Larticle 6 du projet de loi SREN, qui vise lutter contre la fraude en ligne, prvoit dimposer aux dveloppeurs de navigateurs web de bloquer les sites web figurant sur une liste noire fournie par le gouvernement. Cette mesure, qui pourrait entrer en vigueur en 2023, suscite de vives critiques de la part des dfenseurs dun internet libre et ouvert, qui y voient une atteinte la neutralit du net, la libert dexpression et la scurit des utilisateurs.
L’enfer est pav de bonnes intentions
Les gouvernements ont la responsabilit de protger leurs citoyens. Au nom de cette responsabilit, ils estiment parfois devoir fouiller dans la vie prive de leurs concitoyens, brandissant des jokers comme la scurit nationale, la protection des enfants et autres motifs qui suscitent de vives motions.
Le problme qui se profile est qu’une fois que les mesures de protection sont mises en place, mme avec les meilleures intentions du monde, elles sont gnralement vulnrables la drive de la mission.
Parlons par exemple du systme de blocage de contenu Cleanfeed mis en uvre au Royaume-Uni par BT, le plus grand fournisseur Internet de Grande-Bretagne, le premier bloquer la liste de contenu d’images d’abus d’enfants de l’Internet Watch Foundation. Il a t cr en 2003 et mis en ligne en juin 2004.
Dvelopp un cot estim 500 000 , le but dclar tait d’empcher l’accs au matriel pdopornographique. Pour la plupart des gens dans la socit, cela tait considr comme une dcision positive, mais quelques annes plus tard, l’existence mme de Cleanfeed tait considre comme une opportunit.
Dans un effort pour supprimer l’indexeur Usenet Newzbin, les studios hollywoodiens ont demand et obtenu une injonction qui obligeait BT utiliser Cleanfeed pour bloquer le site, les studios admettant que la socit tait cible parce qu’elle disposait des outils ncessaires pour mettre en uvre le blocage.
La situation tait donc loin de correspondre sa mission premire relative la protection de l’enfance : la technologie mise sur place dans cette optique a t dtourne de son objectif. Ainsi, rien qu’en juin 2023, plus de 850 nouvelles entres sont apparues sur les listes de blocage des FAI britanniques.
Le gouvernement franais dit vouloir protger sa population
La volont du gouvernement franais d’empcher les enfants d’accder du contenu pornographique en ligne est bien documente. Peu de gens contestent que les sites largement disponibles et librement accessibles ne conviennent pas aux mineurs, mais dans un monde o la responsabilit parentale est considre comme dmode, pour ne pas dire inefficace, la France estime que la lgislation est le seul moyen de protger les enfants du pays.
Paralllement, le gouvernement est sur le point d’adopter une nouvelle loi visant protger les adultes des dangers de la fraude en ligne. Compte tenu de l’ampleur du problme et de l’absence de rponse des forces de l’ordre l’chelle mondiale, qu’est-ce qui pourrait mal se passer ? Selon Mozilla, la structure derrire le navigateur Firefox, presque rien – si c’est fait correctement, du moins.
Quels sont les risques dun blocage des sites web via le navigateur ?
Le blocage des sites web via le navigateur est une mesure technique qui consiste empcher laccs certains contenus en fonction de leur adresse URL. Contrairement au filtrage par les fournisseurs daccs internet (FAI), qui peut tre contourn par lutilisation dun VPN ou dun proxy, le blocage par le navigateur rend impossible la consultation des sites web interdits, sauf changer de navigateur ou modifier son fichier hosts.
Cette mesure prsente plusieurs risques pour linternet ouvert mondial :
- Elle remet en cause le principe de neutralit du net, qui garantit que tous les contenus sont traits de manire gale sur internet, sans discrimination ni interfrence. En imposant aux navigateurs de bloquer certains sites web, le gouvernement franais se donne le pouvoir de dcider quels contenus sont lgitimes ou non, sans passer par une autorit judiciaire indpendante ni respecter le droit un recours effectif.
