1 points par GN⁺ 2024-02-15 | 1 commentaires | Partager sur WhatsApp
  • La Cour européenne des droits de l’homme interdit les mesures affaiblissant de manière générale le chiffrement de bout en bout (end-to-end encryption), ce qui pourrait aussi freiner le projet de surveillance de masse CSAR de l’UE sur le chat control
  • Le jugement estime que le chiffrement protège les citoyens et les entreprises contre le piratage, le vol d’identité et de données personnelles, la fraude et les fuites d’informations confidentielles, et que les portes dérobées peuvent être exploitées par des réseaux criminels
  • La Cour considère qu’il existe des moyens de surveiller des communications chiffrées sans réduire la protection de tous les utilisateurs, citant par exemple l’exploitation de vulnérabilités du logiciel visé ou le déploiement d’implants sur les appareils
  • Patrick Breyer, député européen, estime que le scan côté client défendu par la Commission européenne est clairement illégal au regard de cette décision, car il surveille tous les smartphones et détruit la protection du chiffrement
  • Le Parlement européen a rejeté la destruction du chiffrement sécurisé et le chat control indiscriminé, mais des négociations pourraient commencer une fois la position du Conseil de l’UE arrêtée, les ministres européens de l’Intérieur devant rediscuter du texte début mars

Ce que le jugement interdit en matière d’affaiblissement du chiffrement

  • La Cour européenne des droits de l’homme interdit les mesures affaiblissant de manière générale le chiffrement de bout en bout sécurisé
  • Le chiffrement est reconnu comme un moyen de protéger les citoyens et les entreprises contre plusieurs menaces
    • le piratage
    • le vol d’identité et de données personnelles
    • la fraude
    • la divulgation non autorisée d’informations confidentielles
  • Les portes dérobées peuvent être exploitées par des réseaux criminels et compromettre gravement la sécurité des communications électroniques de tous les utilisateurs
  • La Cour estime qu’il est possible de recourir à des méthodes de surveillance qui ne réduisent pas la protection de tous les utilisateurs
    • exploitation de vulnérabilités du logiciel visé
    • déploiement d’implants sur l’appareil ciblé
  • Le document de l’arrêt de la CEDH cité à l’appui est para. 76 ff.

L’évaluation de Breyer sur le projet de loi européen de chat control

  • Patrick Breyer, député européen du Pirate Party, qualifie cette décision de landmark judgement
  • Breyer estime que la surveillance de tous les smartphones via le scan côté client incluse dans le projet de chat control de la Commission européenne est clairement illégale
  • Selon son analyse, cette approche détruit la protection du chiffrement de tout le monde au lieu de cibler des suspects
  • Breyer demande aux gouvernements de l’UE de retirer du texte la destruction du chiffrement sécurisé et la surveillance indiscriminée des communications privées de l’ensemble de la population

Inquiétudes sur le chiffrement et la continuité des services

  • Breyer souligne que le chiffrement sécurisé sauve des vies
  • Sans chiffrement, il est impossible d’avoir la certitude que des messages ou des photos ne seront pas exposés à des personnes non dignes de confiance
  • Ce qu’on appelle le scan côté client produirait, selon lui, l’un des deux résultats suivants
    • rendre les communications fondamentalement non sûres
    • empêcher les citoyens européens d’utiliser Whatsapp ou Signal
  • Breyer affirme que ces fournisseurs ont déjà envisagé de suspendre leurs services en Europe
  • Le dernier projet de position du Conseil de l’UE est toujours critiqué parce qu’il prévoirait encore la destruction du chiffrement sécurisé

La structure de la proposition de la Commission européenne

  • La Commission européenne et le réseau industriel des autorités de surveillance demandent un mécanisme de recherche généralisée dans les communications privées
  • Les messageries chiffrées de bout en bout sont elles aussi concernées
  • L’objectif est de détecter des signes de contenus illégaux
  • Cette approche repose sur une technologie sujette aux erreurs
  • Elle ne peut être mise en œuvre qu’en affaiblissant le chiffrement de bout en bout sécurisé

La position actuelle des différentes institutions de l’UE

  • Une majorité de gouvernements de l’UE soutient cette initiative
  • Toutefois, une minorité de blocage empêche pour l’instant une décision
  • Les ministres européens de l’Intérieur doivent rediscuter du texte début mars
  • Le Parlement européen, sous la pression des Pirates et de la société civile, a rejeté
    • la destruction du chiffrement sécurisé
    • le chat control indiscriminé
  • La position du Parlement servira de point de départ à d’éventuelles négociations une fois que le Conseil de l’UE aura arrêté sa propre position

