Le bras de fer entre les applications de messagerie chiffrée telles que Signal et le Royaume-Uni se poursuit. Le projet de loi sur la sécurité en ligne (Online Safety Bill), proposé par l'ancien Premier ministre Boris Johnson, veut obliger les fournisseurs de services de messagerie chiffrée tels que Signal et WhatsApp à mettre en place un système de balayage du côté de l'appareil afin de rechercher dans les messages des utilisateurs le matériel pédopornographique (Child sexual abuse material - CSAM) et le signaler aux autorités. Cela devrait contribuer à la protection des enfants en ligne, mais le chiffrement de bout en bout se retrouverait profondément affaibli.
Dans sa formulation actuelle, le projet de loi obligerait les entreprises de médias sociaux à empêcher les enfants d'être exposés à des contenus préjudiciables en ligne et rendrait les dirigeants pénalement responsables de préjudices tels que le fait de ne pas retirer des contenus illégaux ou de ne pas censurer des messages impliqués dans la cyberintimidation ou l'automutilation. Les entreprises technologiques risquent de lourdes amendes si elles ne le font pas. La législation contient ce que les critiques ont appelé "une clause d'espionnage". De tels schémas ont été condamnés par les experts techniques et Signal n'est pas non plus enthousiaste.
Le projet de loi Online Safety Bill est actuellement examiné par le Parlement britannique et fait l'objet d'une controverse depuis des mois. Signal - qui est un service de messagerie chiffrée plébiscité par de nombreux acteurs de l'industrie, dont le lanceur d'alerte Edward Snowden - est opposé au projet de loi depuis sa présentation. Le PDG de Signal, Meredith Whittaker, a déclaré dans une interview la semaine dernière : « nous quitterions absolument n'importe quel pays si le choix était entre rester dans le pays et saper les strictes promesses de confidentialité que nous faisons aux personnes qui comptent sur nous. Le Royaume-Uni ne fait pas exception ».
« Des millions de personnes dans le monde comptent sur nous pour fournir un service de messagerie sûr et sécurisé pour faire du journalisme, exprimer leur dissidence, exprimer des pensées intimes ou vulnérables, et parler de toute autre manière à ceux par qui ils veulent être entendus sans subir une quelconque forme de surveillance. Nous n'avons jamais rompu, et ne romprons jamais, notre engagement envers les personnes qui utilisent Signal et lui font confiance. Cela signifie que nous choisirions absolument de cesser nos activités dans une région donnée si l'alternative signifiait la remise en cause de nos engagements en matière de vie privée ».
« Signal ne participera jamais, ne participera jamais, à 1 000 %, à une sorte d'adultération de notre technologie qui saperait nos promesses de confidentialité. Les mécanismes disponibles, les lois de la physique et la réalité de la technologie et les approches qui ont été essayées sont profondément défectueuses, tant du point de vue des droits de l'homme que du point de vue technologique », a déclaré Whittaker. En réponse aux commentaires de Whittaker sur le projet de loi, la Dr Monica Horten, responsable politique pour la liberté d'expression à l'Open Right Group, a exhorté le gouvernement britannique à abandonner "la clause d'espionnage".
« Cette clause donnera à l'Ofcom le pouvoir de demander aux entreprises privées de scanner les messages privés de tout le monde au nom du gouvernement. Il s'agit tout simplement d'une surveillance privée mandatée par l'État, du type de celle que l'on voit dans les régimes autoritaires. L'annonce de Signal souligne à quel point ces propositions menacent sérieusement le chiffrement et sapent notre droit à communiquer en toute sécurité et en privé. Si Signal se retire du Royaume-Uni, cela nuira aux journalistes, aux militants et aux activistes qui comptent sur le chiffrement de bout en bout pour communiquer en toute sécurité », a déclaré Horten.
Les dispositions du projet de loi visent spécifiquement le chiffrement de bout en bout (End-to-end encryption - E2EE), qui est une forme de chiffrement permettant uniquement aux expéditeurs et aux destinataires d'un message d'accéder à la forme lisible par l'homme du contenu. Il se base sur un mécanisme qui empêche même le fournisseur de services de déchiffrer les messages chiffrés. Un chiffrement de bout en bout robuste, activé par défaut, est le principal argument de vente de Signal auprès de ses 100 millions d'utilisateurs. Parmi les autres applications qui proposent le chiffrement de bout en bout, citons WhatsApp, Telegram et Messenger.
