- Après l’adoption de l’Online Safety Bill (OSB) par le Parlement britannique, l’EFF craint qu’Internet au Royaume-Uni ne devienne non pas plus sûr, mais plus censuré et verrouillé
- La nouvelle loi permet au régulateur des communications Ofcom d’exiger des entreprises technologiques qu’elles scannent les contenus liés à l’exploitation sexuelle des enfants, y compris potentiellement les messages et fichiers chiffrés de bout en bout
- Scanner même les services chiffrés pourrait nécessiter des techniques de contournement ; l’EFF estime donc que ces exigences reviennent, de fait, à mettre en place une porte dérobée
- Les plateformes pourraient devoir retirer les contenus que le gouvernement britannique juge inappropriés pour les enfants et, face au risque de sanctions en cas de non-respect, la censure politisée pourrait s’intensifier
- L’OSB pourrait affaiblir l’accès anonyme via la généralisation de la vérification d’âge et, si le régulateur exige des portes dérobées, les services de messagerie chiffrée pourraient quitter le Royaume-Uni
Les risques créés par l’adoption de l’Online Safety Bill
- Le Parlement britannique a adopté l’Online Safety Bill
- Cette loi affiche l’objectif de faire du Royaume-Uni « l’endroit le plus sûr au monde » en ligne, mais l’EFF estime qu’en pratique, elle pourrait créer pour les utilisateurs britanniques un Internet plus censuré et verrouillé
- Les effets de l’OSB ne se limiteront pas à la protection de la vie privée et à la sécurité des résidents britanniques, mais pourraient aussi toucher les internautes du monde entier
Une obligation de scan qui fragilise le chiffrement
- Une disposition de l’OSB permet au régulateur britannique des communications, Ofcom, d’envoyer aux entreprises technologiques des injonctions leur imposant de scanner les utilisateurs afin de détecter des contenus liés à l’exploitation sexuelle des enfants
- Cela s’applique à tous les utilisateurs et peut inclure, malgré les protections de la vie privée, les messages et fichiers chiffrés de bout en bout
- Dans la rédaction actuelle de la loi, le gouvernement peut contraindre les entreprises à créer une technologie permettant le scan, qu’il y ait chiffrement ou non, et l’EFF y voit la mise en place d’une porte dérobée
- Les systèmes de scan côté client, qualifiés de « Bugs in Our Pockets », sont considérés par l’EFF et par de grands experts en sécurité informatique comme des systèmes qui affaiblissent la vie privée et la sécurité de tous
- L’EFF s’est déjà fortement opposée à l’OSB en 2023 et en 2022, précisément parce qu’il affaiblit le chiffrement
Conversations privées et sécurité des utilisateurs vulnérables
- Les conversations privées sont un droit humain fondamental, et ce droit est encore plus important pour les personnes vulnérables
- Si le Royaume-Uni utilise ses nouveaux pouvoirs pour scanner les données des personnes, la sécurité nécessaire pour se protéger contre les harceleurs, les voleurs de données ou les gouvernements autoritaires pourrait s’en trouver affaiblie
- L’EFF estime que les parlementaires britanniques ont créé de nouveaux risques au nom de la sécurité en ligne
- Le gouvernement britannique a récemment tenu des propos laissant penser qu’il reconnaît qu’il est difficile de contourner le chiffrement de bout en bout tout en préservant la vie privée des utilisateurs
- Mais tant que le texte de loi reste inchangé, ce que le gouvernement dit en privé aux entreprises technologiques ou ses faibles garanties publiques ne suffisent pas à protéger les droits humains des Britanniques et des internautes du monde entier
Censure des contenus et vérification d’âge
- Les plateformes en ligne devraient être tenues de retirer les contenus que le gouvernement britannique juge inappropriés pour les enfants
- Les plateformes qui ne s’y conforment pas s’exposent à de lourdes sanctions
- Le problème est qu’au Royaume-Uni comme aux États-Unis, il n’existe pas de consensus social sur ce qui constitue un contenu nuisible pour les enfants
- Confier ce jugement à un régulateur gouvernemental peut conduire à des décisions de censure politisée
- L’OSB pourrait aussi favoriser la généralisation de systèmes nuisibles de vérification d’âge
- Ils contreviennent aux principes d’anonymat et de simplicité d’accès qui existent depuis les débuts d’Internet
- On ne devrait pas avoir à présenter une pièce d’identité pour accéder à Internet
- Les systèmes de restriction d’âge destinés à empêcher l’accès des enfants peuvent priver les adultes de leur liberté d’expression privée et anonyme en ligne
Le choix auquel seront confrontés les services chiffrés
- Dans les prochains mois, le gouvernement britannique devrait publier des règles expliquant comment il compte réguler Internet avec ses nouveaux pouvoirs
- Si le régulateur affirme avoir le droit d’exiger des services chiffrés qu’ils créent des portes dérobées dangereuses, l’EFF estime que les services de messagerie chiffrée quitteront le Royaume-Uni, conformément à leurs engagements antérieurs
- La condition de ce départ serait que le gouvernement britannique porte atteinte à la capacité des services chiffrés à protéger les autres utilisateurs
1 commentaires
Avis sur Hacker News
Si vous pensez que le Royaume-Uni est sûr, vous pouvez aller en Chine ou en Russie. Là-bas, il y a vraiment un Internet « sûr », et couper carrément Internet pourrait même être encore plus sûr.
