2 points par GN⁺ 2025-02-26 | 1 commentaires | Partager sur WhatsApp
  • Alors que le gouvernement suédois cherche à imposer à Signal et WhatsApp une obligation de conservation des messages, la CEO de Signal, Meredith Whittaker, a déclaré que si la mesure se concrétisait, l’entreprise se retirerait de Suède
  • Le point de friction est de savoir si les services de messagerie chiffrée doivent conserver les anciens historiques de messages afin de répondre aux demandes de la police
  • Signal estime que se conformer aux exigences suédoises l’obligerait à créer une backdoor ou une vulnérabilité dans son logiciel, ce qui affaiblirait la sécurité de l’ensemble du réseau
  • Le projet de loi permettrait à la police et au Security Service de demander a posteriori les messages de personnes soupçonnées d’infractions, et pourrait être adopté l’an prochain
  • Les Armed Forces ont également transmis au gouvernement un avis négatif, estimant que la proposition serait difficile à mettre en œuvre sans introduire des vulnérabilités exploitables par des tiers

La Suède pousse à une obligation de conservation des messages

  • Le gouvernement suédois envisage de forcer Signal et WhatsApp à conserver les messages transmis via leurs applications
  • La CEO de Signal, Meredith Whittaker, a déclaré à SVT News que si cette mesure entrait en vigueur, Signal quitterait la Suède

Pourquoi Signal refuse une backdoor

  • Whittaker estime que ce projet de loi revient à exiger l’installation d’une backdoor logicielle dans l’application de messagerie chiffrée Signal
  • Selon elle, créer une vulnérabilité pour répondre aux exigences suédoises ouvrirait une voie d’affaiblissement pour l’ensemble du réseau Signal
    • Whittaker a déclaré : « Si nous créons une vulnérabilité pour répondre au souhait de la Suède, cela crée un moyen d’affaiblir l’ensemble de notre réseau »
    • Signal a indiqué qu’il n’introduirait pas une telle backdoor

Objectif du projet de loi et probabilité d’adoption

  • Le projet de loi vise à permettre à la police et au Security Service de demander les anciens historiques de messages de personnes soupçonnées d’infractions
  • Ce projet de loi pourrait être adopté l’an prochain

Avis négatif des Armed Forces

  • Dans une lettre adressée au gouvernement, les Armed Forces ont exprimé une position défavorable sur cette proposition
  • Selon SVT, cette mesure serait difficile à mettre en œuvre sans introduire des vulnérabilités et des backdoors pouvant être exploitées par des tiers

1 commentaires

 
GN⁺ 2025-02-26
Commentaires sur Hacker News
  • En revanche, dans une lettre adressée au gouvernement, les forces armées suédoises ont jugé négativement cette proposition, estimant qu’elle « ne peut pas être mise en œuvre sans introduire des vulnérabilités et des backdoors susceptibles d’être exploitées par des tiers »
    C’est la première fois que je vois une organisation prendre une telle position, et c’est louable qu’elle s’y soit opposée

    • D’après l’article original (en suédois : https://www.svt.se/nyheter/inrikes/signal-lamnar-sverige-om-...), la raison de l’opposition de l’armée est qu’elle a récemment commencé à recommander à ses troupes d’utiliser Signal afin de réduire les risques d’écoute
      Ajouter une backdoor à Signal affaiblirait la sécurité de l’armée
      “Men Försvarsmakten är negativa och nyligen uppmanade försvaret sin personal att börja använda Signal för att minska risken för avlyssning.”
    • Tor n’est-il pas aussi assez connu pour avoir reçu, à ses débuts, des contributions de personnes liées au laboratoire de recherche de l’US Navy ?
      L’armée n’est pas la police ni un service de renseignement : c’est une organisation qui se prépare à la guerre, pas dont la raison d’être est de surveiller les civils et d’interférer avec eux
      Une certaine surveillance peut être nécessaire à titre accessoire, mais ce n’est pas son essence
    • Je me demande si c’est une bonne idée, pour une armée, d’utiliser un service de messagerie instantanée hébergé dans un autre pays
      Aussi bon que soit Signal, surtout dans la période actuelle, j’imagine qu’ils voudraient quelque chose qu’ils contrôlent directement
    • Apple avait adopté la même position lors de l’affaire de San Bernardino
  • Pour mémoire, la proposition au niveau de l’UE visant à scanner tous les messages personnels sur les appareils au moyen d’agents IA venait elle aussi, en 2022, de la commissaire européenne suédoise Ylva Johansson
    “EU Commissioner Ylva Johansson has also been heavily criticised regarding the process in which the proposal was drafted and promoted. A transnational investigation by European media outlets revealed the close involvement of foreign technology and law enforcement lobbyists in the preparation of the proposal. This was also highlighted by digital rights organisations, which Johansson rejected to meet on three occasions. Commissioner Johansson was also criticised for the use of micro-targeting techniques to promote its controversial draft proposal, which violated the EU's data protection and privacy rules.”

