Une proposition de la Commission europenne pourrait obliger les entreprises technologiques analyser les messages privs la recherche de matriel d’abus sexuel d’enfants (CSAM) et de preuves de pdopigeage, mme lorsque ces messages sont censs tre protgs par un cryptage de bout en bout. La sollicitation denfants des fins sexuelles, ou pdopigeage, est une pratique o un adulte se « lie damiti » avec un enfant (de manire gnrale en ligne, mais le pdopigeage hors ligne existe galement) dans le but de commettre des abus sexuels son encontre . L’adulte cherche se rapprocher d’un enfant et instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l’intention de perptrer des abus sexuels.
Les services en ligne qui reoivent des ordres de dtection en vertu de la lgislation en cours de l’Union europenne auraient des obligations concernant la dtection, le signalement, la suppression et le blocage du matriel d’abus sexuel d’enfants connus et nouveaux, ainsi que la sollicitation d’enfants, quelle que soit la technologie utilise dans les changes en ligne , indique la proposition. Le plan appelle le chiffrement de bout en bout un outil de scurit important, mais ordonne essentiellement aux entreprises de casser ce chiffrement de bout en bout par tous les moyens technologiques ncessaires :
Afin de garantir l’efficacit de ces mesures, de permettre des solutions sur mesure, de rester technologiquement neutres et d’viter le contournement des obligations de dtection, ces mesures devraient tre prises quelles que soient les technologies utilises par les prestataires concerns dans le cadre de la fourniture de leurs services. Par consquent, le prsent rglement laisse au fournisseur concern le choix des technologies exploiter pour se conformer efficacement aux ordres de dtection et ne devrait pas tre compris comme incitant ou dcourageant l’utilisation d’une technologie donne, condition que les technologies et les mesures d’accompagnement rpondent aux exigences de prsent rglement.
Cela inclut l’utilisation de la technologie de cryptage de bout en bout, qui est un outil important pour garantir la scurit et la confidentialit des communications des utilisateurs, y compris celles des enfants. Lors de l’excution de l’ordre de dtection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s’assurer que les technologies qu’ils emploient ne peuvent pas tre utilises par eux ou leurs employs des fins autres que le respect du prsent rglement, ni par des tiers, et pour viter ainsi de porter atteinte la scurit et la confidentialit des communications des utilisateurs .
Un document de questions-rponses dcrivant la proposition souligne l’importance de scanner les messages chiffrs de bout en bout : Le NCMEC [National Center for Missing and Exploited Children] estime que plus de la moiti de ses rapports CyberTipline disparatront avec le chiffrement de bout en bout, laissant les abus non dtects, moins que les fournisseurs ne prennent des mesures pour protger les enfants et leur vie prive galement sur les services chiffrs de bout en bout .
Pourquoi de nouvelles rgles seraient-elles ncessaires selon l’UE ?
Bruxelles explique :
Internet s’est avr tre un excellent connecteur, y compris pour les enfants et surtout tout au long de la pandmie. Cependant, les enfants peuvent galement tre exposs des risques en ligne, y compris lorsqu’il s’agit d’abus sexuels sur des enfants. Les dernires annes ont vu une augmentation crasante des abus sexuels en ligne, la fois dans le partage de matriel d’abus sexuel d’enfants en ligne et dans la sollicitation d’enfants pour qu’ils s’abusent sexuellement ou mme rencontrent des auteurs hors ligne. Selon l’analyse d’Europol, au cours des premiers mois de la crise du COVID-19, la demande de matriel pdopornographique a augment jusqu’ 25 % dans certains tats membres. Le National Center for Missing and Exploited Children (NCMEC) des tats-Unis a galement constat que les signalements contenant des cas d’abus sexuels d’enfants dans le monde avaient considrablement augment, le NCMEC ayant reu prs de 30 millions de signalements de suspicion d’exploitation sexuelle d’enfants en 2021, et les forces de l’ordre ayant t alertes de plus de 4000 nouveaux enfants victimes. Les signalements d’enfants soumis des comportements de toilettage ont augment de plus de 16 % entre 2020 et 2021. La circulation d’images ou de vidos illustrant des abus parmi les agresseurs revictimise les enfants et les empche de trouver la solution.
