Dites à l’UE : ne brisez pas le chiffrement avec le « Chat Control »

 (mozillafoundation.org)
2 points par GN⁺ 2025-09-23 | 1 commentaires | Partager sur WhatsApp
  • L’analyse côté client consiste à examiner les messages ou les fichiers sur l’appareil avant leur chiffrement
  • Cette approche est présentée comme visant la protection de l’enfance, mais en réalité elle sape la promesse fondamentale du chiffrement
  • Des outils de détection sont utilisés alors qu’ils ont une forte probabilité de provoquer des faux positifs et des vulnérabilités de sécurité
  • Une fois l’analyse autorisée, le périmètre visé s’élargit, ce qui accroît le risque d’atteinte à la vie privée
  • En conséquence, cette technologie pose le problème d’un affaiblissement de la sécurité de tous

Qu’est-ce que l’analyse côté client (CSS) ?

  • L’analyse côté client est une méthode qui consiste à examiner sur l’appareil de l’utilisateur ses messages, photos et fichiers avant leur chiffrement
  • Cette approche est généralement promue comme une mesure de protection de l’enfance

Atteinte à la promesse du chiffrement

  • En réalité, l’analyse côté client affaiblit les promesses de sécurité et de confidentialité offertes par le chiffrement
  • Les outils destinés à détecter des contenus « non identifiés » présentent un risque élevé de faux positifs et peuvent créer de nouvelles vulnérabilités de sécurité

Risque d’élargissement du champ d’application

  • Même si cela commence au départ par des usages limités comme la protection de l’enfance (par ex. les CSAM), le périmètre des contenus analysés peut ensuite facilement s’élargir
  • Si le chiffrement est affaibli, divers risques augmentent, comme le vol d’informations sensibles par des hackers, le repérage de personnes vulnérables par leurs agresseurs ou la surveillance par des États autoritaires

Un affaiblissement concret de la sécurité

  • L’analyse côté client produit peu d’effet réel en matière de renforcement de la sécurité
  • Elle aboutit à un résultat qui affaiblit la sécurité de tous

À lire aussi

1 commentaires

 
GN⁺ 2025-09-23
Commentaire Hacker News

  • J’aime comparer cela à l’installation de caméras de surveillance dans chaque foyer : cela faciliterait effectivement la détection ou l’enquête sur les crimes, et le gouvernement pourrait même promettre, petit doigt levé, qu’il ne regardera jamais sans mandat ; il pourrait même tenir sa promesse. Mais cette pente dangereuse n’est qu’une partie du problème. Plus grave encore, tant qu’un tel système existe, qu’il soit réellement utilisé ou non, il devient une cible de choix pour les organisations criminelles ou les hackers d’États hostiles ; cela ouvre la voie à toutes sortes d’abus, comme l’espionnage, le chantage, etc. La vie privée et la sécurité en seraient gravement compromises.

    • Il y a une raison pour laquelle ils se sont ménagé des clauses d’exemption ; s’ils ne pensaient pas que c’était dangereux, ou s’ils ne voulaient pas cacher des problèmes liés aux abus sur enfants parmi les députés européens, ils ne l’auraient pas fait. On en est arrivé au point où il n’est même plus nécessaire d’expliquer une à une les raisons de s’opposer à ce genre de choses. Il faut demander des comptes aux députés européens, et si cela ne marche pas, à l’UE tout entière. Et si même cela est impossible, alors l’UE n’a aucune légitimité pour ce type de loi. Au final, il faudra revenir à une logique de responsabilité au niveau des États.

    • Je ne pense pas que la comparaison avec une surveillance par caméra à l’intérieur du domicile soit appropriée. Une maison m’appartient à peu près, donc si quelqu’un y installe une caméra, je peux la couvrir ou l’enlever ; si aller en prison pour ça devenait la norme, alors le monde serait déjà dystopique. Un téléphone, c’est différent : fondamentalement, l’utilisateur ne le possède pas totalement. Le bootloader est verrouillé, on ne peut pas exécuter librement le code de son choix, il y a des app stores qui décident de ce qu’on peut installer, et au final Apple/Google peuvent empêcher l’utilisation de cette application via l’app store.

    • Une comparaison plus réaliste serait le système ECHELON : depuis 1971, les pays des Five Eyes pratiquent la surveillance de masse et l’analyse des communications. Si tu n’aimes pas cette comparaison, je pense que c’est parce que tu veux susciter un sentiment d’urgence comme s’il s’agissait d’un phénomène nouveau ; tout ce que tu redoutes existe déjà et a été démontré dans la réalité.

