2 points par GN⁺ 2023-07-29 | 1 commentaires | Partager sur WhatsApp
  • Le Online Safety Bill du Parlement britannique est dans sa dernière ligne droite avant son passage à la House of Lords, et pourrait imposer des portes dérobées aux services de messagerie, avec des conséquences sur la vie privée des utilisateurs dans le monde entier
  • Le principal point de friction du texte est que l’exigence d’analyse des messages pour détecter des contenus liés aux abus sur mineurs ou au terrorisme est difficilement compatible avec le chiffrement de bout en bout
  • WhatsApp, Signal, Element et d’autres ont averti dans une lettre ouverte publiée en avril 2023 que cela pourrait conduire à une surveillance routinière, générale et indiscriminée des messages privés, et Apple les a rejoints en juin
  • Le gouvernement britannique affirme que le client-side scanning permettrait de concilier sécurité et vie privée, mais l’EFF rétorque qu’une porte dérobée cryptographique ne peut pas être réservée à des usages bien intentionnés
  • Sans amendement protégeant le chiffrement de bout en bout, des personnes comme les défenseurs des droits humains, les journalistes ou les utilisateurs LGBTQ+ travaillant dans des environnements hostiles, qui dépendent de la messagerie privée, en supporteraient directement les risques

La pression exercée par l’Online Safety Bill sur le chiffrement

  • Le Parlement britannique pousse le Online Safety Bill, un vaste projet de loi de régulation d’Internet, désormais dans sa dernière phase avant son adoption par la House of Lords
  • Ce texte pourrait donner au gouvernement britannique le pouvoir d’imposer des portes dérobées aux services de messagerie, au risque de faire sauter le chiffrement de bout en bout
  • Les amendements destinés à atténuer les aspects les plus dangereux du projet n’ont pas encore été retenus
  • L’EFF avertit que ce texte ne se limiterait pas au Royaume-Uni et pourrait marquer un recul de la vie privée et de la démocratie à l’échelle mondiale

L’ampleur de la régulation et le point de blocage central

  • L’Online Safety Bill trouve son origine dans un livre blanc sur les “online harms” vieux de plus de quatre ans, et prend la forme d’une régulation d’Internet extrêmement large
  • Parmi les exigences figurent le filtrage de contenu, la vérification de l’âge pour accéder aux contenus pour adultes, ainsi que des rapports détaillés d’activité en ligne à remettre au gouvernement
  • Parmi elles, le pouvoir d’exiger l’analyse des messages, qui pourrait briser le chiffrement de bout en bout, est présenté comme l’enjeu le plus critique

L’analyse des messages entre en conflit avec le chiffrement de bout en bout

  • Les conversations privées sont un droit humain fondamental, et le moyen technique le plus solide de le garantir dans l’environnement numérique est le chiffrement de bout en bout
  • Si le gouvernement impose une technologie d’analyse des messages approuvée par l’État, cela entre en conflit avec un modèle de chiffrement où seuls l’expéditeur et le destinataire peuvent lire les messages
  • La réponse centrale de l’EFF est qu’il n’existe pas de porte dérobée cryptographique utilisable uniquement par les “gentils”
    • interdire le chiffrement
    • faire pression sur les entreprises pour qu’elles reviennent en arrière sur le chiffrement
    • exiger le client-side scanning peuvent tous profiter à des acteurs malveillants et à des États autoritaires

Les alertes des entreprises et de la société civile

  • Le gouvernement britannique affirme vouloir le pouvoir d’analyser tous les messages en ligne pour repérer des contenus liés aux abus sur mineurs ou au terrorisme, tout en protégeant la vie privée des utilisateurs
  • L’EFF répond qu’il est impossible d’atteindre simultanément ces deux objectifs
  • Des organisations britanniques de la société civile, des experts techniques et des groupes de défense des droits humains du monde entier ont également critiqué ce projet de loi
  • Des fournisseurs de messagerie chiffrée comme WhatsApp, Signal et Element, basé au Royaume-Uni, ont averti dans une lettre ouverte en avril 2023 des risques posés par l’OSB
    • le projet pourrait casser le chiffrement de bout en bout
    • les messages privés d’amis, de familles, d’employés, de dirigeants, de journalistes, de défenseurs des droits humains et de responsables politiques pourraient faire l’objet d’une surveillance routinière, générale et indiscriminée
  • Apple a rejoint l’opposition en juin 2023, déclarant publiquement que le texte menace le chiffrement et pourrait exposer davantage les citoyens britanniques