Actuellement, certains fournisseurs de services en ligne dtectent volontairement les abus sexuels d’enfants en ligne. Les prestataires de services amricains fournissent en fait la majorit des signalements qui parviennent aux forces de l’ordre, le NCMEC transmettant les signalements lis l’UE Europol et aux forces de l’ordre nationales.
Bien que les mesures prises par les prestataires apportent une contribution importante, elles varient considrablement, la grande majorit des signalements provenant d’une poigne de prestataires, tandis qu’un nombre important ne prennent aucune mesure. Jusqu’ 95 % de tous les signalements d’abus sexuels sur des enfants reus en 2020 provenaient d’une seule entreprise, malgr des preuves videntes que le problme n’existe pas que sur une seule plateforme.
L’action volontaire est donc insuffisante pour lutter efficacement contre l’utilisation abusive des services en ligne des fins d’abus sexuels sur des enfants. Un cadre juridique clair et contraignant est ncessaire, avec des garanties claires, pour donner aux prestataires une scurit juridique et garantir le plein respect des droits fondamentaux.
Obliger les prestataires de services, le cas chant, dtecter, signaler et supprimer les abus sexuels sur enfants aidera sauver les enfants de nouveaux abus, empcher la rapparition de matriel et identifier et poursuivre les contrevenants .
Faites l’impossible, dcidez simplement vous-mme comment y parvenir
Il semble vraiment que la Commission europenne veuille annuler le chiffrement , a dclar un article de Bits of Freedom, une fondation nerlandaise des droits numriques. La proposition obligera les entreprises surveiller ce que les gens partagent entre eux via des applications de chat comme WhatsApp et des plateformes comme Instagram , a crit Rejo Zenger, conseiller politique de Bits of Freedom. Si cela est jug ncessaire, les plateformes seront contraintes de supprimer des informations ou de les signaler aux autorits. Les fournisseurs d’accs Internet peuvent galement tre somms de surveiller le trafic Internet de leurs clients. Mais la Commission omet, assez astucieusement, selon l’endroit o vous vous situez, comment ils doivent le faire. En fait, [le] message pour les entreprises est : « Faites l’impossible, dcidez simplement vous-mme comment y parvenir » .
Une annonce de la Commission europenne a estim que le problme concernant les abus sexuels sur les enfants est devenu incontrlable et que le systme volontaire actuel n’est pas suffisant :
Avec 85 millions de photos et de vidos reprsentant des abus sexuels commis sur des enfants signals l’chelle mondiale pour la seule anne 2021, sachant que bien d’autres ne le sont pas, les infractions sexuelles contre les enfants sont trs rpandues. La pandmie de COVID-19 a exacerb le problme ; la fondation Internet Watch a ainsi constat une augmentation de 64 % des signalements d’abus sexuels confirms sur des enfants en 2021 par rapport l’anne prcdente. Le systme actuel, qui repose sur la dtection et le signalement volontaires par les entreprises, s’est rvl insuffisant pour protger correctement les enfants et, en tout tat de cause, il ne sera plus disponible, ds que la solution provisoire actuellement en vigueur aura cess de s’appliquer. Jusqu’ 95 % de l’ensemble des signalements d’abus sexuels concernant des enfants qui ont t reus en 2020 provenaient d’une seule entreprise, mme s’il est clairement prouv que le problme n’est pas propre une seule plateforme.
Des rgles claires, assorties de conditions et de garanties solides, sont indispensables pour lutter efficacement contre l’utilisation abusive des services en ligne des fins de commission d’abus sexuels sur des enfants. Les rgles proposes obligeront les fournisseurs de certains services dtecter, signaler et retirer les matriels relatifs aux abus sexuels commis sur des enfants dans le cadre de leurs services. Ces fournisseurs devront valuer et attnuer le risque que leurs services fassent l’objet d’une utilisation abusive, et les mesures qu’ils auront prises devront tre proportionnes ce risque et soumises des conditions et garanties solides .
