Le Royaume-Uni fait marche arrière dans sa tentative de briser le chiffrement

Une concession de dernière minute saluée comme une victoire par les défenseurs de la vie privée

Le gouvernement britannique a fait marche arrière dans sa tentative d’imposer aux entreprises technologiques de scanner les messages chiffrés à la recherche de contenus illicites, notamment de matériel d’abus sexuel sur les enfants (Child sexual abuse material - CSAM). Cette concession de dernière minute est saluée comme une victoire par les défenseurs de la vie privée et les services de messagerie sécurisés, tels que WhatsApp et Signal, qui menaçaient de quitter le Royaume-Uni si le projet de loi sur la sécurité en ligne était adopté.

Le projet de loi sur la sécurité en ligne, qui vise à réglementer les contenus nuisibles et illégaux en ligne, contenait une disposition controversée, surnommée la « clause espion » par certains organismes de défense des droits numérique, qui aurait obligé les plateformes utilisant le chiffrement de bout en bout à mettre en place des mécanismes permettant d’identifier et de signaler les CSAM. Le chiffrement de bout en bout garantit que seuls l’expéditeur et le destinataire d’un message peuvent en voir le contenu ; même le fournisseur du service ne peut pas accéder aux données non chiffrées.

Le gouvernement britannique n’avait pas précisé la technologie que les plateformes devraient utiliser pour identifier les CSAM envoyés sur les services chiffrés, mais la solution la plus souvent citée était quelque chose appelé le scan côté client. Il s’agirait d’examiner le contenu du message avant qu’il ne soit envoyé - c’est-à-dire sur l’appareil de l’utilisateur - et de le comparer à une base de données de CSAM hébergée sur un serveur ailleurs. Selon Alan Woodward, professeur invité en cybersécurité à l’Université de Surrey, cela reviendrait à « un logiciel espion approuvé par le gouvernement qui scanne vos images et éventuellement vos [textes] ».


Les entreprises technologiques se sont farouchement opposées à cette disposition

En décembre, Apple a abandonné ses projets de construire une technologie de scan côté client pour iCloud, affirmant plus tard qu’il ne pouvait pas faire fonctionner le système sans porter atteinte à la vie privée de ses utilisateurs. Les opposants au projet de loi affirment que mettre des portes dérobées dans les appareils des gens pour rechercher des images CSAM ouvrirait presque certainement la voie à une surveillance plus large par les gouvernements.

Les opposants au projet de loi affirment que l’installation de portes dérobées dans les appareils des gens pour rechercher des images CSAM ouvrirait presque certainement la voie à une surveillance plus large de la part des gouvernements. «*Vous rendez la surveillance de masse presque inévitable en mettant [ces outils] entre leurs mains*», estime Woodward. « Il y aura toujours des « circonstances exceptionnelles » auxquelles [les forces de sécurité] penseront et qui justifieront qu’elles recherchent autre chose. »

En juillet, durant une interview, Meredith Whittaker, la présidente de Signal, a déclaré qu’elle quitterait le marché britannique si la loi était adoptée, car elle ne compromettrait jamais la confiance que les gens placent en Signal pour fournir un moyen de communication vraiment privé :

Selon vous, quelles sont les menaces les plus imminentes pour le chiffrement ?

Je surveille de près les dispositions de chiffrement du projet de loi sur la sécurité en ligne du Royaume-Uni. Je dois préciser que le projet de loi lui-même est une sorte de recueil omnibus d'un certain nombre de dispositions différentes, dont certaines sont bonnes. Je pense que les chercheurs ayant accès aux données des entreprises technologiques sont vraiment positifs et nous ne devrions pas jeter cela. Cependant, il y a des dispositions vraiment troublantes qui donneraient au régulateur britannique des télécommunications et de la concurrence la possibilité d'imposer une technologie de numérisation approuvée par le gouvernement sur l'appareil de chacun qui mettrait en œuvre un régime de surveillance de masse, qui vérifierait les communications des gens avant qu'ils ne soient envoyés contre une base de données opaque de discours inacceptables en utilisant très probablement une variante de l'intelligence artificielle ou des modèles de machines pour détecter en quelque sorte le contenu interdit et prendre des mesures en fonction de ces détections. Et c'est absolument inacceptable. Et ce serait une éviscération totale du droit à la vie privée en plus de simplement...