L’argumentaire technique avancé par le gouvernement britannique

  • Dans une réponse adressée à la House of Lords, le secrétaire d’État britannique à la Culture, aux Médias et au Sport a répété qu’il serait possible d’analyser les messages sur des plateformes chiffrées de bout en bout tout en préservant la vie privée
  • La réponse affirme que des entreprises ont déjà développé par le passé des solutions pour des plateformes chiffrées de bout en bout, et qu’Ofcom devrait pouvoir exiger l’usage de telles technologies
  • Elle soutient aussi que, en l’absence de solution immédiatement exploitable, il est légitime que le gouvernement pilote l’exploration technologique
  • Safety Tech Challenge Fund

    • Programme dans lequel le gouvernement britannique a accordé de petites subventions pour développer des logiciels censés analyser des fichiers tout en protégeant la vie privée des utilisateurs
    • Les descriptions des prototypes lauréats incluent plusieurs formes de client-side scanning consistant à examiner des fichiers avec de l’IA avant leur envoi sur un canal chiffré
    • Pour l’EFF, cela revient à répéter l’erreur consistant à dire que, si les entreprises technologiques ne parviennent pas à créer une “porte dérobée magique” protégeant les utilisateurs, il faut simplement pousser plus loin le développement technologique

Les amendements encore possibles et les personnes concernées

  • Les parlementaires britanniques ont encore l’occasion d’empêcher une décision susceptible de conduire à une surveillance de masse
  • Aux étapes de commission et de rapport à la House of Lords, le chiffrement de bout en bout n’a pas été suffisamment examiné ni mis au vote
  • Les Lords peuvent encore ajouter un amendement simple précisant que la messagerie privée doit être protégée et que le chiffrement de bout en bout ne doit ni être affaibli ni supprimé
  • L’EFF, avec des organisations britanniques de la société civile, a envoyé en juillet 2023 un briefing à la House of Lords
    • il explique les problèmes du texte actuel en matière de chiffrement
    • il propose l’adoption d’un amendement protégeant le chiffrement de bout en bout
  • Si cet amendement n’est pas adopté, ce sont des défenseurs des droits humains et des journalistes qui dépendent de la messagerie privée pour travailler dans des environnements hostiles, ainsi que des utilisateurs LGBTQ+ qui dépendent de la vie privée pour s’exprimer librement, qui en paieront le prix

Opinion publique et documents de référence

1 commentaires

 
GN⁺ 2023-07-29
Avis sur Hacker News
  • Le gouvernement britannique ne comprend toujours pas qu’Internet n’a pas de frontières, et qu’on ne peut pas en créer sans restrictions extrêmes dignes d’un régime totalitaire.
    S’il impose des mesures sans large coordination internationale, il poussera un nombre immense de personnes vers les recoins les plus sombres d’Internet, ce qui non seulement ruinera complètement l’objectif, mais aggravera aussi le problème.
    À elle seule, Meta a le pouvoir de faire de cette loi un échec retentissant. Les gens veulent utiliser WhatsApp, et les gouvernements eux-mêmes l’utilisent largement. Si Meta refuse, le gouvernement ne peut pas faire grand-chose. Facebook peut continuer à fonctionner sans un seul employé au Royaume-Uni ; cela nuirait en partie à son activité, mais ce serait tout à fait possible.
    Le gouvernement pourrait faire pression sur Apple et Google pour retirer WhatsApp des app stores britanniques, mais ce genre de restriction régionale se contourne facilement, et WhatsApp est assez populaire pour que les gens essaient. Cela normaliserait alors des pratiques comme le sideloading, le jailbreak et le contournement des restrictions régionales ; les cybercriminels se frotteraient les mains en voyant l’occasion, et les pédophiles et terroristes que l’on voulait arrêter prendraient eux aussi le train en marche.