Les responsables politiques qui font adopter cette loi sont les personnes les moins qualifiées pour parler de technologie, et ils ne semblent pas comprendre, ou se soucier, du fait qu’une backdoor conçue pour eux est aussi une backdoor pour des attaquants motivés.
La disposition permettant à l’Ofcom d’exiger l’analyse des contenus pédopornographiques de tous les utilisateurs ressemble exactement au CSAM d’Apple. Au début, ce sera le terrorisme, puis cela s’étendra à la criminalité ordinaire, aux opinions politiques extrêmes et aux discours haineux.
J’aimerais que les « Big Tech » rappellent régulièrement que cette mesure inclut aussi les messages des responsables politiques. Quelque chose comme : « Conformément aux exigences de l’OSB, nous avons analysé tous vos fichiers et communications privées, et n’avons trouvé aucun contenu que le gouvernement actuel juge inacceptable. Tous les contenus passés et présents peuvent continuer à être analysés et signalés rétroactivement selon des critères en constante évolution. »
Si même les messages et fichiers chiffrés de bout en bout sont concernés, on finira probablement par passer à de l’E2E basé sur des serveurs personnels.
https://www.apple.com/child-safety/pdf/Expanded_Protections_...
La BBC britannique était également au courant pour Jimmy Saville, mais elle a gardé le silence et l’a laissé continuer.
Le terme lui-même semble tout droit sorti de 1984 d’Orwell ; on dirait qu’ils ne font presque même plus l’effort de dissimuler cette prise de pouvoir flagrante derrière quelques prétextes éculés, comme les enfants et le terrorisme.
Les backdoors sont mauvaises parce que le gouvernement ne devrait pas pratiquer la surveillance de masse de ses propres citoyens, et elles resteraient mauvaises même si une technologie de surveillance hypothétiquement parfaite était inventée.
Ben Franklin parlait peut-être de Rust avec cette phrase. Ou peut-être pas.
https://open.substack.com/pub/rakkhi/p/big-tech-vs-governmen...
Désolé si la formulation est vague. J’écris depuis mon téléphone et je manque de temps.
Ce qui m’agace le plus, en tant que personne vivant au Royaume-Uni, c’est l’indifférence totale des gens autour de moi. Même dans le secteur IT, les gens disent « qu’est-ce qu’on peut y faire », ou, plus récemment, « je n’ai plus l’énergie de m’indigner contre tout ce que fait ce gouvernement. Je fais juste le dos rond en espérant que ça s’améliore »
Le fait qu’il n’y ait quasiment aucune couverture dans les grands médias n’aide pas
Malgré tout, je consacre mon énergie à des réseaux décentralisés entièrement chiffrés, je continue d’expliquer ce qu’est cette escroquerie du monde occidental démocratique, et j’étudie aussi des formes modernes de résistance technique face au statu quo
Je pense que c’est peu, mais honnête ; pourtant, la majorité, y compris ici, préfère coopérer avec le système et les voleurs plutôt que d’accepter que nous avons été dupés pendant des décennies
Le fond du problème, c’est que nous sommes impuissants face à toute décision de Westminster. Tout le monde attend de voter pour un autre parti l’an prochain, mais peut-on vraiment croire que ce parti reviendra sur cette loi ? Eux aussi diront que c’est pour les enfants, et nous accuseront de vouloir protéger les pédophiles
La manière dont les grands journaux ont présenté cette loi comme une victoire, ou l’ont reléguée au niveau d’une note de bas de page, est écœurante
Il faut expliquer pourquoi et comment la vie privée devrait passer avant les problèmes auxquels les gens ont l’énergie de penser au quotidien. On dirait que vous reconnaissez cela jusqu’à un certain point, puis que vous l’ignorez
On dirait que la psyché britannique a été mortellement blessée par la Seconde Guerre mondiale et ne s’en est toujours pas remise. Tout reste dans le registre du « keep calm and carry on », et les tentatives d’influer politiquement sont ignorées, voire suscitent de la colère
Pourtant rien ne change, et le lent déclin vers l’autoritarisme continue. Et vous, que faites-vous ?