Les ordonnances de dtection de la proposition seraient mises par des tribunaux ou des autorits nationales indpendantes , selon le communiqu. Une ordonnance de dtection serait limite dans le temps, ciblant un type de contenu spcifique sur un service spcifique et demanderait l’entreprise recevant l’ordre de rechercher du matriel relatif des abus sexuels sur des enfants ou aux fins de sollicitation d’enfants, appele pdopigeage .
D’autres parties de la proposition exigent que les magasins d’applications veillent ce que les enfants ne puissent pas tlcharger des applications susceptibles de les exposer un risque lev de sollicitation d’enfants . En outre, les fournisseurs qui ont dtect des abus sexuels sur des enfants en ligne devront le signaler au Centre de l’UE et les autorits nationales peuvent mettre des ordonnances de suppression si le matriel pdopornographique n’est pas rapidement retir. Les fournisseurs d’accs Internet seront galement tenus de dsactiver l’accs aux images et aux vidos qui ne peuvent pas tre retires, par exemple parce qu’elles sont hberges en dehors de l’UE dans des juridictions non coopratives .
Guerre contre le chiffrement de bout en bout
L’analyse du contenu des messages privs ne devrait pas tre possible avec un chiffrement vritablement de bout en bout. Comme l’explique Proton Mail, L’E2EE [le chiffrement de bout en bout] limine cette possibilit, car le fournisseur de services ne possde pas rellement la clef de dcryptage. Pour cette raison, l’E2EE est beaucoup plus puissant que le chiffrement standard .
La proposition europenne a t critique par des experts en scurit, dont Alec Muffett, un chercheur en scurit rseau qui, entre autres, a dirig l’quipe qui a ajout le chiffrement de bout en bout Facebook Messenger. Au cas o vous l’auriez manqu, aujourd’hui est le jour o l’Union europenne dclare la guerre au chiffrement de bout en bout et exige l’accs aux messages privs de chaque personne sur n’importe quelle plateforme au nom de la protection des enfants , a crit Muffett.
En 2018, Facebook a expliqu que le chiffrement de bout en bout est utilis dans toutes les conversations WhatsApp et peut tre activ dans Messenger. Les messages crypts de bout en bout sont scuriss avec un verrou, et seuls l’expditeur et le destinataire ont la clef spciale ncessaire pour les dverrouiller et les lire. Pour une protection accrue, chaque message que vous envoyez possde son propre verrou et sa propre clef. Personne ne peut intercepter les communications .
La mthode la moins intrusive pour la vie prive
L’annonce de la Commission europenne indique que les entreprises seront charges de mettre en uvre les ordonnances de dtection proposes de la manire la moins intrusive pour la vie prive . Les entreprises ayant reu une ordonnance de dtection ne pourront dtecter le contenu qu’ l’aide d’indicateurs d’abus sexuels sur des enfants vrifis et fournis par le Centre de l’UE , peut-on lire sur le communiqu. Les technologies de dtection ne doivent tre utilises que dans le but de dtecter les abus sexuels sur les enfants. Les prestataires devront dployer les technologies les moins intrusives pour la vie prive conformment l’tat de l’art de l’industrie, et qui limitent le taux d’erreur de faux positifs dans la mesure du possible .
Cependant, Bits of Freedom a crit qu’il est tout simplement impossible de filtrer la connexion Internet de quelqu’un comme le souhaite la Commission europenne . Le groupe a expliqu plus en dtail avec un exemple impliquant WhatsApp :
Pour donner un exemple : sur la base de cette proposition, une plateforme de messagerie instantane peut tre charge de dtecter le matriel d’exploitation sexuelle d’enfants. Cela pourrait tre du matriel connu, ou du « nouveau » matriel, ou du pdopigeage, donc du texte. Supposons, pour les besoins de l’argument, que l’ordre est donn Meta en ce qui concerne WhatsApp. Une plateforme qui, comme vous le savez, est protge par un chiffrement de bout en bout. Ce type de chiffrement signifie que Meta peut voir qui communique avec qui, mais est incapable de lire le contenu de cette communication. Mais comment Meta est-il cens dtecter quelque chose dans une conversation laquelle il n’est pas cens pouvoir accder ? Pour des raisons de commodit, la Commission laisse cette dcision (« comment le faire ») la plateforme. Notre hypothse est que la seule faon de le faire est d’installer une sorte de logiciel espion (dsormais mandat par le gouvernement !) sur les tlphones des personnes utilisant un service particulier. Aprs tout, c’est le seul endroit o le contenu des chats est lisible .
