IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Signal, une plateforme de messagerie chiffrée, menace de se retirer du marché américain,
Si le projet de loi anti-chiffrement EARN IT est adopté

Le , par Stan Adkens
70 commentaires

209PARTAGES

8  0 
EARN IT Act (Eliminating Abusive and Rampant Neglect of Interactive Technologies) est un projet de loi qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne. Signal, une application de messagerie qui offre un chiffrement de bout en bout, a averti mercredi qu’une éventuelle adoption de cette loi sapera le chiffrement de bout en bout, et a appelé ses utilisateurs à s'y opposer. En cas d’adoption du projet de loi, qui est sur la table du Sénat, l’application sera dans l’obligation de quitter le marché américain, a menacé Signal dans un billet de blog.

Selon le billet de blog publié par l'association à but non lucratif à l'origine de l'application gratuite, depuis le début de la pandémie de coronavirus, Signal a connu une forte augmentation de son trafic. « De nouveaux utilisateurs s'inscrivent à un rythme sans précédent, et nous avons augmenté la capacité de nos serveurs plus rapidement que nous ne l'avions prévu », lit-on dans le billet.


Mais mercredi, l'association a tiré la sonnette d'alarme autour du projet de loi EARN IT. « À un moment où plus de personnes que jamais bénéficient de ces protections (de chiffrement), le projet de loi EARN IT proposé par la commission judiciaire du Sénat menace de les mettre en danger », a écrit Joshua Lund, développeur chez Signal, dans le post.

Bien que l'objectif de cette nouvelle loi, qui bénéficie d'un soutien bipartite, soit d'éradiquer l'exploitation des enfants en ligne, elle y parvient en laissant le gouvernement américain imposer la manière dont les sociétés d’Internet doivent lutter contre ce problème - même si cela implique de saper le chiffrement de bout en bout qui protège les messages des fouineurs. Mais le problème est que les applications de messagerie chiffrées ne sont pas utilisées que par les méchants.

« Signal est recommandé par l'armée américaine. Il est couramment utilisé par les sénateurs et leur personnel. Les alliés américains de la Commission européenne sont également des utilisateurs de Signal. Le chiffrement de bout en bout est fondamental pour la sûreté, la sécurité et la confidentialité des conversations dans le monde entier », a dit l’association. En mars, les partisans de ce projet de loi ont fait venir des témoins devant le comité judiciaire du Sénat pour exprimer les faits d'abus sexuels dont ils (ou leurs proches) ont été victimes. Ces derniers ont tous appelé à l'adoption du projet de loi, car il sera un garde-fou pour empêcher la distribution et la redistribution de contenus d'abus sexuels d'enfant en ligne.

Les entreprises qui refuseront d’appliquer la loi une fois qu’elle sera adoptée risquent de perdre l'immunité juridique prévue par la section 230 de la loi Communications Decency Act, qui peut les mettre à l'abri de poursuites concernant des contenus répréhensibles ou illégaux publiés sur leurs sites Web ou leurs applications. « La loi EARN IT transforme la protection de l'article 230 en une hypocrite monnaie d'échange. À un niveau élevé, le projet de loi propose un système dans lequel les entreprises doivent obtenir la protection de la section 230 en suivant un ensemble de "meilleures pratiques" conçues par la commission et qui sont extraordinairement peu susceptibles de permettre un cryptage de bout en bout », a écrit l’association.

Elle prévient également que « Certains grands mastodontes de la technologie pourraient hypothétiquement supporter l'énorme charge financière que représente le traitement de centaines de nouvelles poursuites s'ils devenaient soudainement responsables des propos aléatoires de leurs utilisateurs, mais il ne serait pas possible pour une petite organisation à but non lucratif comme Signal de continuer à fonctionner aux États-Unis ».