L’OSB est, au fond, un projet de loi animé de bonnes intentions. Il a été conçu de bonne foi et vise beaucoup d’abus technologiques que le gouvernement doit traiter par la loi
Mais sa mise en œuvre est nulle. Il a été rédigé par des personnes incompétentes pour ce travail, conseillées par des parties prenantes trompeuses et obsédées par leurs propres intérêts, incapables de distinguer l’informatique de leurs vœux pieux
L’article du Times impute aussi une partie de la responsabilité au système universitaire en ruine. Les universités sont désormais dirigées par des administrateurs professionnels plutôt que par des universitaires, et ne servent plus l’intérêt général
Les universités britanniques ne fournissent plus que des certificats d’études coûteux, et ne cherchent plus à offrir une véritable éducation qui forme des leaders
C’est ainsi qu’on se retrouve avec Michelle Donelan, titulaire d’un diplôme d’histoire et passée par le marketing, au poste de ministre de la Science, de l’Innovation et de la Technologie. Parce qu’il n’y a personne d’autre pour occuper ce poste
En plus, le gouvernement et les institutions publiques ne peuvent pas rivaliser avec la Big Tech, et ne parviennent donc pas à recruter, pour les postes clés, des personnes consciencieuses et techniquement compétentes. Sunak cultive une image de quelqu’un de « calé en tech », mais au final c’est encore un diplômé en PPE qui avance à coups de réseau et de bluff
Où est passée l’époque où le gouvernement régulait lui-même ses citoyens ? Dans l’ancien Internet, si un gouvernement voulait ce genre de contrôle, il devait l’implémenter lui-même, si je me souviens bien
À un moment donné, Twitter, Google et Facebook ont commencé à coopérer, et c’est maintenant devenu la norme. Pourquoi ne peut-on pas simplement recommencer à dire au gouvernement d’aller se faire voir ?
Qu’ils fassent eux-mêmes la police auprès de leur population. S’ils n’aiment pas que nos services soient utilisés, qu’ils les bloquent. Désormais, on en est au point où l’on ne peut même plus faire tourner un serveur XMPP avec OMEMO sans une équipe juridique pour répondre aux courriels des bureaucrates
J’en ai vraiment assez de cette situation et de ces réactions dociles, et je ne relève pas de leur juridiction
On peut alors bien dire au gouvernement d’aller se faire voir, mais le système est fait pour qu’on puisse vous inculper de quelque chose qui vous ruinera la journée dès le lendemain
Je ne porte pas de jugement de valeur en disant que les lois antitrust seraient mauvaises. Je dis seulement que ce type de lois peut être utilisé pour forcer des entreprises monopolistiques comme Google à agir comme le souhaitent les régulateurs. C’est aussi pour cela que ces lois sont appliquées de manière sélective
Les gouvernements veulent généralement réguler les activités impliquant des acteurs physiquement présents dans leur pays. Si une entreprise étrangère ne se conforme pas, ils peuvent en principe la bloquer, mais ils ne le font pas souvent, car il est plus avantageux pour eux que l’activité continue selon leurs conditions
À la place, ils veulent que les entreprises étrangères se conforment « volontairement ». Par exemple en leur faisant comprendre qu’elles pourraient perdre l’accès aux institutions financières nécessaires pour continuer à opérer dans le pays
Les entreprises étant en réalité des maximisateurs de profit immoraux et sans principes, elles obéissent en général
S’ils veulent un contrôle autoritaire d’Internet, qu’ils construisent leur propre grand pare-feu
La Big Tech est vulnérable aux pressions financières, mais un serveur Matrix ou XMPP hébergé aux États-Unis et administré par une seule personne n’a aucune raison de se conformer
La grande majorité de ce fil semble s’accorder sur le fait que cette loi est mauvaise et que la vie privée des utilisateurs est centrale.
