La Cour européenne des droits de l’homme interdit l’affaiblissement du chiffrement « end-to-end » sécurisé

 (eureporter.co)
1 points par GN⁺ 2024-02-15 | 1 commentaires | Partager sur WhatsApp

Cour européenne des droits de l’homme (CEDH)

  • La Cour européenne des droits de l’homme a interdit hier l’affaiblissement généralisé du chiffrement de bout en bout (end-to-end encryption) sécurisé.
  • Le jugement affirme que le chiffrement aide les citoyens et les entreprises à se protéger contre le piratage, l’usurpation d’identité, le vol de données personnelles, la fraude et la divulgation non autorisée d’informations confidentielles.
  • Les portes dérobées peuvent être exploitées par des réseaux criminels et mettre gravement en péril la sécurité des communications électroniques de tous les utilisateurs.
  • La Cour estime qu’il existe d’autres solutions pour surveiller les communications chiffrées sans affaiblir de manière générale la protection de tous les utilisateurs.

Avis d’un député européen

  • Le député européen et défenseur des libertés numériques Patrick Breyer (Parti Pirate) a déclaré que cette décision montre clairement que la surveillance par « client-side scanning » proposée par la Commission européenne est manifestement illégale.
  • Au lieu d’enquêter sur des suspects, cela détruirait la protection de tout le monde.
  • Les gouvernements de l’UE n’ont désormais d’autre choix que de retirer de leur position sur cette proposition toute atteinte au chiffrement sécurisé.
  • Le chiffrement sécurisé sauve des vies. Sans chiffrement, nous ne pouvons pas être sûrs que nos messages ou nos photos ne sont pas exposés à des personnes que nous ne connaissons pas et en qui nous ne pouvons pas avoir confiance.
  • Le « client-side scanning » rendrait fondamentalement nos communications non sécurisées, ou bien les citoyens européens ne pourraient plus utiliser WhatsApp ou Signal.
  • Le Parlement européen a rejeté la destruction du chiffrement sécurisé et le contrôle indiscriminé des chats, mais ce n’est qu’un point de départ pour les négociations avec le Parlement européen une fois que celui-ci aura arrêté sa position.
  • Meta a annoncé qu’il chiffrerait cette année les messages directs sur Facebook et Instagram et mettrait fin à l’actuelle surveillance volontaire du contrôle des chats.
  • Malgré cela, l’UE est en train d’étendre son autorité en matière de contrôle volontaire des chats.

Contexte

  • La Commission européenne et le réseau industriel des autorités de surveillance demandent une inspection généralisée des communications privées, y compris des messageries chiffrées de bout en bout, afin de rechercher des signes de contenus illégaux.
  • Cela ne peut pas être mis en œuvre sans affaiblir le chiffrement de bout en bout sécurisé.
  • Bien que la plupart des gouvernements de l’UE soutiennent cette initiative, une minorité de blocage empêche toute décision.
  • Les ministres de l’Intérieur de l’UE doivent rediscuter de ce projet de loi début mars.

Avis de GN⁺

  • Le point le plus important de cet article est que la Cour européenne des droits de l’homme a rendu une décision interdisant l’affaiblissement du chiffrement de bout en bout sécurisé.
  • Cette décision pourrait constituer un jalon très important dans une société moderne qui accorde de la valeur à la vie privée et à la sécurité des données.
  • L’importance des technologies de chiffrement et les efforts juridiques visant à les protéger sont intéressants et utiles pour le public, car la protection de la vie privée et la cybersécurité deviennent de plus en plus importantes.

À lire aussi

1 commentaires

 
GN⁺ 2024-02-15
Avis Hacker News

  • Le tribunal a estimé qu’exiger légalement, dans des cas précis, le déchiffrement de communications chiffrées de bout en bout (E2E) constituait une atteinte excessive au droit à la vie privée.

    • La loi en question impose à des services de messagerie (par ex. Telegram) de fournir, avec les messages chiffrés, les informations nécessaires à leur déchiffrement.
    • Pour parvenir à cette conclusion, le tribunal a pris en compte les effets très larges qu’aurait l’affaiblissement du chiffrement E2E et s’est appuyé sur les voix qui demandent des « solutions » alternatives au déchiffrement sans affaiblir les mécanismes de protection.
    • Ces solutions incluent les activités policières traditionnelles, les opérations sous couverture, l’analyse des métadonnées, la coopération policière internationale, la forensic en temps réel sur des appareils saisis, le fait de deviner ou d’obtenir les clés privées détenues par les parties à la communication, l’exploitation de vulnérabilités du logiciel ciblé, ainsi que le déploiement d’implants sur des appareils spécifiques.

  • Bien que cette décision porte sur un cas précis (et une loi précise), le tribunal se montre très sceptique face aux exigences imposant aux fournisseurs de services d’affaiblir les mécanismes de chiffrement pour tous les utilisateurs.

    • Si j’étais le gouvernement britannique, je m’inquiéterais de voir l’Online Safety Bill invalidé par des tribunaux nationaux (ou européens) sur la base de cette décision.

  • Même s’il est précisé qu’en cas de déclaration d’état d’urgence, le gouvernement peut déroger au droit à la vie privée dans les limites nécessaires à une urgence « menaçant la vie de la nation », l’installation de backdoors dans l’E2E est considérée comme allant au-delà de ce qui peut légitimement restreindre ce droit.

  • Il existe une sorte de bras de fer entre les gouvernements et l’industrie autour du chiffrement.

    • Les gouvernements ne devraient pas injecter de failles dans les algorithmes, mais ils estiment avoir besoin d’un moyen de lire les messages des criminels et des terroristes.
    • L’industrie veut permettre à ses clients d’utiliser ses produits en toute sécurité.
    • En l’absence de pression régionale, cela pourrait laisser aux États-Unis la commercialisation du chiffrement.

  • L’article a une teneur politique et cite des éléments de communication du Parti pirate, mais il n’explique pas quelle affaire a été portée devant les juges ni ce qui a été concrètement interdit.

    • L’affaire judiciaire réelle concerne une plainte d’un particulier contre le gouvernement russe, liée à une amende infligée lorsque Telegram n’a pas fourni des messages de chat en clair.
    • Le mot « Russie » n’apparaît nulle part dans l’article, et on ne voit pas clairement pourquoi il est présenté comme lié aux récents projets de loi sur le chat control.

  • C’est bien d’apprendre que cette décision s’applique aussi au Royaume-Uni. Le Royaume-Uni reste membre de la Cour européenne des droits de l’homme (CEDH).

  • L’Europe montre récemment de bons exemples de la manière dont une régulation technologique raisonnable peut être mise en œuvre.

  • Dans un contexte où beaucoup de choses finissent par se résumer à « ils réessaieront dans deux ans », il est plutôt rassurant de voir se mettre en place un obstacle de long terme à ces propositions anti-E2EE.

  • Je suis heureux de voir que la valeur du chiffrement peut avoir un avenir en Europe.

  • Affaiblir un chiffrement de bout en bout sûr rend le chiffrement sans valeur.

  • On peut imaginer que certains fournisseurs d’accès à Internet (FAI) ne soient pas satisfaits de la situation actuelle. Cela crée de gros obstacles pour certains modèles de proxy.

  • Excellente nouvelle venant de la Cour européenne des droits de l’homme. Le gouvernement britannique essaie de critiquer cette cour de la même manière qu’il critiquait l’UE.