Les entreprises technologiques prennent position : le projet de loi sur la sécurité en ligne du Royaume-Uni risque de supprimer totalement les applications de messagerie sécurisées

Ce n'est pas une nouvelle que les avancées technologiques s'accompagnent de problèmes de sécurité et de confidentialité des données. Je ne pense pas que ce soit la première fois que nous assistons à la demande par le(s) gouvernement(s) d'une "porte dérobée" sapant les protocoles de messagerie cryptés. La dernière salve où WhatsApp appartenant à Meta s'oppose le Royaume-Uni proposé Facture de sécurité en ligne (OSB) a une fois de plus alimenté le débat vieux de plusieurs décennies sur le cryptage.

Le projet de loi comprend des dispositions qui pourraient obliger les sociétés d'applications de messagerie à mettre en œuvre des politiques de modération de contenu qui ne pourraient être respectées qu'en compromettant le chiffrement de bout en bout (E2EE). A défaut, elle s'expose à des amendes pouvant aller jusqu'à 4% du chiffre d'affaires annuel de sa maison mère. Cette pénalité importante ne laisserait aux entreprises d'autre choix que de se conformer à la réglementation ou de se retirer complètement du marché britannique.

E2EE est considéré comme le "gold standard" pour une communication sécurisée. La technique utilise un algorithme unique pour transformer les messages en une chaîne de caractères apparemment aléatoire, ce qui rend pratiquement impossible pour quiconque de déchiffrer le message sans la "clé" de chiffrement. La clé n'est disponible que sur les appareils d'envoi et de réception, ce qui signifie que même si les pirates accèdent au message en transit, ils ne peuvent pas le décoder sans la clé. Bien qu'E2EE ne garantisse pas une sécurité complète, le fait de conserver les clés de cryptage sur les appareils rend extrêmement difficile l'accès au contenu des messages par des tiers non autorisés.

Qu'est-ce qui rend OSB controversé?

Les applications de messagerie sécurisée comme WhatsApp, Signal et Element qui protègent la confidentialité des utilisateurs en utilisant cette technologie de cryptage robuste critiquent ouvertement l'OSB, arguant que le projet de loi mettra en péril la sécurité en ligne et qu'ils cesseront de fournir des services s'il est adopté.

"Nos utilisateurs du monde entier veulent la sécurité - 98% de nos utilisateurs sont en dehors du Royaume-Uni, ils ne veulent pas que nous réduisions la sécurité du produit", Will Cathcart, responsable de WhatsApp au Royaume-Uni a dit , "Et l'application accepterait plutôt d'être bloquée au Royaume-Uni."

Meredith Whittaker, la présidente de Signal, a également exprimé son opposition déclarant en février que la société n'hésiterait pas à "s'éloigner à 100%" et à cesser ses activités au Royaume-Uni si elle était contrainte d'affaiblir la confidentialité de son système de messagerie cryptée.

Alors que les détracteurs du projet de loi soutiennent qu'il accorderait à l'Ofcom (Office of Communications) le pouvoir d'exiger que les applications de messagerie privées et cryptées et d'autres services mettent en œuvre une "technologie accréditée", le gouvernement estime que le projet de loi "ne représente pas une interdiction de bout en bout". -fin du cryptage.

La législation vise à s'attaquer à une série de problèmes que le gouvernement considère comme des dangers posés par Internet, notamment les contenus illégaux tels que les abus sexuels sur des enfants et le terrorisme, ainsi que les contenus "préjudiciables" tels que la pornographie et l'intimidation. Le projet de loi vise à accroître la responsabilité des plateformes technologiques pour le type de contenu qu'elles hébergent, les obligeant à empêcher l'apparition de ce contenu ou à le supprimer rapidement lorsqu'il le fait.

Selon un rapport par le NSPCC, le nombre d'infractions d'image d'abus d'enfants au Royaume-Uni a augmenté de plus de 66 % au cours des cinq dernières années. La police a enregistré plus de 30 000 infractions de ce type au cours de l'année la plus récente, contre 18 574 dans le passé.

Parmi ces cas, plus de 75 % des signalements incluant des réseaux sociaux ou des sites de jeux ont été attribués à seulement deux sociétés : Snapchat et Meta. Snapchat a été responsable de plus de 4 000 incidents, tandis que les applications phares de Meta - Facebook, Instagram et WhatsApp - ont été mentionnées dans plus de 3 000 incidents.