Mais je me demande ce que vous pensez du contre-argument du gouvernement, à savoir que la vie privée des utilisateurs passe après la protection des enfants. Je joue seulement l’avocat du diable, je ne soutiens pas cette position.
Internet est-il un vecteur majeur d’exploitation des enfants ? Si cette loi envoie chaque année N agresseurs en prison, est-ce que cela en vaut la peine ? Combien devrait valoir N ?
Je suis d’accord pour dire que c’est mauvais pour la vie privée sur Internet et que c’est très probablement une prise de contrôle de la vie privée par le gouvernement. En même temps, si l’on discute seulement en disant « c’est juste une prise de pouvoir », « il existe un droit à la vie privée », « ça ne sauvera pas les enfants, parce que ça ne les sauvera pas », sans évoquer l’objectif affiché, je pense que c’est contre-productif pour toucher un public plus large.
Et pas seulement les pédophiles. Combien de criminels les backdoors gouvernementales permettent-elles d’arrêter ? À quelle fréquence les NSL produisent-elles des données ou des pistes qui permettent au gouvernement d’attraper des criminels qu’il aurait autrement manqués ? L’application des règles KYC/AML a un fort effet de frein sur l’économie : dans quelle mesure contrôle-t-elle réellement le comportement des criminels, et dans quelle mesure ne fait-elle que gêner le quotidien des citoyens ?
Je suis assez convaincu que les preuves montreraient que ces lois qui portent atteinte aux droits ont un effet net négatif sur la société. Donc tout ce que nous devrions demander, ce sont les données ; à elles seules, elles révéleraient à quel point ces idées sont effroyables.
Dès qu’on dit « les enfants », on se retrouve soudain à surveiller et à contrôler la pensée et la parole elles-mêmes. Bien sûr, on vous dira que tout cela est pour votre bien.
« Un nouveau sondage révèle que 7 adultes sur 10 veulent que les entreprises de réseaux sociaux en fassent davantage contre les contenus nuisibles »
https://www.gov.uk/government/news/new-poll-finds-7-in-10-ad...
Ce ne sont pas vraiment des statistiques sur les préjudices en ligne, mais il semble bien exister une demande publique à laquelle les deux grands partis répondent.
Le gouvernement ne se soucie commodément des enfants que lorsqu’il peut s’en servir comme argument pour obtenir davantage de pouvoir.
Leur cadrage est de mauvaise foi, et l’accepter, c’est tomber dans le piège. Mieux vaut l’ignorer et avancer avec son propre cadre.
« Celui qui sacrifie la liberté pour la sécurité ne mérite ni l’une ni l’autre, et finira par perdre les deux. »
Malheureusement, il y avait très peu de chances que ce projet de loi ne devienne pas une loi. Les partis d’opposition estimaient au contraire qu’il n’allait pas assez loin et ont poussé pour le rendre plus sévère.
Le grand public britannique est globalement favorable à toute loi qui impose des sanctions et une réglementation plus fortes aux géants de la tech. « Protégeons les enfants » est émotionnellement bien plus puissant que « mais nous pourrions un jour perdre le chiffrement », et les dommages collatéraux pour les libertés sont lents et discrets, donc rarement perçus ou évalués.
Compte tenu de tout cela, je pense qu’on ne peut qu’accepter comme une victoire la concession vague du gouvernement, « quand la technologie le permettra ». C’était le mieux que nous pouvions obtenir, et il n’y avait aucune chance que ce projet de loi ne soit pas adopté.
Nous sommes encore dans le Far West des débuts d’Internet, et ce genre de loi deviendra plus courant dans les décennies à venir, à mesure que les gouvernements tenteront de reprendre le contrôle de ce à quoi les citoyens peuvent accéder.
D’après ce que j’ai vu, il y a très peu de couverture de l’adoption de cette loi dans les grands médias britanniques.
