Des lois au Royaume-Uni et en Europe ont t proposes qui donneraient aux autorits le pouvoir de saper le chiffrement fort de bout en bout au prtexte de la poursuite de la justice. Si elles taient adoptes, ces rgles autoriseraient, selon un expert britannique en scurit informatique, la lecture et l'analyse des communications prcdemment prives des personnes dans le but d'empcher potentiellement la propagation de matriel pdopornographique et de communications terroristes.Des propositions similaires, telles que le projet de loi EARN IT, continuent de faire surface aux tats-Unis.
Ross Anderson, professeur d'ingnierie de la scurit au Dpartement d'informatique et de technologie de l'Universit de Cambridge au Royaume-Uni, affirme que ces rglementations proposes (qui reposent sur des solutions techniques telles que l'analyse des messages ct appareil et l'apprentissage automatique pour les algorithmes de chasse au crime la place de la police, des travailleurs sociaux et des enseignants) conduisent une pense magique et des politiques malsaines.
La position de l'Europe...
Une proposition de la Commission europenne pourrait obliger les entreprises technologiques analyser les messages privs la recherche de matriel d'abus sexuel d'enfants (CSAM) et de preuves de pdopigeage, mme lorsque ces messages sont censs tre protgs par un chiffrement de bout en bout. La sollicitation denfants des fins sexuelles, ou pdopigeage, est une pratique o un adulte se "lie damiti" avec un enfant (de manire gnrale en ligne, mais le pdopigeage hors ligne existe galement) dans le but de commettre des abus sexuels son encontre . L'adulte cherche se rapprocher d'un enfant et instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l'intention de perptrer des abus sexuels.
Les services en ligne qui reoivent des ordres de dtection en vertu de la lgislation en cours de l'Union europenne auraient des obligations concernant la dtection, le signalement, la suppression et le blocage du matriel d'abus sexuel d'enfants connus et nouveaux, ainsi que la sollicitation d'enfants, quelle que soit la technologie utilise dans les changes en ligne , indique la proposition. La proposition reconnait que le chiffrement de bout en bout est un outil de scurit important, mais ordonne essentiellement aux entreprises de casser ce chiffrement de bout en bout par tous les moyens technologiques ncessaires :
Afin de garantir l'efficacit de ces mesures, de permettre des solutions sur mesure, de rester technologiquement neutres et d'viter le contournement des obligations de dtection, ces mesures devraient tre prises quelles que soient les technologies utilises par les prestataires concerns dans le cadre de la fourniture de leurs services. Par consquent, le prsent rglement laisse au fournisseur concern le choix des technologies exploiter pour se conformer efficacement aux ordres de dtection et ne devrait pas tre compris comme incitant ou dcourageant l'utilisation d'une technologie donne, condition que les technologies et les mesures d'accompagnement rpondent aux exigences de prsent rglement.
Cela inclut l'utilisation de la technologie de cryptage de bout en bout, qui est un outil important pour garantir la scurit et la confidentialit des communications des utilisateurs, y compris celles des enfants. Lors de l'excution de l'ordre de dtection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s'assurer que les technologies qu'ils emploient ne peuvent pas tre utilises par eux ou leurs employs des fins autres que le respect du prsent rglement, ni par des tiers, et pour viter ainsi de porter atteinte la scurit et la confidentialit des communications des utilisateurs .
Un document de questions-rponses dcrivant la proposition souligne l'importance d'analyser les messages chiffrs de bout en bout : Le NCMEC [National Center for Missing and Exploited Children] estime que plus de la moiti de ses rapports CyberTipline disparatront avec le chiffrement de bout en bout, laissant les abus non dtects, moins que les fournisseurs ne prennent des mesures pour protger les enfants et leur vie prive galement sur les services chiffrs de bout en bout .
...et du Royaume-Uni
Le gouvernement britannique propose de donner au rgulateur de l'Internet Ofcom de nouveaux pouvoirs pour forcer les plateformes de messagerie et d'autres types de services en ligne mettre en uvre des technologies d'analyse du contenu, mme si leur plateforme est chiffre de bout en bout. Ainsi, la mise jour du projet de loi sur la scurit en ligne, qui est en cours d'examen au Parlement britannique, stipule que les fournisseurs locaux et trangers d'un service rglement d'utilisateur utilisateur doivent signaler tout contenu partag d'exploitation et d'abus sexuels d'enfants la National Crime Agency du pays.
Un fabricant d'applications pourrait galement concevoir son service et son code de manire intercepter et inspecter les messages pendant qu'ils circulent entre les participants d'une conversation. La ministre britannique de l'Intrieur, Priti Patel, a dclar dans un communiqu que le projet de loi permettra ainsi de lutter contre les abus sexuels sur les enfants. L'abus sexuel d'enfants est un crime rpugnant. Nous devons tous veiller ce que les criminels ne soient pas autoriss se dchaner en ligne et les entreprises technologiques doivent jouer leur rle et assumer la responsabilit de la scurit de nos enfants , a-t-elle dclar.