    • Apple est allé jusqu’à menacer de retirer ses systèmes du Royaume-Uni plutôt que de se conformer à cette loi.
      https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
    • As-tu déjà été en Chine ? Internet a clairement des frontières et des limites. On peut parfois les franchir en douce ou obtenir un visa, mais chaque pays fixe ses propres règles, et la plupart des gens s’y conforment ou n’en savent tout simplement rien. Les grandes multinationales sont aussi de bonnes cibles, donc elles respectent généralement les lois locales.
      Les entreprises qui s’opposent à cette loi au Royaume-Uni menacent de quitter le marché. Cela ne veut pas dire qu’elles aideront les utilisateurs britanniques à trouver un moyen d’enfreindre la loi, mais qu’elles bloqueront les utilisateurs britanniques sur leurs services.
    • Même un régime totalitaire ne peut pas empêcher le reste du monde d’utiliser le chiffrement. Les entreprises peuvent quitter le Royaume-Uni, et le Royaume-Uni n’a pas de juridiction au-delà de ses frontières.
      Si je créais une application de messagerie chiffrée de bout en bout, je n’aurais absolument aucune raison d’écouter le Royaume-Uni. Tout comme la Chine ne peut pas me donner d’ordres, le Royaume-Uni non plus. Si la Chine le veut, elle peut bloquer mon application, mais ce blocage est leur affaire, pas la mienne. Le Royaume-Uni peut aussi ériger un pare-feu s’il le souhaite. Mais si je ne mets pas les pieds au Royaume-Uni, je n’ai pas à modifier mon application.
    • Pourquoi des restrictions extrêmes les arrêteraient-elles ? Ils n’ont pas l’air d’avoir le moindre problème à en imposer.
      Pas la peine non plus de s’inquiéter de l’absence de large coordination internationale. Les autres gouvernements sont tout aussi nuls et veulent les mêmes absurdités.
    • Le gouvernement britannique ne s’est jamais beaucoup soucié de pousser des mesures impossibles à mettre en œuvre. En tant que Britannique, je tombe parfois sur le résultat du blocage de sites pirates par les FAI : quand un message du type « ce site est bloqué » apparaît, il suffit d’un ou deux clics pour changer de connexion ou activer un VPN.
      L’interdiction du chiffrement semble tout aussi « difficile » à contourner. Cela ressemble davantage à une tentative de paraître vertueux auprès des électeurs qu’à quelque chose censé accomplir quoi que ce soit en pratique.
  • Si vous vivez au Royaume-Uni, ce serait bien de signer cette pétition sur les sites du gouvernement et du Parlement britanniques : https://petition.parliament.uk/petitions/634725
    Il y a actuellement 6 327 signatures ; il en faut encore 3 673 pour obtenir une réponse du gouvernement, puis 90 000 de plus pour que la pétition soit examinée en vue d’un débat.

    • Écrire directement à son député est plus efficace. Mieux vaut éviter les modèles tout faits. Je n’ai encore jamais vu ce genre de pétition produire autre chose qu’une mise de côté, même des pétitions beaucoup plus populaires.
      Les lettres envoyées aux députés aboutissent presque toujours à des réponses toutes faites, mais au moins ils y prêtent attention. Très rarement, on reçoit même une réponse qui n’est pas un modèle.
    • 6 000 signatures, c’est étonnamment peu, et si une recherche ne fait apparaître qu’une seule pétition sans doublon, cela paraît encore plus faible. Il semble que le sujet ne soit pas encore beaucoup arrivé dans la zone de partage massif sur Facebook qui propulse ce type de pétition à de grands chiffres.
  • Je déteste vraiment le gouvernement britannique actuel.
    J’espère que ces projets de loi bancals s’effondreront devant les tribunaux, une fois que ceux-ci auront confirmé que la réalité finit toujours par donner le dernier coup de massue.
    Il y a probablement aussi dedans une clause fixant désormais la valeur de pi à 4.