EARN IT pourrait donner aux autorités le pouvoir de dicter la manière dont les sociétés d'Internet combattent l'exploitation des enfants en ligne

Selon Lund, les entreprises et organisations technologiques pourraient être contraintes de se délocaliser, et les nouvelles startups pourraient choisir de se lancer hors des Etats-Unis, si jamais elles sont contraintes d’abandonner le chiffrement de bout en bout. La raison pour laquelle Signal craint que le projet de loi ne compromette ce type de chiffrement est qu'il donne au procureur général américain William Barr - l'un des principaux critiques du chiffrement - le pouvoir de dicter la manière dont les sociétés d’Internet combattent l'exploitation des enfants en ligne.


En effet, au cours des derniers mois, M. Barr a demandé à Facebook de revenir sur son projet d'étendre le chiffrement de bout en bout à l'ensemble de ses services, en affirmant que cette technologie empêche les forces de l'ordre de traquer les criminels, y compris les délinquants sexuels qui s'en prennent aux enfants. Ce dernier a écrit à Facebook en octobre dernier en ces termes : « Les entreprises ne devraient pas délibérément concevoir leurs systèmes de manière à empêcher toute forme d'accès au contenu, même pour prévenir ou enquêter sur les crimes les plus graves ». « Cela met nos citoyens et nos sociétés en danger en érodant gravement la capacité d'une entreprise à détecter et à répondre aux contenus et activités illégaux, tels que l'exploitation et les abus sexuels des enfants, le terrorisme », a-t-il ajouté.

Toutefois, selon Signal, les efforts visant à saper le chiffrement de bout en bout risquent de ne pas faire de mal seulement qu’aux véritables criminels, qui choisiront simplement d'autres moyens de masquer leurs activités en ligne. « Si un logiciel facile à utiliser comme Signal devenait inaccessible, la sécurité de millions d'Américains (y compris les élus et les membres des forces armées) serait affectée de manière négative », selon Lund. « Pendant ce temps, les criminels continueraient simplement à utiliser des logiciels largement disponibles (mais moins pratiques) pour sauter à travers les cerceaux et continuer à avoir des conversations chiffrées », a-t-il ajouté.

Le projet de loi fait face à des contestations

Les législateurs, qui s’opposent au projet de loi, invoquent le risque d'abus. « Cette terrible loi est un cheval de Troie pour donner au procureur général Barr et à Donald Trump le pouvoir de contrôler les discours en ligne et d'exiger que le gouvernement ait accès à tous les aspects de la vie des Américains », a déclaré le sénateur Ron Wyden (D-Oregon) le mois dernier.

L'Electronic Frontier Foundation (EFF) fait partie des détracteurs de EARN IT. Selon Joe Mullin, analyste des politiques chez l’EFF, le projet de loi que la commission judiciaire du Sénat espère faire passer pourrait imposer un logiciel approuvé par le gouvernement qui scannerait chaque message envoyé par les utilisateurs. Selon M. Mullin, « les entreprises qui traitent ces messages ne seraient pas autorisées à les chiffrer de manière sécurisée, ou elles perdraient les protections juridiques qui leur permettent de fonctionner », a-t-il déclaré dans un article le mois dernier.

Riana Pfefferkorn, directrice associée de la surveillance et de la cybersécurité au Stanford Center for Internet and Society, est aussi contre le projet de loi. Selon Signal, elle a rédigé une analyse détaillée de certains des nombreux problèmes que pose ce projet de loi. Elle souligne notamment que le projet de loi donnerait un pouvoir sans précédent au procureur général William Barr, « qui deviendrait l'arbitre de toute recommandation de la commission des "meilleures pratiques" que le projet de loi EARN IT créerait », a rapporté Lund.

Mais le projet de loi a également reçu le soutien des sénateurs démocrates américains et républicains. « Notre objectif est de le faire d'une manière équilibrée qui n'entrave pas trop l'innovation, mais qui s'attaque par la force à l'exploitation des enfants », a déclaré le mois dernier le sénateur américain Lindsey Graham en annonçant la loi. « En termes simples, les entreprises technologiques doivent faire mieux », a ajouté le sénateur Richard Blumenthal. « Les entreprises technologiques disposent d'une protection spéciale extraordinaire contre la responsabilité juridique, mais cette protection unique s'accompagne d'une responsabilité ».