Depuis des années, le gouvernement et les organisations de protection de l'enfance soutiennent que le cryptage constitue un obstacle majeur à la lutte contre la maltraitance des enfants en ligne.

"Il est important que les entreprises technologiques mettent tout en œuvre pour s'assurer que leurs plateformes ne deviennent pas un terrain fertile pour les pédophiles", a déclaré le ministère de l'Intérieur.

En réponse à ces critiques, des plateformes comme Meta ont pris des mesures pour répondre aux préoccupations concernant l'utilisation d'E2EE. Bien que le géant des médias sociaux affirme que la technologie sert à protéger les droits de l'homme de milliards de ses utilisateurs, il s'est également engagé à introduire des garanties supplémentaires pour les enfants, comme investir dans une "technologie de détection proactive" qui peut analyser les métadonnées et détecter tout signe de le trafic d'images illégales.

Alors que le gouvernement s'efforce de faire d'Internet un endroit sûr en introduisant une «technologie accréditée», de nombreux militants publics et professionnels de l'informatique craignent que cela ne fasse plus de mal que de bien.

Le Dr Monica Horten de l'Open Rights Group a déclaré : "Avec plus de 40 millions d'utilisateurs de services de chat cryptés au Royaume-Uni, cela en fait un outil de surveillance de masse, avec des conséquences potentiellement néfastes pour la vie privée et les droits à la liberté d'expression".

"Plutôt que d'utiliser les enfants et les terroristes comme excuse pour étendre les capacités d'interception en masse, les gouvernements doivent revoir calmement plusieurs domaines politiques, notamment la violence familiale, la violence politique et la criminalité en ligne. Les détails comptent; ils varieront d'un pays à l'autre en fonction de la législation locale, des pratiques policières, de l'organisation du travail social, de la disponibilité des armes à feu et de la polarisation politique (cette liste n'est pas exhaustive) », États Le professeur Ross Anderson dans son article intitulé "Chat Control or Child Protection?"

Tentatives persistantes des gouvernements pour affaiblir le chiffrement

Les gouvernements ont l'habitude d'obliger les entreprises technologiques à affaiblir ou à éliminer le cryptage de bout en bout de leurs produits, ou à créer des "portes dérobées" comme le Tondeuse Puce depuis les années 1990, pour faciliter la surveillance gouvernementale.

En 2016, le FBI a fait une tentative agressive pour forcer Apple à déverrouiller l'iPhone appartenant à l'un des terroristes de la fusillade de masse de 2015 à San Bernardino, en Californie. Le PDG d'Apple, Tim Cook, s'est fermement opposé à la décision du FBI, la qualifiant de " l'équivalent logiciel du cancer. " Cook a fait valoir que se conformer à la demande créerait un dangereux précédent, ouvrant la porte à une surveillance accrue du gouvernement à l'avenir.

"C'est peut-être un système d'exploitation pour la surveillance, peut-être la possibilité pour les forces de l'ordre d'allumer la caméra", a déclaré M. Cook. a dit . "Je ne sais pas où ça s'arrête."

La querelle d'Apple avec le FBI ne semble pas s'arrêter. En décembre 2022, le FBI exprimé son dégoût lorsque l'entreprise deployé un nouveau schéma de chiffrement de bout en bout facultatif visant à empêcher l'accès aux données iCloud de l'utilisateur via un appareil "non fiable", affirmant qu'il est "profondément préoccupé par la menace de chiffrement de bout en bout et d'accès réservé à l'utilisateur .”

En 2018, les législateurs australiens ont approuvé un projet de loi intitulé « Loi de 2018 sur l'assistance et l'accès » qui oblige les entreprises technologiques à accorder l'accès aux communications cryptées aux forces de l'ordre et aux agences de sécurité. Le projet de loi habilite le gouvernement à obtenir une ordonnance du tribunal qui peut secrètement ordonner aux entreprises technologiques et aux experts de reconcevoir les logiciels et le matériel pour permettre l'espionnage des utilisateurs.

Cette loi s'inspire de la loi britannique de 2016 Loi sur les pouvoirs d'enquête qui permet aux entreprises britanniques de fournir des clés pour déchiffrer les données cryptées aux autorités gouvernementales.

D'autres pays étudient également la possibilité de mettre en œuvre de nouvelles lois sur le chiffrement. Par exemple, en Inde, des responsables ont informé la Cour suprême du pays en octobre 2019 que Facebook est tenu par la loi indienne de décrypter les messages et de les fournir aux forces de l'ordre sur demande.