Des lments tels que le chiffrement de bout en bout rduisent considrablement la capacit des plateformes dtecter les abus sexuels sur les enfants. Le projet de loi sur la scurit en ligne tablit une obligation lgale claire de prvenir, d'identifier et de supprimer les contenus pdopornographiques, quelles que soient les technologies utilises. Personne ne peut raisonnablement nier qu'il s'agit d'un impratif moral , a-t-elle ajout. Le communiqu affirme galement : la vie prive et la scurit ne s'excluent pas mutuellement. Nous avons besoin des deux, et nous pouvons avoir les deux et c'est ce que cet amendement offre .
Cependant, l'amendement compromettrait la nature mme du chiffrement de bout en bout. Et ce qui n'est pas chiffr de bout en bout peut tre surveill au choix de l'application ou du fournisseur de services. Si la lgislation est adopte par le Parlement, l'Ofcom aura le pouvoir de contraindre les entreprises technologiques payer des pnalits si ce systme d'inspection n'est pas mis en uvre. Il incombe aux entreprises technologiques de dvelopper ou de se procurer des technologies permettant d'attnuer les risques, quels que soient leurs choix de conception , a expliqu la ministre britannique de l'Intrieur.
Mais un professeur d'ingnierie de la scurit s'inquite
Dans un article intitul Chat Control or Child Protection?, Anderson rfute les arguments avancs par Ian Levy, directeur technique du UK National Cyber Security Centre, et Crispin Robinson, directeur technique de la cryptanalyse au Government Communications Headquarters (GCHQ), l'quivalent britannique de la NSA.
Dans un article intitul Chat Control or Child Protection?, Anderson rfute des arguments avancs par Ian Levy, directeur technique du UK National Cyber Security Centre, et Crispin Robinson, directeur technique de la cryptanalyse au Government Communications Headquarters (GCHQ), l'quivalent britannique de la NSA.
Le document pro-surveillance, rdig par Levy et Robinson et intitul Thoughts on Child Safety on Commodity Platforms, a t voqu plus tt ce mois-ci par la commissaire europenne aux affaires intrieures, Ylva Johansson, devant la commission des liberts civiles du Parlement europen en soutien au rglement similaire de l'UE.
L'article de Levy et Robinson, tant lui-mme une rponse un article s'opposant l'analyse ct appareil qu'Anderson a co-crit avec 13 autres experts en scurit en 2021, dcrit les diffrents types de prjudices que les enfants peuvent rencontrer en ligne : partage d'image indcente; partage d'images virales; partage d'images/vidos indcentes entre dlinquants; prparation d'une future victime par un dlinquant; communication entre dlinquants; et le streaming d'abus la demande.
Anderson soutient que cette taxonomie des prjudices reflte les intrts des enquteurs criminels plutt que le bien-tre des enfants. Du point de vue de la protection de l'enfance et des droits de l'enfant, nous devons examiner les prjudices rels, puis les priorits pratiques des interventions policires et de travail social qui peuvent les minimiser , estime-t-il.
Anderson remet en question les donnes utilises pour alimenter l'indignation des mdias et les inquitudes politiques concernant les prjudices causs aux enfants. Citant les 102 842 rapports du Centre national pour les enfants disparus et exploits (NCMEC pour National Center for Missing and Exploited Children), l'organisation amricaine but non lucratif coordonnant les rapports sur la maltraitance des enfants des entreprises technologiques, la National Crime Agency (NCA) du Royaume-Uni, il estime que cela a conduit 750 poursuites pour images indcentes, bien moins de 3% du total de 2019 de 27 233 poursuites pour dlits d'image indcente, dont 26 124 concernaient des images d'enfants . Et le nombre de ces poursuites a culmin en 2016 et a depuis diminu, dit-il.
En bref, les donnes ne corroborent pas les allgations de dommages croissants grande chelle initis en ligne et vitables par la numrisation d'images , dclare Anderson.
Le danger de s'appuyer sur des preuves douteuses
Cependant, le vrai mal est caus par les faux positifs, observe-t-il, en dsignant Operation Ore, une rpression de la maltraitance des enfants sur Internet qui a commenc il y a deux dcennies et a conduit de fausses accusations.
Levy et Robinson proposent d'avoir des modles de langage excuts entirement localement sur le client pour dtecter le langage associ au toilettage . Ils comparent cette approche l'analyse CSAM sur l'appareil propose par Apple (et par la suite abandonne, du moins pour le moment) aux tats-Unis. Bien qu'ils reconnaissent les problmes soulevs l'poque - faux positifs, drive de la mission, vulnrabilit la falsification - ils affirment : Grce nos recherches, nous n'avons trouv aucune raison pour laquelle les techniques de numrisation ct client ne peuvent pas tre mises en uvre en toute scurit dans de nombreuses situations rencontres .