- Elle porte atteinte la libert dexpression et au droit linformation des utilisateurs, qui se voient privs de laccs des sources diverses et potentiellement critiques. Le blocage des sites web via le navigateur pourrait avoir un effet dissuasif sur les diteurs de contenus, qui pourraient sautocensurer par peur de figurer sur la liste noire du gouvernement. Il pourrait aussi entraner des erreurs ou des abus, comme le blocage de sites web lgitimes par erreur ou pour des raisons politiques.
- Elle compromet la scurit et la confidentialit des utilisateurs, qui sont exposs des risques accrus de piratage, de surveillance ou de censure. Le blocage des sites web via le navigateur implique que les navigateurs doivent communiquer avec le gouvernement pour recevoir la liste des sites web interdits, ce qui cre une faille potentielle dans la protection des donnes personnelles. Il implique aussi que les navigateurs doivent modifier leur fonctionnement normal, ce qui peut affecter leur performance, leur stabilit ou leur compatibilit avec les standards du web.
Mozilla met en garde
Ci-dessous un extrait du billet de Mozilla.
Dans une tentative louable, mais prilleuse de lutter contre la fraude en ligne, la France sapprte obliger les crateurs de navigateurs mettre en uvre une fonctionnalit technique relevant de la dystopie. Larticle 6 du projet de loi SREN obligerait les dveloppeurs de navigateur crer les moyens de bloquer obligatoirement les sites web figurant sur une liste fournie par le gouvernement et intgre directement dans le navigateur. Une telle mesure renverserait des dcennies de normes tablies en matire de modration des contenus. Celle-ci fournira galement aux gouvernements autoritaires un moyen de minimiser lefficacit des outils qui peuvent tre utiliss pour contourner la censure.
Malgr sa motivation lgitime, cette mesure qui vise bloquer des sites web directement dans le navigateur serait un dsastre pour un Internet libre et serait disproportionne par rapport aux objectifs du projet de loi, savoir la lutte contre la fraude. Elle instaurerait galement un prcdent inquitant et des capacits techniques que dautres rgimes exploiteront des fins bien plus nfastes. Pour atteindre les objectifs de cette lgislation, il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et lhameonnage (phishing) plutt que de les remplacer par des listes de blocage de sites web imposes par le gouvernement.
Navigateurs et systmes de protection contre le hameonnage
Les navigateurs ont t un lment cl de lexpansion du Web, en servant dagents utilisateurs qui facilitent nos interactions sur Internet. Ce rle, dont Mozilla est un acteur part entire depuis plus de 25 ans via Firefox, repose sur quelques prsomptions fondamentales qui permettent aux navigateurs de se concentrer sur les intrts de leurs utilisateurs et utilisatrices tout en laissant les dcisions relatives la rglementation du contenu plus en amont de la chane, entre les intermdiaires du rseau (tels que les fournisseurs daccs Internet) ou les diteurs de services (sites web).
Les deux systmes de protection contre les logiciels malveillants et lhameonnage les plus utiliss dans lindustrie sont Safe Browsing de Google et Smart Screen de Microsoft, Mozilla (ainsi quApple, Brave et bien dautres) utilisant Safe Browsing de Google. Le service Safe Browsing existe depuis au moins 2005 et protge actuellement prs de la moiti de la population mondiale en ligne sur divers appareils et logiciels. Il couvre les logiciels malveillants, les logiciels indsirables et lingnierie sociale (hameonnage et autres sites trompeurs). Il dispose galement de politiques gnrales assez robustes et est galement disponible via une API gratuite, ce qui en fait un moyen simple pour les organisations de protger les utilisateurs.
Firefox utilise loffre Safe Browsing de Google depuis 2007 et dispose dune implmentation unique qui protge la vie prive des utilisateurs tout en les empchant dtre victimes de logiciels malveillants et dhameonnage. Ce paramtre peut galement tre dsactiv par les utilisateurs tout moment, ce qui leur permet de garder le contrle de leur exprience sur le Web.
