Le gouvernement britannique a fait marche arrière dans sa tentative d’imposer aux entreprises technologiques de scanner les messages chiffrés à la recherche de contenus illicites, notamment de matériel d’abus sexuel sur les enfants (Child sexual abuse material - CSAM). Cette concession de dernière minute est saluée comme une victoire par les défenseurs de la vie privée et les services de messagerie sécurisés, tels que WhatsApp et Signal, qui menaçaient de quitter le Royaume-Uni si le projet de loi sur la sécurité en ligne était adopté.Le projet de loi sur la sécurité en ligne, qui vise à réglementer les contenus nuisibles et illégaux en ligne, contenait une disposition controversée, surnommée la « clause espion » par certains organismes de défense des droits numérique, qui aurait obligé les plateformes utilisant le chiffrement de bout en bout à mettre en place des mécanismes permettant d’identifier et de signaler les CSAM. Le chiffrement de bout en bout garantit que seuls l’expéditeur et le destinataire d’un message peuvent en voir le contenu ; même le fournisseur du service ne peut pas accéder aux données non chiffrées.
Le gouvernement britannique n’avait pas précisé la technologie que les plateformes devraient utiliser pour identifier les CSAM envoyés sur les services chiffrés, mais la solution la plus souvent citée était quelque chose appelé le scan côté client. Il s’agirait d’examiner le contenu du message avant qu’il ne soit envoyé - c’est-à-dire sur l’appareil de l’utilisateur - et de le comparer à une base de données de CSAM hébergée sur un serveur ailleurs. Selon Alan Woodward, professeur invité en cybersécurité à l’Université de Surrey, cela reviendrait à « un logiciel espion approuvé par le gouvernement qui scanne vos images et éventuellement vos [textes] ».
Les entreprises technologiques se sont farouchement opposées à cette disposition
En décembre, Apple a abandonné ses projets de construire une technologie de scan côté client pour iCloud, affirmant plus tard qu’il ne pouvait pas faire fonctionner le système sans porter atteinte à la vie privée de ses utilisateurs. Les opposants au projet de loi affirment que mettre des portes dérobées dans les appareils des gens pour rechercher des images CSAM ouvrirait presque certainement la voie à une surveillance plus large par les gouvernements.
Les opposants au projet de loi affirment que l’installation de portes dérobées dans les appareils des gens pour rechercher des images CSAM ouvrirait presque certainement la voie à une surveillance plus large de la part des gouvernements. «*Vous rendez la surveillance de masse presque inévitable en mettant [ces outils] entre leurs mains*», estime Woodward. « Il y aura toujours des « circonstances exceptionnelles » auxquelles [les forces de sécurité] penseront et qui justifieront qu’elles recherchent autre chose. »
En juillet, durant une interview, Meredith Whittaker, la présidente de Signal, a déclaré qu’elle quitterait le marché britannique si la loi était adoptée, car elle ne compromettrait jamais la confiance que les gens placent en Signal pour fournir un moyen de communication vraiment privé :
Selon vous, quelles sont les menaces les plus imminentes pour le chiffrement ?
Je surveille de près les dispositions de chiffrement du projet de loi sur la sécurité en ligne du Royaume-Uni. Je dois préciser que le projet de loi lui-même est une sorte de recueil omnibus d'un certain nombre de dispositions différentes, dont certaines sont bonnes. Je pense que les chercheurs ayant accès aux données des entreprises technologiques sont vraiment positifs et nous ne devrions pas jeter cela. Cependant, il y a des dispositions vraiment troublantes qui donneraient au régulateur britannique des télécommunications et de la concurrence la possibilité d'imposer une technologie de numérisation approuvée par le gouvernement sur l'appareil de chacun qui mettrait en œuvre un régime de surveillance de masse, qui vérifierait les communications des gens avant qu'ils ne soient envoyés contre une base de données opaque de discours inacceptables en utilisant très probablement une variante de l'intelligence artificielle ou des modèles de machines pour détecter en quelque sorte le contenu interdit et prendre des mesures en fonction de ces détections. Et c'est absolument inacceptable. Et ce serait une éviscération totale du droit à la vie privée en plus de simplement mettre en place un régime extraordinairement coûteux et inapplicable.
Meredith Whittaker, la présidente de Signal
Tous les experts, y compris les organisations de protection de l'enfance, s'accordent à dire que la proposition de l'UE va trop loin et qu'elle porterait atteinte aux droits humains fondamentaux protégés par la Constitution de l'UE.
Par exemple, Elina Eickstädt, informaticienne et porte-parole du Chaos Computer Club, a souligné que le projet d'ordonnance manque fondamentalement l'objectif de lutter contre les représentations de maltraitance d'enfants. Le projet est basé sur une « surestimation grossière des capacités des technologies », en particulier lorsqu'il s'agit de reconnaître du matériel inconnu.
Il représente également une « infrastructure de surveillance sans précédent », selon Eickstädt. Elle a précisé qu'avec un taux d'erreur d'un pour cent et un milliard de messages par jour, dix milliards de faux rapports pourraient survenir. Le projet nécessitera également une identification sur Internet. Elle a également souligné que le blocage d'Internet pourrait devenir « un outil de censure sans précédent ».
