Le gouvernement britannique a fait marche arrire dans sa tentative dimposer aux entreprises technologiques de scanner les messages chiffrs la recherche de contenus illicites, notamment de matriel dabus sexuel sur les enfants (Child sexual abuse material – CSAM). Cette concession de dernire minute est salue comme une victoire par les dfenseurs de la vie prive et les services de messagerie scuriss, tels que WhatsApp et Signal, qui menaaient de quitter le Royaume-Uni si le projet de loi sur la scurit en ligne tait adopt.
Le projet de loi sur la scurit en ligne, qui vise rglementer les contenus nuisibles et illgaux en ligne, contenait une disposition controverse, surnomme la clause espion par certains organisme de dfense des droits numrique, qui aurait oblig les plateformes utilisant le chiffrement de bout en bout mettre en place des mcanismes permettant didentifier et de signaler les CSAM. Le chiffrement de bout en bout garantit que seuls lexpditeur et le destinataire dun message peuvent en voir le contenu ; mme le fournisseur du service ne peut pas accder aux donnes non chiffres.
Le gouvernement britannique navait pas prcis la technologie que les plateformes devraient utiliser pour identifier les CSAM envoys sur les services chiffrs, mais la solution la plus souvent cite tait quelque chose appel le scan ct client. Il sagirait dexaminer le contenu du message avant quil ne soit envoy – cest–dire sur lappareil de lutilisateur – et de le comparer une base de donnes de CSAM hberge sur un serveur ailleurs. Selon Alan Woodward, professeur invit en cyberscurit lUniversit de Surrey, cela reviendrait un logiciel espion approuv par le gouvernement qui scanne vos images et ventuellement vos [textes] .
Les entreprises technologiques se sont farouchement oppos cette disposition
En dcembre, Apple a abandonn ses projets de construire une technologie de scan ct client pour iCloud, affirmant plus tard quil ne pouvait pas faire fonctionner le systme sans porter atteinte la vie prive de ses utilisateurs. Les opposants au projet de loi affirment que mettre des portes drobes dans les appareils des gens pour rechercher des images CSAM ouvrirait presque certainement la voie une surveillance plus large par les gouvernements.
Les opposants au projet de loi affirment que linstallation de portes drobes dans les appareils des gens pour rechercher des images CSAM ouvrirait presque certainement la voie une surveillance plus large de la part des gouvernements. *Vous rendez la surveillance de masse presque invitable en mettant [ces outils] entre leurs mains*, estime Woodward. Il y aura toujours des circonstances exceptionnelles auxquelles [les forces de scurit] penseront et qui justifieront quelles recherchent autre chose.
En juillet, durant une interview, Meredith Whittaker, la prsidente de Signal, a dclar quelle quitterait le march britannique si la loi tait adopte, car elle ne compromettrait jamais la confiance que les gens placent en Signal pour fournir un moyen de communication vraiment priv :
Selon vous, quelles sont les menaces les plus imminentes pour le chiffrement ?
Je surveille de prs les dispositions de chiffrement du projet de loi sur la scurit en ligne du Royaume-Uni. Je dois prciser que le projet de loi lui-mme est une sorte de recueil omnibus d’un certain nombre de dispositions diffrentes, dont certaines sont bonnes. Je pense que les chercheurs ayant accs aux donnes des entreprises technologiques sont vraiment positifs et nous ne devrions pas jeter cela. Cependant, il y a des dispositions vraiment troublantes qui donneraient au rgulateur britannique des tlcommunications et de la concurrence la possibilit d’imposer une technologie de numrisation approuve par le gouvernement sur l’appareil de chacun qui mettrait en uvre un rgime de surveillance de masse, qui vrifierait les communications des gens avant qu’ils ne soient envoy contre une base de donnes opaque de discours inacceptables en utilisant trs probablement une variante de l’intelligence artificielle ou des modles de machines pour dtecter en quelque sorte le contenu interdit et prendre des mesures en fonction de ces dtections. Et c’est absolument inacceptable. Et ce serait une viscration totale du droit la vie prive en plus de simplement mettre en place un rgime extraordinairement coteux et inapplicable.
Meredith Whittaker, la prsidente de Signal
Tous les experts, y compris les organisations de protection de l’enfance, s’accordent dire que la proposition de l’UE va trop loin et qu’elle porterait atteinte aux droits humains fondamentaux protgs par la Constitution de l’UE.
Par exemple, Elina Eickstdt, informaticienne et porte-parole du Chaos Computer Club, a soulign que le projet d’ordonnance manque fondamentalement l’objectif de lutter contre les reprsentations de maltraitance d’enfants. Le projet est bas sur une surestimation grossire des capacits des technologies , en particulier lorsqu’il s’agit de reconnatre du matriel inconnu.
Il reprsente galement une infrastructure de surveillance sans prcdent , selon Eickstdt. Elle a prcis qu’avec un taux d’erreur d’un pour cent et un milliard de messages par jour, dix milliards de faux rapports pourraient survenir. Le projet ncessitera galement une identification sur Internet. Elle a galement soulign que le blocage d’Internet pourrait devenir un outil de censure sans prcdent .