Meta et le chat control volontaire

  • Meta a annoncé qu’il commencerait en 2024 à chiffrer les messages directs de Facebook et Instagram
  • L’entreprise a indiqué qu’elle mettrait fin à la surveillance volontaire actuelle de chat control sur ces messages
  • L’UE poursuit la procédure visant à prolonger l’autorisation du chat control volontaire
  • La page d’information de Breyer sur le chat control est chatcontrol.eu

1 commentaires

 
GN⁺ 2024-02-15
Avis sur Hacker News
  • Dans cette affaire, la Cour a estimé que l’obligation de déchiffrer les communications chiffrées de bout en bout constituait une atteinte disproportionnée au droit à la vie privée
    La loi en question imposait aux messageries comme Telegram de transmettre le contenu des communications ainsi que, lorsqu’elles étaient chiffrées, « les informations nécessaires au déchiffrement des messages électroniques »
    La Cour a considéré qu’affaiblir le chiffrement de bout en bout au moyen de portes dérobées aurait des effets de grande ampleur, et a également cité l’exigence de rechercher, par la législation et le progrès technique continu, des « alternatives au déchiffrement qui n’affaiblissent pas les mécanismes de protection ». Cela inclut les enquêtes traditionnelles, les opérations d’infiltration, l’analyse des métadonnées, la coopération policière internationale, la criminalistique en direct sur des appareils saisis, la déduction ou l’obtention des clés privées détenues par les parties à la communication, l’exploitation de vulnérabilités logicielles ciblées ou l’envoi d’implants
    Même s’il s’agit d’un jugement portant sur une affaire et une loi précises, la Cour semble assez sceptique vis-à-vis, de manière générale, des approches qui exigent des fournisseurs de services l’affaiblissement des mécanismes de chiffrement de tous les utilisateurs. Le gouvernement britannique pourrait légitimement craindre, sur la base de cette décision, que l’Online Safety Bill soit annulé par les juridictions nationales ou européennes
    Cela dit, même si les portes dérobées dans le chiffrement de bout en bout ont été jugées comme dépassant les limites admissibles d’une restriction légitime du droit à la vie privée, ce droit est dérogeable : si un gouvernement déclare un état d’urgence « menaçant la vie de la nation », il peut y déroger dans la mesure nécessaire au titre de l’article 15 de la CEDH
    Les paragraphes pertinents sont les 76 à 80 : https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...

    • Il est aussi important de noter que les tribunaux britanniques ne peuvent pas annuler une loi adoptée par le Parlement
      Le mieux qu’ils puissent faire est émettre une déclaration d’incompatibilité, après quoi les ministres peuvent corriger le défaut par voie de législation secondaire sans faire adopter une nouvelle loi. Bien sûr, cela suppose qu’il existe une volonté politique de le faire
      Cela dit, l’Online Safety Act cherche à traiter une grande partie du sujet via de la législation secondaire, des codes statutaires et des lignes directrices, que les tribunaux peuvent annuler. Tant que la loi elle-même n’oblige pas à créer des dispositifs intrusifs, il sera intéressant de voir comment les choses évolueront
    • La conclusion selon laquelle « l’obligation de déchiffrer les communications chiffrées de bout en bout porte atteinte au droit à la vie privée » est assortie de la condition suivante : en l’absence de garanties contre les abus
      Malheureusement, on ne peut pas simplement dire qu’elle est totalement incompatible. D’après cette décision, le problème ne se pose que lorsqu’il n’y a pas de bonnes garanties ; le jugement emploie à un endroit le terme « adequate », à un autre « suitable », mais ce que cela signifie concrètement n’est pas clair
    • Le Royaume-Uni souhaite quitter la CEDH, donc il pourrait malheureusement contourner cette décision
      https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
    • Le passage sur « les informations nécessaires au déchiffrement des messages électroniques » lorsqu’ils sont chiffrés me rappelle Lavabit, que j’utilisais autrefois comme messagerie principale
      En réponse à une demande d’informations de déchiffrement, Lavabit a remis sa clé privée, mais l’a fournie tapée sur papier. Il y avait peut-être une faute de frappe quelque part à la page 6 ou 12
      https://thenextweb.com/news/you-wont-believe-what-email-prov...
    • Question peut-être stupide, mais comme le Royaume-Uni n’est plus membre de l’UE, je me demande pourquoi une juridiction de l’UE pourrait annuler une loi britannique
  • Je suis un peu perdu. L’article lui-même paraît assez politique et cite des éléments de langage du Pirate Party, mais n’explique pas quelle affaire est allée devant la Cour ni ce que le jugement a précisément interdit ; j’ai donc cliqué sur la décision elle-même, liée tout en bas
    Cette affaire ne semble pas directement liée au Pirate Party ni au Chat Control. À lire rapidement les faits, il s’agit d’une action intentée par un particulier contre le gouvernement russe après que Telegram a été condamné à une amende pour ne pas avoir transmis des messages de chat en clair. Le mot « Russia » n’apparaît même pas dans tout l’article. Je ne comprends pas ce que cet article rapporte, ni pourquoi il le présente comme lié à la récente législation Chat Control
    Les paragraphes 80 à 81 de la décision indiquent que « la conservation des communications Internet de tous les utilisateurs, l’accès direct des services de sécurité sans garanties contre les abus, et les exigences de déchiffrement des communications chiffrées applicables aux communications chiffrées de bout en bout » ne peuvent pas être considérés comme nécessaires dans une société démocratique, et constituent donc une violation du droit à la vie privée garanti par l’article 8 de la CEDH
    On peut étendre ce raisonnement à d’autres lois de contournement du chiffrement comme Chat Control, mais cela risque d’être inexact si l’on ne tient pas compte des circonstances spécifiques du droit russe. Par exemple, l’expression « sans garanties suffisantes contre les abus » au paragraphe 80 est importante, et si Chat Control était passé devant la même formation de jugement, celle-ci aurait peut-être estimé que de telles garanties existaient

