Mercredi dernier, la Commission européenne a publié une proposition de loi pour une meilleure lutte contre la pédopornographie et l’abus sexuel des mineurs. Ce nouveau texte veut contraindre les fournisseurs de services — et notamment les réseaux sociaux et les messageries — à intégrer de nouveaux mécanismes de détection de contenus illicites.
En principe, cette détection serait ciblée et ne se ferait qu’à la demande de la justice ou d’une autorité nationale indépendante. Mais le périmètre des contenus illicites que les fournisseurs doivent potentiellement détecter est très large. Il s’agit non seulement des contenus pédopornographiques connus et référencés, mais aussi de contenus qui n’ont pas encore été reconnus comme tels. Ce qui suppose la mise en place d’un scan général des contenus audiovisuels partagés au moyen d’algorithmes d’intelligence artificielle.
A découvrir aussi en vidéo :
Mais ce n’est pas tout. La Commission veut également obliger les fournisseurs à détecter le « grooming », c’est-à-dire la prise de contact d’un adulte avec un mineur dans un but sexuel, afin de prévenir le délit qui se prépare. La Commission reconnaît qu’une telle détection est particulièrement intrusive, car cela suppose « le scan automatique de textes de communications interpersonnelles ». Toutefois, elle minimise l’impact en soulignant que le traitement informatique sous-jacent n’a pas pour but de « comprendre le contenu des communications », mais plutôt de « rechercher des patterns connus et pré-identifiés ». Une très maigre consolation pour les militants des droits de l’homme et du respect de la vie privée.
La proposition de loi n’impose aucune solution technologique en particulier. Elle souligne toutefois que ces obligations doivent pouvoir s’appliquer partout, y compris pour les communications chiffrées de bout en bout. Et dans ce cas, on le sait, il n’y a que deux solutions : la création d’une backdoor cryptographique ou le scan du contenu en local avant chiffrement. C’est plutôt cette dernière solution qui risque d’être envisagée, car elle a l’avantage de préserver l’intégrité du chiffrement (mais dont l’intérêt devient alors tout relatif). Et c’est d’ailleurs ce que craignent les hackers du Chaos Computer Club, qui avaient déjà lancé une alerte en début de semaine sur le sujet.
« La chose la plus terrifiante que je n’ai jamais vue »
Au sein des chercheurs en sécurité et des militants des droits de l’homme, les réactions sont particulièrement fortes. « Au cas où vous l’auriez loupé, aujourd’hui la Commission européenne a déclaré la guerre au chiffrement de bout en bout et demande l’accès aux messages privés de n’importe qui au nom de la protection des enfants », a tweeté Alec Muffet, un cryptographe qui a piloté la mise en place du chiffrement de bout en bout dans Facebook Messenger. Pour Matthew Green, un autre cryptographe, le texte européen est « la chose la plus terrifiante que je n’ai jamais vue ». Selon lui, ce texte ne décrit rien de moins que « le système de surveillance le plus sophistiqué jamais déployé, en dehors de la Chine et de l’URSS. Sans exagération ». Selon lui, l’utilisation d’une telle technologie va forcément créer des abus.
Beaucoup d’associations de défense des citoyens sont également vent debout face à ce texte.
« Il s’agirait d’un nouveau système de surveillance massif, car il nécessiterait une infrastructure pour une analyse détaillée des messages des utilisateurs. Cette nouvelle proposition est trop large, non proportionnée et porte atteinte à la vie privée et à la sécurité de chacun », estime l’association américaine Electronic Frontier Foundation.
« De telles mesures de détection conduiront inévitablement à des pratiques d’analyse côté client dangereuses et peu fiables, sapant l’essence du chiffrement de bout en bout. (…) Une telle interférence avec le processus de chiffrement rendra également les téléphones de chacun vulnérables aux attaques d’acteurs malveillants », écrit l’association européenne EDRi.
« Aucune technologie ne peut détecter ces contenus de manière fiable sans d’innombrables faux positifs. Une fois que l’intégrité des communications de messagerie est compromise — que ce soit par des portes dérobées dans le chiffrement de bout en bout ou par le filtrage des messages sur les appareils des utilisateurs — plus personne ne pourra compter sur la confidentialité de leurs conversations. Il n’y a pas de portes dérobées qui ne peuvent être utilisées que dans le noble but de protéger les enfants », explique l’association allemande GFF.
Le texte doit maintenant être débattu au Parlement européen et au Conseil européen, qui vont formuler leurs propres propositions. Les trois instances devront ensuite trouver un accord pour définir un texte final.