Signal encourage les citoyens américains à prendre contact avec leurs élus et à exprimer leur opposition au projet de loi EARN IT via le centre d'action de l’EFF.

Un commentateur ne comprend pas pourquoi la police ne peut pas retrouver les criminels à cause des chats chiffrés de bout en bout. « Il n'est pas nécessaire de connaître le contenu d'un chat pour glaner des quantités massives de métadonnées », a-t-il écrit. Pour lui, « Si Facebook Messenger et WhatsApp sont véritablement chiffrés E2E, Facebook pourra toujours savoir en temps réel qui parle à qui, quelle est son adresse IP et, éventuellement, sa localisation réelle (s'il utilise l'application sur son téléphone). Cela peut être utilisé pour créer un profil de signature... »

Aussi, écrit-il, « Les terroristes et les pédophiles les plus dangereux utilisent des moyens de communication bien plus sophistiqués que Wire, Signal, WhatsApp, Wickr, etc. » Et vous, qu’en pensez-vous ?

Source : Signal

Et vous ?

Que pensez-vous de l’appel de Signal ?
Vous aussi, pensez-vous comme le commentateur qu’il n’est pas nécessaire de prendre le risque d’affaiblir le chiffrement E2E afin de retrouver les criminels en ligne ?

Lire aussi

USA : l'EFF encourage les internautes à faire entendre leurs voix contre le projet de loi EARN IT, qui pourrait donner aux autorités la possibilité d'exiger un affaiblissement du chiffrement
Le projet de loi EARN IT serait le plan du gouvernement pour scanner chaque message en ligne, grâce à un logiciel approuvé par le gouvernement, selon l'EFF
Le Congrès US pourrait adopter EARN IT, le projet de loi qui met fin au chiffrement en ligne, malgré l'opposition des entreprises technologiques
Les USA demandent à Facebook de ne pas procéder au chiffrement de bout en bout de ses services de messagerie, pour être en mesure de mieux protéger les enfants

Une erreur dans cette actualité ? Signalez-le nous !

70 commentaires
Commenter Signaler un problème
pvanhuyse
Avatar de pvanhuyse
Nouveau membre du Club https://www.developpez.com
Le 16/04/2020 à 8:22
Réduire les libertés sous prétexte de sécurité, un vieux classique.
5  0 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 04/02/2022 à 18:48
Comment faisait-on avant internet ? A part déranger les utilisateurs dans leur vie privée, je ne vois pas ce que cette nouvelle loi va servir. En cas de soupçon, au lieu d'un espionnage de masse, faire appel à un juge pour mettre sur écoute par dérogation . Les écoutes doivent demeurer une exception. Et enplus, c'est plus discret qu'une loi qui annonce le total droit des communications.

Face à la recrudescence des morts par arme à feu aux Etats-Unis, il y a peut-être plus urgent à écouter. Je suis curieux de savoir combien il y a de meurtrier par rapport aux enfants battus. Pas qu'un enfant battu ne risque pas de mourir sous les coups, mais peut-être valide-t-on par cette loi un état de faits : des écoutes massives illégales.
5  0 
Christian_B
Avatar de Christian_B
Membre éclairé https://www.developpez.com
Le 12/02/2022 à 11:01
Prétexte, prétexte ...
Il me semble que la complexité du chiffrement était déjà limitée légalement aux USA.
Mais ça ne suffit pas à la NSA et autres sénateurs mégalomanes. Ils veulent espionner plus facilement, pour moins cher et accumuler encore plus de données.
De vrais malades mentaux.
Poursquoi ne pas interdire le https pendant qu'ils y sont ?