    • Comment les tribunaux pourraient-ils les faire tomber ? Je croyais que les tribunaux britanniques ne pouvaient pas invalider les lois du Parlement et que, contrairement aux États-Unis, ils étaient placés sous le Parlement.
    • Ce n’est pas seulement un problème du gouvernement actuel. L’ensemble du Parlement et plusieurs commissions semblent prêts à suivre les services de renseignement et de sécurité dès qu’ils disent que le chiffrement, c’est mal.
    • Labour n’est-il pas aussi favorable à ça ? Dans ce cas, c’est fichu de toute façon.
    • Tu dis « actuel », mais il est au pouvoir depuis plus de dix ans déjà.
  • Je déteste aussi notre gouvernement, mais les médias jouent un rôle énorme dans son maintien.
    Toutes les entreprises tech devraient faire front commun et être prêtes à couper l’accès à leurs services. Il suffit d’imaginer ce qui se passerait si, au Royaume-Uni, on ne pouvait plus utiliser ne serait-ce que WhatsApp, sans même parler d’iMessage. Ce ne serait ni irresponsable ni dangereux. Il restera toujours les SMS, que le gouvernement peut contrôler complètement.
    Je ne pense pas que ces entreprises aient à craindre leurs concurrents. Ces services sont tellement profondément installés que quelques semaines, voire quelques mois de protestation, ne changeraient rien. Si le gouvernement finit par céder, le rétablissement serait simple et les chiffres reviendraient vite à la normale.

    • J’ai vu récemment une interview de David Yelland, ancien rédacteur en chef du Sun, où il disait que les médias d’information britanniques sont globalement dirigés par la même petite classe sociale que celle qui travaille comme spads[1]. Cela colle bien avec l’idée que les médias soutiennent le gouvernement. Car les médias et la politique forment désormais une communauté homogène et étroitement liée.
      [1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
    • Exact. Un Royaume-Uni sans WhatsApp serait en état de révolte. Tous les gens que je connais, des ados aux personnes âgées, organisent leur vie avec WhatsApp. La seule absence de WhatsApp suffirait à faire descendre dans la rue même des gens aussi apathiques, paresseux et peu enclins à manifester que nous.
  • C’est vraiment absurdement stupide. Cela va créer un Internet bien plus fragmenté, tous les pays commenceront à s’éloigner davantage les uns des autres, et la confiance dans les produits occidentaux/britanniques/américains sera perdue.
    Dans ce cas, pourquoi le reste du monde continuerait-il à utiliser des iPhone, des MacBook, Google, Amazon, etc. ? Le coût sera énorme en chiffre d’affaires perdu pour toutes les grandes entreprises.
    À l’inverse, il existe des méthodes plus intelligentes pour faire ce qui est nécessaire tout en respectant la vie privée et sans infliger de dommages économiques inutiles aux entreprises. Mais cela suppose d’avoir des gens intelligents au gouvernement, or les gouvernements sont remplis de gens qui ne le sont pas.
    Un autre aspect est que, pour la grande majorité des particuliers, ce sera impossible à faire appliquer. Les contournements ne manquent pas, et plusieurs entreprises commenceront à s’installer dans des régions non touchées ou offshore pour proposer des alternatives à Viber, Skype, Google, etc. Certaines existent déjà.

    • Je pense qu’un Internet plus fragmenté est l’avenir qui nous attend.
  • Pendant que cela se produit, le Royaume-Uni déploie aussi la fibre optique dans tous les foyers. Plusieurs personnes vivant sur des routes de campagne très isolées voient des câbles d’abonné 36x fibre COF215 suspendus entre les arbres ou enterrés à côté de chemins boueux.
    EE a été à l’avant-garde de la LTE Cat16 dans les villes de premier et deuxième rang à la fin des années 2010, ce qui a coïncidé avec la sortie de l’iPhone X et sa prise en charge du trafic gigabit. Bientôt, ce sera aussi possible dans un champ près de chez vous. Une bande passante abondante et à faible latence est en train d’arriver pour tout le monde.
    Avec une telle connectivité, on peut répartir de façon beaucoup plus créative les rôles entre ceux qui fournissent le transport et ceux qui fournissent la connectivité IP. Les VPN deviennent déjà grand public. Cela ressemble à une évolution positive. Internet route autour des dégâts, et les lois qui limitent ce que l’on peut ou non faire peuvent aussi être « contournées par routage » si le trafic se termine à Dublin ou Amsterdam.
    Le problème, c’est que plus il devient normal pour les citoyens britanniques d’envoyer leur trafic à l’étranger, plus la trajectoire de la politique du gouvernement britannique semble ne mener, au bout du compte, qu’à une nouvelle guerre totale contre le chiffrement.

