Le projet de loi controversé EARN IT, autorisant la fouille des messages au prétexte de la lutte contre la pédocriminalité, est de retour.

Des élus tentent pour la troisième fois de le faire adopter

EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies) Act est un projet de loi américain qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne en conduisant au scan de chaque message, photo et fichier hébergé sur le web.

Dès le départ, des organisations de la protection de vie privée et des libertés civiles sur Internet, comme l’EFF et l’ACLU, ainsi que des sociétés de l’Internet, comme Signal, se sont opposées au projet de loi, arguant qu’il donnera un pouvoir démesuré aux autorités gouvernementales afin de miner sérieusement le chiffrement fort.

S'il ne fait toujours pas office de loi, un groupe de sénateurs américains tente pour la troisième fois de le faire adopter, au grand regret de l'EFF.

En apparence, le projet de loi EARN IT, vise à protéger contre la maltraitance des enfants. Mais dans sa forme initiale, le projet de loi menaçait également le chiffrement de bout en bout.

Le Congrès a essayé de faire adopter ce projet de loi au cours des deux dernières sessions et il a échoué les deux fois. Les élus n'en démordent pas et viennent remettre le projet de loi sur la table des négociations. Les formulations ont été différentes à chaque fois, mais les conséquences sont restées les mêmes. Notons par exemple qu'au lieu de parler d'affaiblissement du chiffrement, les élus ont tenté une autre approche en demandant de mettre sur pieds une fouille des messages sur l'appareil avant qu'ils ne soient chiffrés et transmis aux correspondants.

Les conséquences de la possible adoption de ce projet sont :

• toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
• si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
• les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la « sollicitation d'enfants » signalent souvent à tort les conversations intimes ;
• des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
• lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;
• ce serait la porte ouverte pour les services de renseignement et les pirates sur les conversations et courriels.

Face à ce retour, le défenseur des droits numériques Electronic Frontier Foundation (EFF) monte au créneau pour demander le soutien de la population afin que ce projet de loi soit botté en touche pour la troisième fois.


La perspective de l'EFF

La loi EARN IT crée une commission gouvernementale non élue, la regroupe avec le personnel chargé de l'application de la loi, puis la charge de créer des «*meilleures pratiques*» pour la gestion d'un site Web ou d'une application Internet. La loi supprime ensuite les protections légales de près de 30 ans pour les utilisateurs et les propriétaires de sites Web, permettant aux législatures des États d'encourager les poursuites civiles et les poursuites contre ceux qui ne suivent pas les «meilleures pratiques» du gouvernement.

Tant qu'ils lieront d'une manière ou d'une autre les modifications de la loi aux abus sexuels sur enfants, les législateurs des États pourront éviter les protections juridiques de longue date et adopter de nouvelles règles permettant des poursuites pénales et des poursuites civiles contre des sites Web qui ne donnent pas à la police un accès spécial aux messages des utilisateurs et aux photos. Les sites Web et les applications qui utilisent un cryptage de bout en bout pour protéger la confidentialité des utilisateurs subiront des pressions pour supprimer ou compromettre la sécurité de leurs services, ou ils feront l'objet de poursuites et de poursuites.

Si EARN IT est adopté, nous verrons probablement les législateurs des États intervenir et imposer le scan des messages et d'autres fichiers semblables au plan qu'Apple a sagement abandonné l'année dernière.

Il ne fait aucun doute que les sponsors ont l'intention que ce projet de loi scanne les messages, les photos et les fichiers des utilisateurs, et ils l'ont écrit dans cet objectif. Ils ont même suggéré un logiciel de numérisation spécifique qui pourrait être utilisé sur les utilisateurs dans un document publié l'année dernière. Le projet de loi prévoit également des allocations spécifiques pour permettre l'utilisation du cryptage pour constituer une preuve devant les tribunaux contre les fournisseurs de services.