L’experte Ella Jakubowska de l’Association europenne des droits numriques a galement parl d’une attaque numrique . Elle a soulign que le rglement propos n’tait pas conforme aux droits de l’homme. Il porte atteinte la confidentialit des communications prives dans les e-mails, les chats ou les photos dans le cloud personnel. Elle plaide pour que la proposition soit retire.
Le gouvernement met de l’eau dans son vin
Le gouvernement britannique a reconnu que la technologie ncessaire pour scanner de manire scurise les messages chiffrs envoys sur Signal et WhatsApp nexiste pas encore, affaiblissant son projet de loi controvers sur la scurit en ligne. Il a donc dcid de ne pas imposer aux entreprises technologiques dutiliser une technologie non prouve, et quil nutiliserait essentiellement pas les pouvoirs prvus par le projet de loi. Toutefois, les clauses controverses restent dans la lgislation, qui devrait toujours tre adopte.
Bien que le gouvernement britannique ait dclar quil nimposerait plus aux entreprises technologiques des technologies non prouves et quil nutiliserait essentiellement pas les pouvoirs prvus par le projet de loi, les clauses controverses restent dans la lgislation, qui est encore susceptible dtre adopte. Cela n’a pas disparu, mais c’est un pas dans la bonne direction , prcise Woodward.
La raction mitige des entreprises et des organismes de dfenses
James Baker, directeur de campagne de l’Open Rights Group, une organisation but non lucratif qui a fait campagne contre l’adoption de la loi, affirme que l’existence continue des pouvoirs prvus par la loi signifie qu’une surveillance par piratage du chiffrement pourrait encore tre introduite l’avenir. Il vaudrait mieux que ces pouvoirs soient compltement supprims du projet de loi , ajoute-t-il.
Mais certains sont moins positifs quant cette apparente volte-face. Rien n’a chang , dclare Matthew Hodgson, PDG d’Element, bas au Royaume-Uni, qui fournit des messages chiffrs de bout en bout aux militaires et aux gouvernements. Seul ce qui est rellement crit dans le projet de loi compte. Le scan [du ct de l’appareil] est fondamentalement incompatible avec les applications de messagerie chiffres de bout en bout. Le scan contourne le chiffrement des fins d’analyse, exposant ainsi vos messages aux attaquants. Ainsi, la formulation « jusqu ce que cela soit techniquement ralisable » signifie que la porte est ouverte pour le scan [du ct de l’appareil] dans le futur plutt qu’aujourd’hui. Ce nest pas un changement, cest un coup de pied dans lavenir.
Whittaker reconnat qu’il ne suffit pas que la loi ne soit tout simplement pas applique de manire agressive. Mais cest [un changement] majeur. Nous pouvons reconnatre une victoire sans prtendre quil sagit de la victoire finale , dit-elle.
Les implications dun recul du gouvernement britannique, mme partiel, se rpercuteront bien au-del du Royaume-Uni, estime Whittaker. Les services de scurit du monde entier ont fait pression pour que des mesures soient prises pour affaiblir le chiffrement de bout en bout, et une bataille similaire se droule en Europe propos du CSAM, o la commissaire de l’Union europenne charge des affaires intrieures, Ylva Johannson, a fait pression pour l’utilisation de technologies non prouves.
Cest norme pour mettre fin au type de prcdent international permissif que cela crerait , a dclar Whittaker. Le Royaume-Uni a t la premire juridiction promouvoir ce type de surveillance de masse. Cela arrte cet lan. Et cest norme pour le monde.
Pour mmoire, Online Safety Bill dcoule dune proposition similaire au niveau de lUnion europenne. En effet, l’Union europenne a franchi un cap dcisif dans sa lutte contre la pdophilie, la pdopornographie et toute autre forme d’abus que peuvent subir les enfants en ligne en approuvant mi-parcours de lanne 2021 la ePrivacy Derogation. Une majorit de membres du Parlement de lUE avait adopt la loi qui permet aux fournisseurs de services de scanner toutes les correspondances prives. La proposition de la Commission en entente de prsentation vient saler laddition : Chatcontrol 1.0 prvoyait que la fouille des chats, messages et courriels privs soit effectue par les fournisseurs de services en ligne de faon volontaire. Chatcontrol 2.0 (le texte en attente de prsentation) les y oblige et sapplique aux communications chiffres.
Source : amendement apport au projet de loi
Et vous ?
Pensez-vous que le gouvernement britannique a renonc sa lutte pour briser le chiffrement ou l’a simplement diffr ?
Quels sont les avantages et les inconvnients du chiffrement de bout en bout pour la scurit et la vie prive des utilisateurs ?
Quelles sont les alternatives possibles pour lutter contre les contenus illicites en ligne sans compromettre le chiffrement ?
Quel est le rle des entreprises technologiques dans la rgulation des contenus en ligne ? Doivent-elles cooprer avec les gouvernements ou protger leurs utilisateurs ?
Quelle est votre opinion sur la technologie de scan ct client ?