"Ils ne peuvent pas entrer dans le pays et dire:" Nous allons établir un système non déchiffrable "", a déclaré le procureur général de l'Inde, KK Venugopal. dit au tribunal , faisant référence à Facebook et à d'autres grandes plateformes technologiques.

Dans l'état actuel des choses, les États-Unis sont parties à plusieurs accords internationaux de partage de renseignements, l'un des plus importants étant le " Cinq Yeux " Alliance. Né de arrangements d'espionnage Forgée pendant la Seconde Guerre mondiale, l'alliance Five Eyes facilite le partage du renseignement électromagnétique entre les États-Unis, le Royaume-Uni, l'Australie, le Canada et la Nouvelle-Zélande.

Avec l'ajout de l'Inde et du Japon, le groupe de surveillance en 2020 appelé pour que l'industrie technologique assouplisse le cryptage de bout en bout et aide les agences gouvernementales à accéder aux conversations privées par des portes dérobées tout en maintenant qu'elles « prennent en charge un cryptage fort ».

"Nous appelons les entreprises technologiques à travailler avec les gouvernements pour prendre les mesures suivantes, axées sur des solutions raisonnables et techniquement réalisables : intégrer la sécurité du public dans la conception des systèmes, permettant ainsi aux entreprises d'agir efficacement contre les contenus et les activités illégaux sans réduire la sécurité. , et faciliter les enquêtes et les poursuites en cas d'infractions et protéger les personnes vulnérables ; permettre aux forces de l'ordre d'accéder au contenu dans un format lisible et utilisable lorsqu'une autorisation est délivrée légalement, est nécessaire et proportionnée, et est soumise à des garanties et à une surveillance solides ; et s'engager dans des consultations avec les gouvernements et d'autres parties prenantes pour faciliter l'accès légal d'une manière qui soit substantielle et influence véritablement les décisions de conception.

La chasse au juste milieu

Alors que les agences technologiques "repoussent", les institutions gouvernementales concernées sont optimistes sur le fait que les lois proposées aideront à trouver un terrain d'entente où la sécurité nationale est assurée sans compromettre la confidentialité des données.

"Ce n'est pas un choix entre la vie privée ou la sécurité des enfants - nous pouvons et nous devons avoir les deux", indique le communiqué du gouvernement britannique.

À l'été 2021, Apple annoncé qu'il déploierait une fonction d'analyse sur l'appareil qui utiliserait un modèle d'apprentissage automatique pour passer au crible les photos des utilisateurs individuels afin de rechercher le CSAM (Child Sexual Abuse Material), suivi d'informer les techniciens humains et donc la police.

C'était le genre de terrain d'entente que le gouvernement appréciait, mais peu de temps après l'annonce, l'entreprise a dû faire face à une réaction extrême de la part d'experts en confidentialité et en sécurité. Apple a d'abord riposté mais a ensuite reporté et plus tard annulé le lancement.

Les militants suggèrent que le FBI et d'autres autorités devraient renforcer leur expertise technique au lieu de dépendre de fournisseurs de technologies ou d'experts en sécurité tiers pour casser le cryptage et d'autres systèmes de sécurité.

"L'amélioration de la capacité technique du gouvernement est une solution potentielle qui n'impose pas de portes dérobées", a déclaré la représentante Diana DeGette, démocrate du Colorado, a dit lors d'une audition du sous-comité de surveillance de la commission de l'énergie et du commerce de la Chambre des représentants.

Le représentant du FBI a fait valoir qu'il est peu probable que le FBI puisse embaucher les experts dont il a besoin pour suivre les nouveaux services de cryptage qui continuent de se déployer.

"Nous vivons à une époque tellement avancée de développement technologique, et pour suivre le rythme, nous avons besoin des services de compétences spécialisées que nous ne pouvons obtenir que par le biais de l'industrie privée."

Les défenseurs de la vie privée soutiennent que la mise en œuvre de portes dérobées de chiffrement ne peut garantir la sécurité et n'est pas infaillible. Même si les vulnérabilités sont cachées ou gardées secrètes, il existe un risque qu'elles soient découvertes par d'autres et éventuellement utilisées à mauvais escient. Le journal 2015 " Clés sous les paillassons ", rédigé par un groupe de cryptographes de premier plan, met en évidence les risques inhérents et inévitables de telles approches.