    • J’ai l’impression que rien de bon n’est jamais sorti d’Ylva Johansson
      Dès que son nom est associé à un dossier, il faut automatiquement commencer par se méfier
    • Y a-t-il en Suède un mouvement fasciste dont je n’aurais pas connaissance ?
  • Si même les forces armées suédoises en arrivent à dire « s’il vous plaît, ne faites pas ça », c’est vraiment une proposition remarquable

    • Signal a été réellement utilisé par des soldats ukrainiens, et l’armée russe cherche à cibler ces communications chiffrées, donc les armées européennes sont sans doute les mieux placées pour le savoir
      Pour l’instant, ils semblent surtout viser la récupération de smartphones sur les soldats tombés au combat
    • C’est vraiment étrange qu’une proposition de ce genre arrive aussi loin sans même avoir été validée par le ministère de la Défense et de vrais experts
      Ce n’est pas un problème propre à la Suède : on le voit clairement dans plusieurs pays
      J’aimerais vraiment comprendre pourquoi les responsables politiques et les organisations policières ont autant de mal à saisir que les backdoors sont dangereuses
  • Signal est basé aux États-Unis et n’a probablement pas d’employés en Suède, voire peut-être pas dans toute l’UE
    Tout ce que le gouvernement suédois peut faire pour bloquer Signal se résume à faire pression sur les app stores ou à une censure au niveau des fournisseurs d’accès à Internet
    Comme il s’agit en plus d’une organisation à but non lucratif, l’UE n’a même pas de chiffre d’affaires sur lequel infliger une « amende » ; cette capitulation préventive est donc très décevante

    • Ce n’est pas vrai que le gouvernement suédois ne pourrait agir qu’en faisant pression sur les app stores ou par une censure au niveau des FAI
      Il peut aussi viser les dirigeants et les employés d’entreprises étrangères
      Tant que ces employés ne passent pas par la Suède, les accusations peuvent ne pas avoir beaucoup de portée, mais si le vent politique tourne à l’avenir, il pourrait aussi convaincre d’autres pays de les faire appliquer
      Il est rationnel pour une entreprise de vouloir éviter que ses employés risquent d’être placés en détention lors de voyages internationaux
      Et cela met plus efficacement en lumière l’enjeu politique, car les Suédois verront directement les conséquences des lois de leurs élus, plutôt que l’entreprise assume le risque juridique et les ignore discrètement
    • Les app stores sont exploités par des entreprises qui ont une présence dans l’UE
    • La Suède fait partie du Five Eyes élargi, aujourd’hui les 14 Eyes
      C’est une structure où chacun sous-traite aux autres le sale boulot pour contourner les restrictions nationales sur la surveillance, donc les États-Unis pourraient aussi, en apparence, coopérer pour exercer des pressions au nom de la Suède
    • Je continue de voir l’idée selon laquelle une entreprise n’aurait pas à respecter les lois des pays où elle exerce ses activités simplement parce que son siège se trouve ailleurs
      Le fait que Signal soit basée aux États-Unis ne signifie pas qu’elle puisse simplement ignorer les lois d’autres pays, et selon l’issue, ce problème pourrait bel et bien se poser ici
      La Suède peut exiger une backdoor, et Signal peut refuser
      Ensuite, soit la Suède abandonne sa demande, soit elle inflige des amendes jusqu’à ce que Signal obtempère, soit elle l’interdit purement et simplement, soit Signal bloque les utilisateurs suédois
      Encore une fois, les backdoors sont une idée désastreuse, mais ces mesures relèvent des pouvoirs et des droits de chacun
  • Personnellement, je ne suis pas d’accord avec cette loi, mais j’aimerais bien voir une grande entreprise se retirer du marché pour qu’on voie enfin les effets concrets de ce genre de menace
    Dans ce cas, je comprends leur position

    • Google a fini par faire ça en Chine
      Résultat : le marché intérieur a comblé le vide et s’est conformé à toutes les lois autoritaires concernées
      Je ne pense pas que la même chose se produirait sur tous les marchés où ce genre de tentative a lieu, du moins pas avec le même niveau de qualité
      Je ne comprends pas pourquoi des pays européens copient la méthode chinoise, puis s’étonnent que les entreprises réagissent aux mesures autoritaires comme elles l’ont déjà fait par le passé
      Leur suffisance est-elle telle qu’ils n’arrivent même pas à imaginer que leurs « exigences » sont « littéralement les mêmes que celles de la Chine » ?
    • Il y aura toujours des acteurs prêts à se plier à ce que demande le marché
      Il y en aura toujours pour accepter n’importe quelle exigence absurde du gouvernement
    • As-tu déjà lu The Corporation ?
      Le livre explique assez en détail pourquoi les entreprises ne peuvent pas faire autrement
      Ce n’est pas qu’elles « ne veulent pas », c’est qu’elles ne peuvent pas
  • Ce n’est pas comme un certain géant de la Big Tech qui fait semblant de se soucier de la vie privée seulement tant que ses profits ne baissent pas

    • Ce n’est pas le cas de tous ?
  • S’il y a une backdoor, à quoi sert Signal ?
    Ce n’est pas une question de principe, mais une condition indispensable au business

