonjour

Que pensez-vous des craintes de Mozilla ? Les partagez-vous ?
Tout a fait. A cause d'une minorité qui utilisent de manière peu ragoûtante des messageries cryptées, les utilisateurs de bonnes n'ont pas à pâtir d'un risque de sécurité ... en cassant le chiffrement. Cela reviendrait à exiger que la poste fasse transiter chaque colis et lettre dans des emballages translucides au motif que des petits malins font transiter des choses illicites. On se rend bien compte que pour la sécurité de ce qui est légitime on crée des incendies strictement inutiles ...

Que pensez-vous des amendements apportés au projet de loi ?
Les portes "dérobées légales" n'existent pas . Le jour ou l'on ordonne des portes dérobées pour la police et que la porte est exploitée par des truands qui pompent la data en open bar on fait quoi ? On dit a si on avait su ?

J'espère vraiment que ceux qui essayent de faire passer si type de loi vont se rendre compte que cela concerne aussi des flux de types bancaire/médicaux/financier/judiciaire ... bah oui on peut aussi interagir via MP sur des sites web avec des organismes légitimes ... Cela tombe aussi sous le coup de la loi.

Selon l’EFF, le chiffrement est toujours menacé, malgré les amendements. Qu’en pensez-vous ?
Oui toujours , car on parle d'une porte dérobée "que pour le police". Le jour ou une taupe interne à une administration exploite le filon ou revend l'information ... le mal est déjà fait ... Et il sera trop tard pour dire "si on avait su" car des méconnaissant auront ordonné et voté comme des moutons sur un sujet qu'ils ne maîtrisent pas. Au moins ils sont prévenu. Et le jour ou il y a un problème j’espère qu'ils répondront de leur fautes devant des tribunaux ... et non des informaticiens exécutants ... C'est un peu fort de café de faire porter le chapeau aux autres.
1  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 06/07/2020 à 15:34
Tous les experts en sécurité m'ont dit la même chose :

  1. une porte dérobée, c'est une porte
  2. une porte, pour un hacker, c'est toujours une porte ouverte


Et j'ai tendance à les croire.
1  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 07/07/2020 à 9:48
Citation Envoyé par el_slapper Voir le message
Donc je fais la différence entre une backdoor et un bris de glace.
Je ne connaissais pas cette terminologie.

Pour une vraie Backdoor sinon, on a les comptes admins sur les ordinateurs professionnels auxquels les sysadmins ont généralement accès. C'est utile, mais c'est vrai que pour le coup faut leur faire confiance.

Peut-être devraient-ils eux aussi avoir une procédure "bris de glace", pour déverrouiller l'accès à ce compte admin.
0  0