  • J’exploite un serveur XMPP chiffré utilisé par environ 12 personnes. Il est totalement éphémère dans le sens où le serveur ne stocke pas les messages. Si l’on est hors ligne, on manque les messages, un peu comme sur IRC.
    Cette loi s’applique-t-elle aussi à moi ? Dois-je vérifier qu’aucun utilisateur britannique n’est présent sur mon serveur ?
    Quand j’ai créé le serveur, je n’avais absolument pas anticipé ce genre de situation. Je pensais que mettre en œuvre des mesures fortes de sécurité et de confidentialité était une responsabilité à prendre au sérieux.
    Si je dois compromettre la vie privée des gens, je n’ai aucune envie d’exploiter ce serveur. Sans confidentialité, cela ne vaut pas mieux que les services des géants du secteur.

    • Si vous n’êtes pas au Royaume-Uni, vous n’êtes pas sous juridiction britannique.
  • Je vois quelques commentaires disant qu’un changement de gouvernement aiderait, mais le précédent gouvernement Labour (1997–2010) a introduit le Regulation of Investigatory Powers Act 2000 : https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
    Il incluait aussi des règles de divulgation des clés : https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... Dans la divulgation des clés, la charge de la preuve est inversée : l’accusé doit prouver qu’il ne possède pas la clé ou qu’il ne peut pas déchiffrer, ce qui avait été assez controversé parmi les personnes qui s’y intéressaient à l’époque. L’utilisation effective des dispositions de la partie III du RIPA a commencé en 2007.
    Le même gouvernement Labour a aussi poussé l’Interception Modernisation Programme : https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... Vous vous en souvenez peut-être via le « mastering the internet » révélé par les fuites de Snowden, mais l’IMP lui-même n’était pas secret. Un projet de loi a aussi été présenté pour en inscrire une partie dans la loi : https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... Il n’est pas devenu loi.
    Je pense que le Labour est lui aussi d’accord avec cette orientation. Et la haute fonction publique qui travaille directement avec les ministres ou en est proche ne change pas comme dans l’administration américaine. Il est possible que ce projet de loi manque de temps lors de l’actuelle législature, soit abandonné, et que le gouvernement suivant ne le reprenne pas ; cela pourrait aussi arriver même si le même parti reste au pouvoir. Mais cette idée reviendra sous une forme ou une autre, et je pense qu’elle finira par devenir loi.

    • Le Labour n’a pas non plus promis d’abroger le projet de loi restreignant les manifestations introduit par Suella Braverman, et quand la vice-cheffe de l’opposition a été directement interrogée sur ce point, elle a répondu en substance que « ce n’est pas le moment de l’examiner », donc il ne faut pas s’attendre à grand-chose de progressiste sur cette question.
  • Pour mettre cela en œuvre complètement, il faudrait démanteler une quantité énorme de logiciels et de protocoles, y compris VPN, SSL/TLS, SSH, WebRTC.
    Les autres pays ne voudront pas que ces protocoles soient affaiblis uniquement pour le Royaume-Uni. Au final, le Royaume-Uni se retrouvera avec un « grand pare-feu » et, de fait, son propre petit Internet, tandis que les personnes à l’aise techniquement passeront par les failles, comme en Chine.

    • J’aimerais que le rôle du Royaume-Uni soit celui-ci : « Erreurs : le but de votre vie pourrait n’être que de servir d’avertissement aux autres »
      https://despair.com/products/mistakes
  • Je me demande combien d’entreprises choisiront de bloquer le Royaume-Uni plutôt que de se conformer à la loi. Ce ne sera certainement pas zéro.

    • Il y a WhatsApp (Meta), Signal et Apple.
      https://www.politico.eu/article/uk-ministers-lock-horns-with...
    • Faut-il vraiment bloquer les utilisateurs britanniques ?
      Ne suffit-il pas de supprimer toute présence commerciale au Royaume-Uni pour échapper aux problèmes juridiques potentiels ?
    • Tout s’effondrera dès qu’ils réaliseront à quel point il est impossible de mettre cela en œuvre.