    • S’ils réussissent à mettre une backdoor dans Signal, la suite sera WhatsApp, RCS et d’autres systèmes de chiffrement qu’on ne peut pas contourner
      Si la Suède le fait, d’autres pays suivront
      Comme cette fameuse étude unique néerlandaise qui a influencé les politiques de santé dans le monde entier
      L’objectif est de supprimer la vie privée
      Pour la raison, choisissez entre terrorisme, enfants ou espionnage
      Essayez de vous opposer directement à l’un de ces motifs, et l’argument selon lequel le gouvernement doit avoir un accès reviendra sans fin
      Les gens s’acharnent à défendre l’abandon de leurs droits
      J’ai oublié qui l’a dit, mais une civilisation sans secrets ne peut pas exister
  • Il me semble que ce genre de propositions vient souvent d’Europe
    Si je ne me trompe pas, pourquoi l’Europe exerce-t-elle une pression aussi forte sur la vie privée ?

    • Beaucoup de gens croient qu’on peut retirer la sécurité aux criminels qui utilisent des apps comme Signal sans affecter celle de tout le monde
      La Suède est comme le reste du monde
      L’armée suédoise semble toutefois avoir compris
      Dans une lettre au gouvernement, elle a écrit que cette proposition « ne peut pas être mise en œuvre sans introduire des vulnérabilités et des backdoors exploitables par des tiers »
      L’armée a aussi récemment recommandé d’élargir l’usage de Signal, ce qui veut dire qu’elle a étudié la question et estimé que la sécurité actuelle était suffisante
    • Ce n’est pas seulement la vie privée : l’Europe met globalement la pression sur la liberté
      Cela inclut la liberté d’expression, le droit de garder le silence, la présomption d’innocence, etc.
      La plupart de ces mesures visent à répondre à la menace terroriste croissante à laquelle nous sommes confrontés au quotidien
      La liberté ne fonctionne vraiment que dans une société où ses membres partagent globalement les mêmes valeurs et coopèrent, or les sociétés européennes se fragmentent et deviennent de moins en moins sûres et de moins en moins tolérantes
      Pour résoudre cela, il faudra probablement restreindre certaines libertés dans une certaine mesure
      Une autre hypothèse est que cela pourrait être le résultat d’un électorat plus âgé et plus féminin
      Si l’on suppose que les femmes sont plus actives politiquement, que les générations plus âgées représentent une part plus importante de l’électorat, et que ces groupes sont en moyenne davantage orientés vers la sécurité, on peut considérer que les préoccupations de sécurité commencent à prendre le dessus sur le désir de liberté
      Ce n’est qu’une hypothèse
    • Il devient évident que les responsables politiques de l’UE se laissent trop facilement manipuler par des entreprises qui ont des produits à vendre
      « Depuis les révélations du “Chatcontrol-Gate”, nous savons que la proposition de contrôle des messageries de l’UE est en fin de compte le produit du lobbying du complexe industriel de la surveillance international. Pour que cela ne se reproduise plus, il faut assécher le marécage du lobbying de la surveillance. »
      https://news.ycombinator.com/item?id=43171861
    • La Suède est rapidement passée d’une société à haut niveau de confiance à une société où des attaques à l’arme à feu et à la grenade ont lieu chaque semaine [1]
      C’est l’occasion parfaite pour les forces de l’ordre de réclamer davantage de capacités de surveillance
      [1] https://la.stnight.in/Sweden/
    • Comme on l’a vu dans leurs tentatives passées de réguler l’industrie, les bureaucrates européens comprennent généralement très peu les technologies qu’ils sont payés pour encadrer
      C’est assez proche d’une régulation au feeling
      Il suffit de reproposer sans cesse la même réglementation sous un nouveau nom jusqu’à ce qu’elle finisse par passer
  • Si vous comptez, il existe aussi en France une autre proposition visant à imposer des backdoors
    « Chez Tuta, nous sommes profondément préoccupés par l’amendement proposé à la loi dite “Narcotrafic”, qui obligerait les fournisseurs de communications chiffrées à mettre en place des backdoors pour les forces de l’ordre. Cela menacerait la sécurité et la vie privée de tout le monde, et pourrait entrer en conflit avec la législation européenne sur la protection des données ainsi qu’avec la loi allemande sur la sécurité informatique. Nous exhortons l’Assemblée nationale française à rejeter cet amendement dangereux. Une backdoor réservée aux gentils n’est pas possible. »
    « La France s’apprête à modifier un projet de loi contre le trafic de stupéfiants, la loi “Narcotrafic”, qui obligera les applications de messagerie chiffrée comme Signal et WhatsApp à créer une backdoor dans le chiffrement afin de pouvoir remettre, dans les 72 heures suivant la demande, les messages de discussion déchiffrés de criminels présumés. Pour en assurer l’application, le texte prévoit une “amende de 1,5 million d’euros pour les personnes physiques et une amende pouvant aller jusqu’à 2 % du chiffre d’affaires mondial annuel pour les personnes morales”. L’amendement a déjà été adopté par le Sénat et progresse désormais rapidement vers l’Assemblée nationale. »
    https://tuta.com/blog/france-surveillance-nacrotrafic-law