    • Cette décision fera jurisprudence. Si un eurodéputé du Pirate Party l’a commentée, c’est parce que ce sujet fait partie des thèmes centraux de ce parti. Il n’y a aucune raison que le Pirate Party apparaisse dans le jugement
    • L’article en question n’est pas l’original. L’original est ici : https://www.patrick-breyer.de/en/european-court-of-human-rig...
  • C’est une bonne chose que cela s’applique encore au Royaume-Uni après le Brexit. Le Royaume-Uni est toujours membre de la CEDH

    • Les conservateurs parlent de quitter la CEDH depuis plusieurs années
    • L’Azerbaïdjan est aussi membre de la CEDH, mais cela ne l’empêche pas d’emprisonner des opposants politiques, de recourir au travail forcé, de commettre des crimes de guerre, d’attaquer un autre État membre de la CEDH et de pratiquer le nettoyage ethnique
  • Ces derniers temps, l’Europe montre assez bien comment mener une régulation technologique raisonnable

    • Si cette décision était nécessaire, c’est parce que l’UE s’orientait vers une interdiction du chiffrement de bout en bout. La décision a été rendue par la Cour, pas par la Commission européenne, et pour autant que je sache, la Commission peut encore choisir de l’ignorer
    • Maintenant, ce serait bien qu’ils développent aussi correctement la technologie elle-même
  • Trop d’affaires se terminaient par « ils reviendront dans deux ans pour réessayer », donc c’est un peu rassurant de voir apparaître un obstacle durable à ce genre de propositions anti-chiffrement de bout en bout

    • Si possible, j’aimerais que ça passe par des instances du genre commission de l’agriculture ou de la pêche
  • L’Europe a fait quelque chose qui me plaît vraiment
    Je craignais que le récit « pensons aux enfants » ne prenne le dessus, mais au moins en Europe, la valeur du chiffrement semble avoir un avenir

    • Malgré son nom, ce n’est pas l’UE
  • Il existe une certaine tension entre les gouvernements et l’industrie autour du chiffrement. Les gouvernements ne devraient pas introduire de failles dans les algorithmes, mais ils ont aussi besoin de moyens de lire les messages des criminels et des terroristes. L’industrie veut que ses clients aient le sentiment de pouvoir utiliser ses produits de messagerie en toute sécurité pour des usages légitimes
    Sans pression au niveau local, on finit par laisser aux États-Unis la commercialisation du chiffrement. Le monde universitaire continuera d’aimer les nouveaux algorithmes, mais tant que personne ne pourra en tirer de l’argent, ils resteront dans des articles de recherche, prêts à être transformés par un développeur américain entreprenant en la prochaine grande appli de chat chiffré, plus sûre que Signal

  • Bien. Je ne citerai pas de noms, mais certains FAI ne doivent pas être très contents en ce moment. Cette décision met un vrai coup d’arrêt à certains modèles de proxy
    Ça fait du bien

    • J’aimerais qu’on les nomme pour les couvrir de honte. Ça aiderait tout le monde
  • L’article est à moitié nul. Au-delà des positions politiques, il est mal écrit et biaisé
    Mieux vaut lire l’arrêt
    https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
    CASE OF PODCHASOV v. RUSSIA
    Application no. 33696/19