Le langage de la proposition de loi prétendant protéger le chiffrement ne fait pas correctement son travail

Sous la pression, les parrains du projet de loi ont ajouté un libellé censé protéger le chiffrement. Mais une fois que vous regardez de plus près, c'est un jeu de coquille. Le projet de loi laisse clairement la place à l'imposition de formes de « scan côté client », qui est une méthode de violation de la vie privée des utilisateurs en envoyant des données aux forces de l'ordre directement à partir des appareils des utilisateurs, avant qu'un message ne soit chiffré. L'EFF soutient depuis longtemps que le scan côté client viole la promesse de confidentialité du chiffrement de bout en bout, même si elle permet au processus de chiffrement de se dérouler dans un sens étroit et limité. Un article de 2021 rédigé par 10 technologues de premier plan a soutenu que les scanners côté client sont un danger pour la démocratie, équivalant à des « bugs dans nos poches ».

Le logiciel de scan des conversations poussé par ce projet de loi ne fonctionne pas

Mais les preuves disponibles montrent que les logiciels de numérisation qui recherchent du matériel d'abus sexuel d'enfants, ou CSAM, sont loin d'être parfaits. Les créateurs de logiciels de numérisation disent qu'ils ne peuvent pas être entièrement audités, pour des raisons juridiques et éthiques. Mais voici les preuves jusqu'à présent :

• L'année dernière, un article du New York Times a montré comment les scanners CSAM de Google avaient faussement accusé deux pères d'envoyer de la pornographie juvénile. Même après que les pères aient été explicitement innocentés par la police, Google a maintenu leurs comptes fermés.
• Les données envoyées aux flics par le Centre national américain pour les enfants disparus et exploités (NCMEC) - l'agence gouvernementale qui sera chargée d'analyser beaucoup plus de données sur les utilisateurs si EARN IT passe - sont loin d'être exactes. En 2020, la police irlandaise a reçu 4 192 signalements du NCMEC. Parmi ceux-ci, seuls 852 (20,3 %) ont été confirmés comme étant de véritables CSAM. Seuls 9,7 % des signalements ont été jugés « exploitables ».
• Une étude de Facebook a révélé que 75 % des messages signalés par son système de scan pour détecter le matériel pédopornographique n'étaient pas «*malveillants*» et incluaient des messages comme de mauvaises blagues et des mèmes.
• LinkedIn a signalé 75 cas présumés de CSAM aux autorités de l'UE en 2021. Après examen manuel, seuls 31 de ces cas, soit environ 41 %, impliquaient des CSAM confirmés.

L'idée de soumettre des millions de personnes à de fausses accusations de maltraitance d'enfants est horrible. Le NCMEC exportera ces fausses accusations vers les communautés vulnérables du monde entier, où elles pourront être portées par des forces de police qui ont encore moins de responsabilités que les forces de l'ordre aux États-Unis. Les fausses accusations sont un prix que les partisans d'EARN IT semblent prêts à payer.

Nous avons besoin de votre soutien pour arrêter le EARN IT Act une fois de plus. Les partisans des droits numériques ont envoyé plus de 200 000 messages au Congrès pour tuer les versions antérieures de ce projet de loi. Nous l'avons battu deux fois auparavant, et nous pouvons le refaire.

Il existe actuellement des propositions dangereuses qui pourraient également imposer des systèmes de scan côté client au Royaume-Uni et dans l'Union européenne. Mais nous n'avons pas besoin de nous résigner à un monde de surveillance constante. Dans les pays démocratiques, les partisans d'un Internet libre, sécurisé et privé peuvent gagner, si nous prenons la parole maintenant.

Source : EFF

Et vous ?

Que pensez-vous d'un tel projet de loi qui s'appuie sur un prétexte comme la pédocriminalité pour autoriser la fouille des messages sans mandat ? Est-il, selon vous, justifié ?
Qu'est-ce qui pourrait, selon vous, expliquer que le projet soit présenté à nouveau pour la troisième fois ?
Comprenez-vous les craintes de l'EFF ?