Il reste donc très peu d’espace pour une critique rationnelle de cette loi.
Il y a moins de deux semaines, je discutais ici avec certains utilisateurs de la censure à laquelle nous sommes confrontés en Occident, et quand j’ai évoqué ce phénomène, certains semblaient ne pas en croire leurs oreilles.
Je pense qu’il peut sortir quelque chose de positif de ce type de loi, ainsi que des lettres récemment envoyées par le Parlement britannique à plusieurs plateformes Internet pour s’enquérir de la capacité des utilisateurs à y être actifs. Une censure gouvernementale aussi explicite peut attirer l’attention sur l’ampleur réelle de la censure en général.
Et je suis fermement convaincu que ce n’est que la partie émergée de l’iceberg, c’est-à-dire la censure visible. C’est la partie qui apparaît lorsque le gouvernement tente explicitement d’empêcher la liberté d’expression, non seulement dans son propre pays mais aussi chez ses voisins.
Sous la surface, il existe une quantité incalculable de censure privée politiquement motivée, même lorsqu’elle n’est pas directement liée au gouvernement.
Whatsapp, Signal et Apple tiendront-ils leurs promesses, ou se retireront-ils en disant qu’un détail tout à fait mineur du projet de loi a changé et que tout va bien désormais ?
Au final, les parlementaires ont compris qu’ils ne pouvaient pas encore faire cela. Ce qui a réellement été inclus, c’est une formulation vague disant qu’il faudra l’implémenter « lorsque la technologie le permettra ».
Désormais, la plupart des gens acceptent cette formulation comme une victoire, en disant qu’elle revient à reconnaître la défaite. Puisqu’on ne peut pas contourner la vie privée tout en préservant les libertés, c’est en pratique comme si l’on avait écrit « quand 1+1=3 ». Les entreprises nous disent aussi que cela n’aura pas d’impact sur nous.
Mais il est difficile de ne pas être pessimiste. Cette clause est un fusil de Tchekhov, et elle a été mise là précisément pour rester ambiguë. Je ne doute pas que, dans les prochaines années, un consensus émergera pour dire que « la technologie le permet désormais », avec quelque chose comme du MITM.
Tout ce qui s’est passé, c’est qu’un porte-parole du gouvernement s’est levé à la Chambre des Lords pour dire en substance : « Faites-nous confiance. Nous n’utiliserons pas encore ce pouvoir. »
Il y a quelques mois, quand ce sujet est apparu, j’ai écrit à mon élu aux États-Unis.
La réponse disait en gros qu’il n’existait exactement que deux catégories de personnes : 1) celles qui pensent que le gouvernement devrait pouvoir lire leurs activités en ligne, 2) les délinquants sexuels visant des enfants.
Je n’ai plus beaucoup confiance dans le système désormais.
Malheureusement, très peu de personnes de la seconde catégorie finissent par travailler au gouvernement.
Pourquoi le Royaume-Uni adopte-t-il une approche aussi centrée sur la surveillance envers ses citoyens ? Cela rappelle ce que redoutait George Orwell.
Les moyens pour y parvenir sont la peur et la diversion, diffusées par les médias qu’eux et leurs amis possèdent.
Dans ce contexte, l’enthousiasme pour la surveillance est parfaitement logique. Cela fonctionne bien auprès des gens qui regardent le Daily Mail et finissent par croire qu’un monstre — immigré, pédophile ou autre — s’en prend à eux et à leurs enfants.
En même temps, c’est aussi utile pour surveiller les manifestants et les travailleurs en grève qui tentent d’attirer l’attention sur leurs tactiques et leurs objectifs.
L’opposition critique le gouvernement en disant qu’il l’a affaibli. Par exemple, l’opposition voulait interdire les VPN.
Tout ce qui limite le pouvoir des entreprises Internet bénéficie d’un large soutien.
Si l’on suit cette idée, Orwell ne décrivait pas seulement la surveillance, mais aussi la manipulation des masses. Il se peut donc qu’au Royaume-Uni, plus qu’ailleurs, il existe une peur réelle de la mobilisation de masse et de la polarisation par les médias, en raison de lois sur la presse plus libres qu’ailleurs, de la conscience de classe, d’expériences traumatiques comme la campagne du Brexit, et de la possibilité d’un financement partiel par des puissances étrangères hostiles.