Anderson affirme que les forces de l'ordre ont depuis longtemps renonc analyser les e-mails la recherche de mots-cls tels que bombe , car cela ne fonctionne pas et parce que l'analyse du trafic, pour laquelle l'accs au contenu n'est pas requis, est plus efficace. Et il ne s'attend pas ce que les modles de traitement du langage naturel (NLP) fonctionnent mieux.
L'utilisation de modles NLP modernes pour dtecter les discours illgaux - qu'il s'agisse de toilettage sexuel, de recrutement terroriste ou de discours de haine - est trs sujette aux erreurs , affirme-t-il. Notre groupe de recherche a une longue exprience de la recherche d'extrmisme politique violent en ligne, ainsi que de fraude et de spam. En se basant uniquement sur le contenu textuel, il peut tre difficile d'obtenir des taux d'erreur nettement infrieurs 5 10%, selon la nature du matriel recherch .
Avec 5% de faux positifs, Anderson suggre que chacun des 1,6 million de policiers europens aurait 625 alarmes sur des dommages potentiels grer quotidiennement ce qui n'est pas exactement un scnario pratique. Cela ne veut pas dire qu'il n'y a pas d'options, juste que les correctifs techniques brisant le chiffrement ne sont pas adapts.
Les recommandations du professeur
Anderson a indiqu que le secteur priv s'est montr intress aider les gouvernements se lancer dans l'analyse du contenu.
Il y a une socit appele Thorn qui fait pression pour le contrat de numrisation et aimerait obtenir un mandat du gouvernement pour que son logiciel soit install dans vos clients de chat , a-t-il dclar.
Les oprateurs de services de chat dtesteraient cela, ce qui pourrait expliquer pourquoi Apple a produit son propre logiciel de numrisation ct client qui a provoqu un cataclysme l'anne dernire avant qu'une partie de celui-ci ne soit retir. Il existe galement des startups britanniques finances par le GCHQ et le Home Office pour produire des prototypes. Peut-tre que cela serait simplement utilis comme un moyen d'intimider les Big Tech pour qu'ils fassent le travail eux-mmes.
Cependant, le gros point faible est la faon dont Big Tech gre les rapports des utilisateurs, qui vont de mauvais (Facebook) presque pas du tout (Twitter). Il y a un rel cas pour que les gouvernements imposent de meilleures performances ici, comme l'indique le document et comme j'en parle galement dans mon article sur le projet de loi britannique sur la scurit en ligne .
Anderson, dans son article sur le contrle du chat, suggre que les militants de la scurit des enfants et de la confidentialit pourraient faire cause commune pour faire avancer les rgles qui obligent les fournisseurs de services en ligne supprimer les contenus illgaux lorsqu'ils sont signals.
l'heure actuelle, les entreprises technologiques prtent attention aux demandes de retrait de la police et des avocats du droit d'auteur, car les ignorer peut coter cher - mais ignorent les utilisateurs ordinaires, y compris les femmes et les enfants , dit-il. Cela doit tre corrig, que ce soit par des sanctions pnales ou par des sanctions financires importantes .
Les recommandations d'Anderson pour faire face la maltraitance des enfants se concentrent sur des approches traditionnelles et relativement compliques : une police communautaire de qualit plutt que des solutions bouton-poussoir ; engagement social; responsabiliser les jeunes; et le respect des droits de l'homme.
L'ide que les problmes sociaux complexes peuvent tre rsolus par des solutions techniques bon march est le chant des sirnes du vendeur de logiciels et a attir de nombreux ministres crdules sur les rochers , a dclar Anderson. L o les ministres achtent l'ide d'une 'solution' logicielle magique, comme l'industrie aime appeler ses produits, les rsultats sont souvent dcevants et parfois dsastreux .
Au-del de cela, Anderson dit que la surveillance omniprsente, sans motif, viole le droit des droits de l'homme. L'tat de droit doit primer sur la 'scurit nationale' , conclut-il. Nous devons conserver un avantage moral sur les tats autoritaires concurrents, et pas seulement un avantage militaire et technologique. Le chiffrement de bout en bout doit donc rester disponible pour des raisons morales .
Et, dit-il, le chiffrement doit rester pour des raisons de cyberscurit valables, comme Levy et Robinson l'ont reconnu prcdemment, et lui et ses collgues technologues l'ont soutenu dans leur article prcdent.
Source : Ross Anderson
Et vous ?
Pour ou contre la surveillance des communications au nom de la protection des enfants ?
Que pensez-vous de l'argumentaire de Ross Anderson ?
Que pensez-vous de ses propositions pour s'attaquer au contenu pdopornographique ?