Analyse d’autres chercheurs
Les chercheurs de l’universit de Cambridge y ont vu un but manifeste et un but cach.
Le but manifeste est de faire pression sur les entreprises technologiques pour qu’elles suppriment plus rapidement le matriel illgal et le matriel qui pourrait tre illgal. Une nouvelle agence doit tre cre La Haye, sur le modle et lie Europol, pour maintenir une base de donnes officielle d’images illgales d’abus sexuels d’enfants. Les autorits nationales signaleront les abus cette nouvelle agence, qui exigera ensuite des hbergeurs et autres qu’ils retirent le matriel suspect. La nouvelle loi donne beaucoup de dtails sur la conception du processus de retrait, les formulaires utiliser et le recours dont disposeront les fournisseurs de contenu si du matriel inoffensif est retir par erreur. Il existe des dispositions similaires pour le blocage des URL ; des ordonnances de censure peuvent tre dlivres aux FAI dans les tats membres.
Le premier problme est que cette approche ne fonctionne pas. Dans un article de 2016, Fermer des sites Web pour prvenir le crime, ils ont analys l’industrie du retrait et ont constat que les entreprises prives sont bien meilleures pour supprimer les sites Web que la police. Ils ont constat que les sous-traitants spcialiss qui suppriment les sites Web de phishing pour les banques mettaient gnralement six heures pour supprimer un site Web incrimin, tandis que l’Internet Watch Foundation – qui a le monopole lgal de la suppression du matriel pdopornographique au Royaume-Uni – prenait souvent six semaines.
Nous comprenons assez bien pourquoi c’est le cas. La suppression de sites Web signifie interagir avec une grande varit de bureaux d’enregistrement et de socits d’hbergement dans le monde entier, et ils ont diffrentes faons de travailler. Une entreprise attend un e-mail chiffr ; une autre veut que vous ouvriez un ticket ; une autre encore a besoin que vous appeliez son centre d’appels pendant les heures d’ouverture de Pkin et que vous parliez mandarin. Les entrepreneurs spcialiss ont compris tout cela et sont devenus bons dans ce domaine. Cependant, les forces de police veulent utiliser leurs propres formulaires et s’attendent ce que tout le monde suive la procdure policire. Une fois que vous tes hors de votre juridiction, cela ne fonctionne pas. Les forces de police se concentrent galement davantage sur le processus que sur le rsultat ; ils ont de la difficult embaucher et retenir du personnel pour effectuer un travail de bureau technique dtaill ; et ils ne sont pas trs dous pour traiter avec les trangers
Il est donc vraiment stupide pour la Commission europenne d’ordonner un retrait centralis par une agence de police pour toute l’Europe. Cela rendra tout trs difficile rparer une fois qu’ils dcouvriront que cela ne fonctionne pas, et il devient vident que les sites Web d’abus d’enfants restent plus longtemps, causant de rels dommages.
Oh, et le but secret ? C’est pour permettre la nouvelle agence de saper le chiffrement de bout en bout en rendant obligatoire l’analyse ct client. Ce n’est pas vident premire vue sur le projet de loi, mais c’est vident dans l’valuation d’impact, qui fait l’loge de la proposition d’Apple pour 2021 .
Et de regretter de faire face une attaque contre le chiffrement, conue pour contourner les lois de l’UE contre la surveillance de masse en utilisant un appel populiste la protection de l’enfance, qui semble plutt nuire aux enfants .
Sources : Commission europenne (1, 2, 3), Bits of Freedom, Proton Mail
Et vous ?
Quelle lecture faites-vous de cette proposition de loi ? Partagez-vous le point de vue des chercheurs qui estiment que l’Europe se lance l’assaut du chiffrement de bout en bout sans le dire ouvertement ?