On pourrait penser que les pratiques actuelles du secteur de la protection contre les logiciels malveillants et le hameonnage ne sont pas trs diffrentes de la proposition franaise. Cest loin dtre le cas, car le principal facteur de diffrenciation est quelles ne bloquent pas les sites web, mais se contentent davertir les utilisateurs des risques et de leur permettre daccder aux sites web sils choisissent de laccepter. Ce type de langage nest pas prsent dans la proposition actuelle, qui se concentre sur le blocage. Il ny a pas non plus de rfrence des implmentations prservant la vie prive ou des mcanismes empchant lutilisation de cette fonction dautres fins. En fait, la possibilit pour un gouvernement dexiger quun certain site web ne souvre pas du tout sur un navigateur/systme est un terrain inconnu et mme les rgimes les plus rpressifs dans le monde prfrent jusqu prsent bloquer les sites web en amont du rseau (fournisseurs daccs Internet, etc.).
Un prcdent mondial
Forcer les navigateurs crer des fonctionnalits permettant de bloquer des sites web au niveau du navigateur est une pente glissante. Bien quelle ne soit envisage aujourdhui en France que pour les logiciels malveillants et lhameonnage, cette mesure crera un prcdent et donnera aux navigateurs la capacit technique de raliser tout ce quun gouvernement pourrait vouloir restreindre ou criminaliser dans une juridiction donne, et ce, pour toujours. Un monde dans lequel les navigateurs peuvent tre forcs dincorporer une liste de sites web interdits au niveau logiciel qui ne souvrent tout simplement pas, que ce soit dans une rgion ou dans le monde entier, est une perspective inquitante qui soulve de srieuses proccupations en matire de libert dexpression. Si cette loi est adopte, le prcdent quelle crerait rendrait beaucoup plus difficile pour les navigateurs de rejeter les demandes de ce type manant dautres gouvernements.
De meilleures solutions existent
Plutt que dimposer un blocage bas sur le navigateur, nous pensons que la lgislation devrait se concentrer sur lamlioration des mcanismes existants dj utiliss par les navigateurs des services tels que Safe Browsing et Smart Screen. La loi devrait plutt se concentrer sur ltablissement de dlais clairs et raisonnables dans lesquels les principaux systmes de protection contre lhameonnage devraient traiter les demandes lgitimes dinclusion de sites web manant dagences gouvernementales autorises. Toutes ces demandes dinclusion devraient tre bases sur un ensemble solide de critres publics limits aux sites dhameonnage/escroquerie, faire lobjet dun examen indpendant par des experts et expertes et contenir des mcanismes dappel judiciaire au cas o une demande dinclusion serait rejete par un diteur. Un tel cadre juridique crerait un mcanisme de coordination bien plus quilibr quune proposition de blocage de sites web, et qui protgerait les utilisateurs non seulement en France mais dans le monde entier. Tirer parti des offres dj prsentes sur des milliards dappareils et de logiciels pour lutter contre la fraude est une solution bien plus efficace que de tenter de rinventer la roue avec un blocage de sites web bas sur le navigateur.
Conclusion
Mozilla estime que la proposition franaise de bloquer les sites web via le navigateur est une mesure disproportionne et dangereuse pour linternet ouvert mondial. Elle menace la neutralit du net, la libert dexpression et la scurit des utilisateurs. Elle cre aussi un prcdent inquitant pour dautres pays qui pourraient sinspirer de ce modle pour censurer ou contrler laccs linformation sur internet. Pour lutter efficacement contre la fraude en ligne, il faut privilgier des solutions qui respectent les droits et liberts des utilisateurs, comme la coopration internationale, lducation et les outils de protection existants.
Sources : Mozilla, projet de loi visant scuriser et rguler lespace numrique
Et vous ?
Que pensez-vous de la proposition franaise de bloquer les sites web via le navigateur ?
Quels sont les avantages et les inconvnients de cette mesure pour les utilisateurs et les diteurs de contenus ?
Quelles sont les alternatives que vous prconisez pour lutter contre la fraude en ligne ?
Avez-vous dj t victime ou tmoin dune fraude en ligne ? Si oui, comment avez-vous ragi ?
Quels sont les outils ou les conseils que vous utilisez pour vous protger des logiciels malveillants et de lhameonnage sur internet ?