L'experte Ella Jakubowska de l'Association européenne des droits numériques a également parlé d'une « attaque numérique ». Elle a souligné que le règlement proposé n'était pas conforme aux droits de l'homme. Il porte atteinte à la confidentialité des communications privées dans les e-mails, les chats ou les photos dans le cloud personnel. Elle plaide pour que la proposition soit retirée.
Le gouvernement met de l'eau dans son vin
Le gouvernement britannique a reconnu que la technologie nécessaire pour scanner de manière sécurisée les messages chiffrés envoyés sur Signal et WhatsApp n’existe pas encore, affaiblissant son projet de loi controversé sur la sécurité en ligne. Il a donc décidé de ne pas imposer aux entreprises technologiques d’utiliser une technologie non éprouvée, et qu’il n’utiliserait essentiellement pas les pouvoirs prévus par le projet de loi. Toutefois, les clauses controversées restent dans la législation, qui devrait toujours être adoptée.
Bien que le gouvernement britannique ait déclaré qu’il n’imposerait plus aux entreprises technologiques des technologies non éprouvées et qu’il n’utiliserait essentiellement pas les pouvoirs prévus par le projet de loi, les clauses controversées restent dans la législation, qui est encore susceptible d’être adoptée. « Cela n'a pas disparu, mais c'est un pas dans la bonne direction », précise Woodward.
La réaction mitigée des entreprises et des organismes de défenses
James Baker, directeur de campagne de l'Open Rights Group, une organisation à but non lucratif qui a fait campagne contre l'adoption de la loi, affirme que l'existence continue des pouvoirs prévus par la loi signifie qu'une surveillance par piratage du chiffrement pourrait encore être introduite à l'avenir. « Il vaudrait mieux que ces pouvoirs soient complètement supprimés du projet de loi », ajoute-t-il.
Mais certains sont moins positifs quant à cette apparente volte-face. « Rien n'a changé », déclare Matthew Hodgson, PDG d'Element, basé au Royaume-Uni, qui fournit des messages chiffrés de bout en bout aux militaires et aux gouvernements. « Seul ce qui est réellement écrit dans le projet de loi compte. Le scan [du côté de l'appareil] est fondamentalement incompatible avec les applications de messagerie chiffrées de bout en bout. Le scan contourne le chiffrement à des fins d'analyse, exposant ainsi vos messages aux attaquants. Ainsi, la formulation "jusqu’à ce que cela soit techniquement réalisable" signifie que la porte est ouverte pour le scan [du côté de l'appareil] dans le futur plutôt qu'aujourd'hui. Ce n’est pas un changement, c’est un coup de pied dans l’avenir. »
Whittaker reconnaît « qu'il ne suffit pas » que la loi ne soit tout simplement pas appliquée de manière agressive. « Mais c’est [un changement] majeur. Nous pouvons reconnaître une victoire sans prétendre qu’il s’agit de la victoire finale », dit-elle.
Les implications d’un recul du gouvernement britannique, même partiel, se répercuteront bien au-delà du Royaume-Uni, estime Whittaker. Les services de sécurité du monde entier ont fait pression pour que des mesures soient prises pour affaiblir le chiffrement de bout en bout, et une bataille similaire se déroule en Europe à propos du CSAM, où la commissaire de l'Union européenne chargée des affaires intérieures, Ylva Johannson, a fait pression pour l'utilisation de technologies non éprouvées.
« C’est énorme pour mettre fin au type de précédent international permissif que cela créerait », a déclaré Whittaker. « Le Royaume-Uni a été la première juridiction à promouvoir ce type de surveillance de masse. Cela arrête cet élan. Et c’est énorme pour le monde.
Pour mémoire, Online Safety Bill découle d’une proposition similaire au niveau de l’Union européenne. En effet, l'Union européenne a franchi un cap décisif dans sa lutte contre la pédophilie, la pédopornographie et toute autre forme d'abus que peuvent subir les enfants en ligne en approuvant – à mi-parcours de l’année 2021 – la ePrivacy Derogation. Une majorité de membres du Parlement de l’UE avait adopté la loi qui permet aux fournisseurs de services de scanner toutes les correspondances privées. La proposition de la Commission en entente de présentation vient saler l’addition : Chatcontrol 1.0 prévoyait que la fouille des chats, messages et courriels privés soit effectuée par les fournisseurs de services en ligne de façon volontaire. Chatcontrol 2.0 (le texte en attente de présentation) les y oblige et s’applique aux communications chiffrées.
Source : amendement apporté au projet de loi
Et vous ?
Pensez-vous que le gouvernement britannique a renoncé à sa lutte pour briser le chiffrement ou l'a simplement différé ? Quels sont les avantages et les inconvénients du chiffrement de bout en bout pour la sécurité et la vie privée des utilisateurs ? Quelles sont les alternatives possibles pour lutter contre les contenus illicites en ligne sans compromettre le chiffrement ? Quel est le rôle des entreprises technologiques dans la régulation des contenus en ligne ? Doivent-elles coopérer avec les gouvernements ou protéger leurs utilisateurs ?Quelle est votre opinion sur la technologie de scan côté client ? 
Envoyé par BugFactory