Toutefois, toutes ne le proposent pas par défaut. « Le gouvernement est favorable à un chiffrement fort pour protéger la vie privée des utilisateurs, mais on craint que le passage à des systèmes chiffrés de bout en bout, sans tenir compte des questions de sécurité publique, n'érode un certain nombre de méthodologies de sécurité en ligne existantes. Cela pourrait avoir des conséquences importantes sur la capacité des entreprises technologiques à lutter contre le grooming, le partage de matériel pédopornographique et d'autres comportements nuisibles ou illégaux sur leurs plateformes », indique le projet de loi britannique sur la sécurité en ligne.
Le projet de loi ne prévoit pas un moyen spécifique pour les fournisseurs de services de chiffrement de bout en bout de se conformer. Au lieu de cela, il finance cinq organisations pour développer "des moyens innovants permettant de détecter et de traiter les images ou vidéos sexuellement explicites d'enfants dans des messages chiffrés de bout en bout, tout en garantissant le respect de la vie privée des utilisateurs". Les technologues et les défenseurs de la vie privée et des libertés civiles ont fustigé cette proposition, affirmant que cela permettrait au gouvernement britannique de créer un outil d'espionnage et de surveillance sophistiqués.
Element, une entreprise britannique qui compte parmi ses clients le ministère de la Défense, a déclaré que le plan lui coûterait des clients. En août dernier, WhatsApp a déclaré qu'elle refuserait de réduire la sécurité pour tout gouvernement. « Si nous devions réduire la sécurité pour le monde entier, pour répondre aux exigences d'un pays, ce serait très stupide pour nous d'accepter, rendant notre produit moins attrayant pour 98 % de nos utilisateurs en raison des exigences de 2 %. Ils veulent que nous lisions les messages de tout le monde, soit directement, soit indirectement par le biais d'un logiciel », s'est indigné Will Cathcart, directeur de WhatsApp.
« Je ne pense pas que les gens le souhaitent », a-t-il ajouté. Alors que le projet de loi sur la sécurité en ligne fait l'objet de controverses, le Royaume-Uni s'attaque au chiffrement sur un autre front également. Le mois dernier, le ministère britannique de l'Intérieur a ouvert une consultation sur une série de propositions visant à lutter contre la criminalité grave et organisée. L'une d'entre elles envisage de criminaliser la fabrication ou la détention de "dispositifs sophistiqués de communication chiffrée", une catégorie mal définie qui englobe les logiciels et le matériel utilisés sur des réseaux téléphoniques prétendument sécurisés (et depuis saisis).
Cela comprend des choses telles que EncroChat, Phantom Secure et Sky Global. « Ces appareils sophistiqués permettent d'accéder à des plateformes de communication chiffrées utilisées par des criminels graves et organisés pour planifier leurs activités illicites. La nature hautement chiffrée de ces appareils et la manière dont ils ont été modifiés créent des obstacles considérables pour les forces de l'ordre qui recueillent des renseignements et des preuves concernant des crimes graves », fait valoir le ministère britannique de l'Intérieur. Riana Pfefferkorn, chercheuse à l'Observatoire de l'Internet de Stanford, a vivement critiqué cette nouvelle proposition.
« Si vous vous trompez, vous finirez par criminaliser un grand nombre de personnes dont le seul délit est d'utiliser ou de vendre un téléphone trop anormal aux goûts officiels du gouvernement. Soit vous êtes un consommateur obéissant qui utilise ce que Samsung, Google, Apple et Meta ont à offrir, soit vous êtes un criminel. Bonne chance pour développer votre industrie technologique moribonde avec cette attitude », s'est-elle indignée.
Source : Meredith Whittaker, PDG de Signal
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des déclarations du PDG de Signal ?
Quels impacts un retrait de Signal pourrait-il avoir sur le marché britannique ?
Que pensez-vous du projet de loi britannique sur la sécurité en ligne (Online Safety Bill) ?
Pensez-vous qu'il s'agit d'une arme de surveillance déguisée en une initiative pour protéger les enfants ?
Que pensez-vous de la proposition du ministère britannique de l'Intérieur visant à criminaliser la fabrication ou la possession de "dispositifs sophistiqués de communication chiffrée" ?
Voir aussi
Le patron de WhatsApp a déclaré qu'il n'introduira pas des filtres d'IA pour scanner les conversations chiffrées, comme l'exige un projet de loi du gouvernement britannique
Les entreprises technologiques risquent de lourdes amendes si elles ne recherchent pas le CSAM dans les conversations chiffrées, un projet de loi britannique prévoit 25 millions de dollars d'amende
Le Royaume-Uni abandonne l'interdiction des contenus en ligne "légaux, mais préjudiciables" au profit de la liberté d'expression, suite à la réaction des défenseurs de la liberté d'expression
L'UE déclare la guerre au chiffrement de bout en bout et exige l'accès aux messages privés sur n'importe quelle plateforme, au nom de la protection des enfants