Tant pis pour la vie privée et même pour le bon fonctionnement de l'économie d'ailleurs, si c'est facile de pirater des données sur internet, ils ne seront pas les seuls à le faire, c'est déjà le cas d'ailleurs quand il n'y a pas une bonne protection, bien fait.
Le prétexte de la maltraitance (ou la pédophilie, ou les Big Tech ou ce qu'on voudra), c'est un peu gros pour espionner tout le monde. Pas nouveau, ça s'adresse aux simples d'esprit (assez nombreux malheureusement).

En réalité la répression des réseaux criminels sur internet se fait en les infiltrant (comme faux "client", etc). Quand aux "Big Tech", c'est un autre problème. Il s'agit de freiner leur domination et leurs pratiques abusives. Pas gagné mais il y a quand même aux E-U une tradition de lutte contre les monopoles. On verra.

Riana Pfefferkorn et d'autres on bien vu le problème.
5  0 
SimonKenoby
Avatar de SimonKenoby
Membre averti https://www.developpez.com
Le 22/04/2023 à 19:51
Le problème c'est que le grand publique ne se rend pas compte de ce que ça implique... J'en discutais avec mes parents il y a quelques semaines, en leur expliquant que j'étais contre. Ils ne comprenaient pas trop bien pourquoi c'était un problème, "tant qu'on a rien a se reprocher". Ensuite je leur ai demandé ce qu'ils penseraient si l'était installait dans chaque bureau de poste des agents chargé d'ouvrir et de lire tout le courrier et colis transitant par la, même si on ne faisait rien d'illégal.

Si non, si je suis un criminel et que je veux protéger mes communications, je n'utiliserais pas whatsapp... Ou j'échange mes clé publique avec mes complices via une clé USB, et ensuite je chiffres les messages sur mon ordinateur avant de les envoyer. Leur algo de détection ne pourrons rien faire contre des messages déjà chiffré.
5  0 
DevTroglodyte
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 14/04/2020 à 10:17
j'en pense que s'ils cherchaient vraiment à entraver les communications des pédocriminels, c'est mal barré. On a des exemples de communications entre terroristes ou criminels dans des tas de séries, sans passer par des tuyaux chiffrés de bout en bout, suffit juste de trouver un coin discret. un IRC paumé, le chat de la playstation, les commentaires d'un blog...

Mais bon, visiblement ils ne cherchent plus qu'à convaincre les idiots que leur but est vraiment ça, et pas juste de la surveillance de masse.
4  0 
alexetgus
Avatar de alexetgus
Membre averti https://www.developpez.com
Le 22/04/2023 à 19:59
Une clé publique, tu peux la donner en direct live sur le web, personne ne pourra rien en faire à part t'écrire. Tant que tu gardes bien au chaud ta clé privée, tu n'as rien à craindre.
PGP a été inventé pour ça. C'est la bête noire des curieux ! Et donc des états...

Pour ce qui est du "j'ai rien à cacher", on me fait toujours le coup.
Mais quand tu dis à la personnes "alors ça ne te dérange pas si je viens te regarder sous la douche, tu n'as rien à cacher", elle devient plus nuancée. "Oui à la surveillance mais..."
4  0 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 23/04/2023 à 9:46
Citation Envoyé par SimonKenoby Voir le message
Le problème c'est que le grand publique ne se rend pas compte de ce que ça implique... J'en discutais avec mes parents il y a quelques semaines, en leur expliquant que j'étais contre. Ils ne comprenaient pas trop bien pourquoi c'était un problème, "tant qu'on a rien a se reprocher"
Le commun des mortels se fout royalement qu'il soit espionné jusque dans ses WC pour une raison très simple: Il ne comprend rien au fonctionnement de ce qu'il utilise!!!

Pour s'en convaincre, il suffit de prendre quelques exemples:

1. L'utilisateur d'un PC Windows qui "protège" ses données en chiffrant les données de son disque dur à l'aide de "BitLockers" dont les clés de déchiffrement sont stockées chez... Microsoft!