    • Pour défendre quand même l’article, il contient un lien vers l’arrêt. Rien que ça le place presque dans le top 20 % des articles politiques
      L’arrêt lui-même se lit assez bien et, après un rapide survol, il semble globalement correspondre au contenu de l’article
    • D’après le texte anglais du communiqué de presse de la Cour, le requérant, Anton Valeryevich Podchasov, est un ressortissant russe né en 1981 et résidant à Barnaul
      Il utilisait Telegram, que la Russie avait désigné comme « organisateur de communications sur Internet » ; à ce titre, Telegram devait légalement conserver toutes les données de communication pendant un an et le contenu des communications pendant six mois, et fournir aux autorités d’application de la loi ou de sécurité, dans les cas prévus par la loi, ces données ainsi que les informations nécessaires au déchiffrement des messages électroniques chiffrés
      Podchasov contestait, sur le fondement des articles 8 et 13 de la CEDH, les obligations de conservation, de transmission et de déchiffrement des données ainsi que l’absence de recours effectif, et la Cour a constaté une violation de l’article 8. Pour le préjudice moral, elle a estimé que le constat de violation constituait en soi une satisfaction équitable suffisante
      Le lien source est cassé : https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
      Ce site est horrible, il rend les liens permanents presque impossibles. C’est une très mauvaise conception pour une institution qui rend des décisions importantes que les gens doivent pouvoir citer
    • Le balisage HN semble casser le lien, donc voici un lien alternatif : https://hudoc.echr.coe.int/eng/?i=001-230854
    • En résumé, la Cour a jugé à l’unanimité qu’elle était compétente pour connaître des griefs du requérant concernant les faits antérieurs au 16 septembre 2022, a déclaré recevable le grief relatif à l’atteinte au droit au respect de la vie privée et de la correspondance, et a reconnu à l’unanimité une violation de l’article 8 de la CEDH
      Elle a estimé, par 5 voix contre 2, qu’il n’était pas nécessaire d’examiner séparément le grief tiré de l’article 13 ; par 6 voix contre 1, que le constat de violation constituait une satisfaction suffisante pour le préjudice moral ; et, par 6 voix contre 1, elle a rejeté la demande de satisfaction équitable du requérant
      L’arrêt a été rédigé en anglais et notifié par écrit le 13 février 2024
    • Les paragraphes pertinents sont les paragraphes 76 à 81. La Cour considère que le chiffrement est une solide garantie technique contre l’accès illicite au contenu des communications et qu’il contribue à la protection des droits fondamentaux, non seulement de la vie privée en ligne et du secret des communications, mais aussi de la liberté d’expression
      Elle indique également que le chiffrement protège les citoyens et les entreprises contre les abus des technologies de l’information, comme le piratage, le vol d’identité et de données personnelles, la fraude ou la divulgation indue d’informations confidentielles, et que cela doit être dûment pris en compte lorsqu’on évalue des mesures susceptibles d’affaiblir le chiffrement
      Pour déchiffrer des communications chiffrées de bout en bout comme les « secret chats » de Telegram, il faudrait apparemment affaiblir le chiffrement de tous les utilisateurs ; une telle mesure ne pourrait pas être limitée à des personnes précises et toucherait donc indistinctement même des personnes ne présentant aucune menace pour les intérêts légitimes du gouvernement
      La création d’une backdoor rendrait techniquement possible une surveillance routinière, générale et indiscriminée des communications électroniques privées, et pourrait aussi être exploitée par des organisations criminelles, compromettant gravement la sécurité des communications électroniques de tous les utilisateurs
      La Cour reconnaît que les criminels peuvent eux aussi utiliser le chiffrement et que cela peut compliquer les enquêtes, mais elle admet l’exigence de rechercher des alternatives au déchiffrement qui n’affaiblissent pas les mécanismes de protection, ainsi que d’autres méthodes d’enquête
      En conclusion, dans cette affaire, l’obligation de déchiffrer les communications chiffrées de bout en bout risquait de contraindre le fournisseur de services à affaiblir les mécanismes de chiffrement de tous les utilisateurs ; elle n’était donc pas proportionnée au but légitime poursuivi, et la loi en cause ne pouvait pas être considérée comme nécessaire dans une société démocratique, ce qui constitue une violation de l’article 8
  • Excellente nouvelle
    La Cour européenne des droits de l’homme est précisément celle que l’idiot de gouvernement britannique cherche à attaquer en la mettant dans le même sac que l’UE