La résolution s’inspire en principe d’une proposition de la Commission de l’UE elle-même alignée sur la présentation de la nouvelle stratégie de l’UE qui semble dire : « Pensez aux enfants, laissez-nous ouvrir vos contenus en ligne. » C’est en tout cas ce que suggérait la sortie d’Ylva Johansson - commissaire européenne aux affaires intérieures : « Nous allons présenter une proposition de loi qui va obliger les fournisseurs de services sur Internet à détecter, signaler, supprimer et remonter les cas de pédophilie en ligne. » Point saillant de son intervention : les contenus chiffrés sont dans le viseur de la proposition. En d’autres termes, dans le cas de son adoption, des plateformes comme Signal, WhatsApp ou Wire qui implémentent le chiffrement de bout en bout se verront contraintes d’introduire un moyen pour les autorités d’avoir accès aux contenus chiffrés. Comment ? En s’inspirant de dispositions au sein du EARN IT Act des USA.
En vertu du Communications Decency Act en vigueur aux États-Unis depuis 1996, les entreprises qui offrent des services en ligne sont exonérées de toute responsabilité quant aux contenus publiés sur leurs plateformes. Sous le EARN IT Act (proposé par les sénateurs républicains Lindsey Graham et Josh Hawley, ainsi que les sénateurs démocrates Richard Blumenthal Dianne Feinstein au courant du mois de mars), la donne change. Les entreprises sont contraintes de dégager leur responsabilité en offrant aux forces de l’ordre de rechercher des contenus spécifiques. Celles qui ont procédé à l’implémentation du chiffrement de bout en bout tombent alors sous le coup de la responsabilité des contenus publiés sur leurs plateformes.
« Le projet de loi EARN IT, parrainé par les sénateurs Lindsay Graham (R-GA) et Richard Blumenthal (D-CT), supprimera les protections de l'article 230 pour tout site Web qui ne suit pas une liste de "meilleures pratiques", ce qui signifie que ces sites peuvent être poursuivis en justice pour faillite », précise l’Electronic Frontier Foundation.
Matrix, fournisseur de solutions de chiffrement utilisées par le gouvernement français explique en quoi l’approche d’introduction de backdoors n’est pas la bonne
- Les portes dérobées introduisent nécessairement un point faible fatal dans le cryptage pour tout le monde, qui devient alors la cible ultime de grande valeur pour les attaquants. Toute personne capable de déterminer la clé privée nécessaire pour casser le chiffrement obtient un accès total accès et l'on peut être absolument sûr que la clé de la porte dérobée sera divulguée, que ce soit par intrusion, ingénierie sociale, attaque par force brute ou accident.
- Les gouvernements ne constituent pas des tiers de confiance auxquels l’on peut confier les clés privées.
- Le chiffrement de bout en bout est aujourd'hui une technologie totalement omniprésente ; tenter de légiférer contre ce dernier serait comme essayer de renverser la vapeur ou de déclarer illégale une branche des mathématiques.
- Les gouvernements protègent leurs propres données en utilisant un chiffrement de bout en bout, précisément parce qu'ils ne veulent pas que d'autres gouvernements puissent les espionner. Il est donc non seulement hypocrite de la part des gouvernements de plaider en faveur des moyens détournés, mais cela met immédiatement leurs propres données gouvernementales en danger d'être compromises. De plus, la création d'infrastructures pour les portes dérobées crée un précédent incroyablement mauvais pour le reste du monde - où des gouvernements moins salubres utiliseront inévitablement la même technologie au détriment massif des droits de l'homme de leurs citoyens.
- Le chiffrement profite à 99,9 % à des tiers non malveillants. Si l’on vient à l’affaiblir, les 0,1 % de cybercriminels vont s’arrimer à des plateformes sans portes dérobées tandis que les 99,9 % seront vulnérables.
Quelle solution alors si le chiffrement n’est pas la voie à emprunter ?
Matrix propose un système de « réputation relative » à l’intention des utilisateurs de sa plateforme. La compréhension de ce dernier en cours de développement tient en quelques points :
- Tout le monde peut recueillir des données de réputation sur les salles / utilisateurs / serveurs / communautés / contenus de Matrix et les publier à un public aussi large ou restreint qu'il le souhaite en fournissant un score subjectif sur le fait qu'un contenu dans Matrix est positif ou négatif dans un contexte donné.
- Ces données de réputation sont publiées de manière à préserver la vie privée, c'est-à-dire qu'il est possible de consulter les données de réputation si l'on a connaissance d'un ID dédié, mais les données sont stockées sous un pseudonyme.
- Tout le monde peut s'abonner à des flux de réputation. Les flux peuvent des données propres à un utilisateur, celles de ses amis ou de sources fiables (par exemple, une société de vérification des faits).
- Les administrateurs qui gèrent des serveurs dans des juridictions particulières ont ensuite la possibilité d'appliquer les règles dont ils ont besoin sur leurs serveurs (par exemple, ils peuvent s'abonner à des flux de réputation provenant d'une source fiable qui identifient les contenus publiés par des prédateurs sexuels et les utiliser pour les bloquer sur leur serveur).
« En ce qui concerne la manière dont cette approche peut être utile avec le chiffrement de bout en bout et l'atténuation des abus : la réalité est que la grande majorité des abus dans les réseaux publics comme Matrix, le Web ou le courrier électronique est visible depuis le domaine public non chiffré. Les communautés abusives veulent généralement attirer ou recruter des utilisateurs et cela signifie qu'il faut prévoir un frontdoor qui serait signalé par un système de réputation tel que celui proposé ci-dessus », ajoute Matrix. De plus, « rien de tel que les bonnes vieilles méthodes comme l’infiltration pour traquer les tiers derrière de telles communautés », souligne une nouvelle fois le fournisseur de solutions de chiffrement.
Vers une surveillance généralisée sur les réseaux ? La publication du Conseil de l’UE intervient dans un contexte où l’alliance Five Eyes n’a de cesse de multiplier les efforts pour briser le chiffrement en ligne.L’inde et le Japon ont rejoint ce mouvement il y a peu.
Sources : UE, Matrix
Et vous ?
Que pensez-vous de l'argument de lutte contre la pédophilie en ligne pour justifier l'introduction de portes dérobées ou casser le chiffrement fort ?
La multiplication de lois anti-chiffrement n'est-elle pas un indicateur de ce qu'on se dirige vers une surveillance à l’échelle globale ?
Voir aussi :
L'alliance franco-allemande contre le chiffrement appelle à une législation européenne, l'Europe va-t-elle affaiblir le chiffrement ?
France : l'ANSSI se dit en faveur du chiffrement et contre l'installation de portes dérobées, dans une missive adressée à plusieurs ministères
Russie : un amendement oblige les éditeurs à fournir un moyen de déchiffrer les communications au FSB, les services secrets russes
Angleterre : le ministre d'État à la Défense admet que la nouvelle législation permettra de demander la suppression du chiffrement de bout en bout