2. Ce même utilisateur qui archive ses données privées en clair sur OneDrive, Dropbox ou autres services Cloud

3. Ce gars si heureux de sa télévision dernier cri connectée à internet qui lui évite d'utiliser sa télécommande en répondant à sa voix: Un mot et tu changes de chaîne TV, un autre mot et tu augmentes le son... Est-ce que le gars émerveillé de cette technologie a poussé sa réflexion jusqu'à penser que sa télévision l'écoute en permanence pour détecter ses ordres?
4  0 
Avatar de
https://www.developpez.com
Le 15/04/2020 à 21:03
C'est singulier comme démarche juridique, car "Il pointe également l’ambivalence de la proposition de loi, puisque Signal est activement utilisé et recommandé par l’armée américaine, au Sénat ainsi que dans les communications avec les alliés du pays, notamment européens."

Ah !
3  0 
el_slapper
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 06/07/2020 à 15:34
Tous les experts en sécurité m'ont dit la même chose :

  1. une porte dérobée, c'est une porte
  2. une porte, pour un hacker, c'est toujours une porte ouverte


Et j'ai tendance à les croire.
3  0 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 06/07/2020 à 16:41
Citation Envoyé par el_slapper Voir le message
Tous les experts en sécurité m'ont dit la même chose :

  1. une porte dérobée, c'est une porte
  2. une porte, pour un hacker, c'est toujours une porte ouverte


Et j'ai tendance à les croire.
Mmmm.... je serais un peu plus nuancé, c'est juste mon esprit de contradiction et de pinaillage.

Le problème des backdoors est qu'elles sont généralement très peu sécurisées, et se reposent sur une sécurité par l'obscurité (très nul), ou donnent accès à bien trop de données si jamais elles étaient exploitées.

Par exemple, un compte backdoor sur Windows n'a pas de raison d'être moins sécurisé que votre e.g. mot de passe. Le problème c'est que si on vole votre mot de passe, on n'a accès qu'à votre compte, alors que si on exploite la backdoor, on a accès à tous les ordinateurs Windows.

Les backdoors deviennent alors très attractives, dont les attaquants, sont bien plus motivés et y mettent bien plus de moyens. Par sûr e.g. que la Chine utilise tous ses super-calculateurs pour trouver mon mot de passe Windows... en revanche, pour trouver une backdoor sur l'ensemble des ordinateurs Windows... c'est tout de suite bien plus intéressant.

Après il existe des technologies de fonctions avec trappes, de dés-anonymisations, qui sont un peu comme des backdoors. Mais quand on le fait, c'est pas des guignols de politiciens qui se penchent dessus. C'est pas une clé globale stockée n'importe où qui donne accès à toutes les données, ni même censée être très utilisée.

Par exemple, un cas d'usage est pour les dossiers médicaux. Seul vous et votre médecin devez pouvoir consulter vos données médicales, donc être chiffrées de sorte à ce que celui vous et votre médecin puissiez y accéder. Le problème est... que se passe-t-il si vous vous retrouvez à l'hôpital inconscient dans un cas urgent ? Votre médecin n'est pas là, et vous êtes inconscient. Il y a alors besoin d'une "backdoor", que certains personnels médicaux pourront utiliser... mais en conservant les traces des accès avec tout un cadre protocolaire et juridique.

Si on reprend la problématique, en soit avoir une backdoor sur nos communications chiffrées, ça peut se faire... il faudrait tout un protocole, avec plusieurs personnes possédant une "partie" de clé personnelle, e.g. un juge, un policier, le FAI, avec un enregistrement des accès, une procédure juridique, et sur un ensemble de données limitées, à la fois temporellement, et cibler une personne précise. C'est compliqué, cela fait intervenir des pans de recherches en crypto, c'est loin d'être trivial.

Pas comme ce qu'ils veulent faire et donner une clé à la NSA pour que ce soit la fête du slip.
3  0 
Commenter Signaler un problème