  • Si l’UE, qui se présente comme un bastion des droits humains, pousse une telle loi, je me demande avec quel argument on pourra s’opposer à des pays plus autoritaires quand ils demanderont exactement la même chose à Apple, Google ou Meta.

    • Je ne pense pas que l’UE soit un bastion des droits humains simplement parce qu’elle est moins grave que d’autres régions. Comme partout en Occident, il y a toujours des luttes de pouvoir.

    • Il pose la question de savoir pourquoi elle se positionne elle-même comme un tel symbole des droits humains ; selon lui, c’est parce qu’elle le répète si souvent que tout le monde finit par y croire.

  • J’aimerais demander pourquoi ils ne commencent pas par un projet pilote. Pourquoi ne pas rendre totalement publiques toutes les communications entre députés européens ? L’idée serait que nous cassions tous ce chiffrement ensemble.

    • Il cite Patrick Breyer, député européen du Parti pirate : « Si les ministres de l’Intérieur de l’UE veulent exempter la police, les militaires, les agents de renseignement et même eux-mêmes du “Chat Control”, c’est parce qu’ils savent parfaitement à quel point ces algorithmes d’espionnage sont dangereux et peu fiables. » En réalité, ils craignent que des secrets militaires, entre autres, puissent à tout moment tomber entre les mains des États-Unis. La confidentialité des communications gouvernementales est importante, mais cela devrait s’appliquer de la même manière aux entreprises ordinaires comme aux citoyens, et il faut aussi protéger les espaces où les victimes peuvent communiquer en sécurité et partager leur reconstruction. Aujourd’hui, la plupart des conversations divulguées par les algorithmes qui surveillent volontairement les chats n’ont strictement aucun lien avec une enquête, par exemple des photos de famille ou du sexting consenti. Que les ministres de l’UE imposent aux citoyens la destruction de la vie privée numérique et du chiffrement protégé tout en s’en excluant eux-mêmes est profondément injuste.

  • Je pense que beaucoup de personnes hors UE traitent cette question comme s’il ne s’agissait que d’un problème européen.

    1. Si tu as déjà échangé des messages avec quelqu’un dans l’UE, toi aussi tu es concerné par le « Chat Control ».
    2. L’UE verse d’énormes sommes à d’autres pays au nom de la diffusion de ses valeurs, et je pense qu’il ne faudra pas longtemps avant que cette « aide » soit conditionnée à l’adoption du « Chat Control ».
    • Si l’UE fait passer cela facilement cette fois, les autres gouvernements disposeront d’un modèle de réussite à copier tel quel.

  • Ylva Johansson, à l’origine de cette proposition de loi, n’est pas allée à l’UE parce qu’elle était populaire en Suède ; elle a été désignée par le gouvernement social-démocrate en 2019, et les commissaires ne sont de toute façon pas élus au vote. À Bruxelles, ce qui compte, c’est la loyauté au parti, des décennies de carrière ministérielle, l’équilibre entre les sexes, etc. En pratique, les gouvernements nationaux utilisent l’UE comme un « parking » pour des politiciens devenus impopulaires dans leur pays. Désormais, elle est surtout connue pour ce projet de « Chat Control », ce qui ne fait que souligner l’ironie d’une politique controversée de l’UE menée par une responsable politique impopulaire au niveau national.

    • Le fait que des responsables politiques « périmés » soient recasés à l’UE est tellement courant dans plusieurs pays qu’en tant qu’Européen il devient vraiment difficile de respecter l’UE. Il y a évidemment des personnes excellentes et honnêtes, mais là où je vis, des politiques ayant échoué dans leurs fonctions partent se réfugier à l’UE, ce qui efface même leur responsabilité au niveau national. Au final, cela dévalorise l’UE et nuit aussi à leur pays d’origine : une double perte. J’espère simplement que mon expérience ne s’applique pas à toute l’Europe.

  • Chaque fois que je vois ce genre de loi, je me demande si ceux qui la rédigent ignorent qu’écouter ne serait-ce qu’une seule personne implique inévitablement de rendre tout le monde facilement surveillable, s’ils s’en moquent, ou si c’était précisément leur objectif.
    Il y avait auparavant une proposition visant à obliger le gouvernement à participer automatiquement à toutes les conversations de groupe ; celle-ci paraît un peu plus rationnelle en comparaison.

    • Je trouve ironique que les gens appliquent aussi aux politiciens le principe selon lequel il ne faut pas attribuer à la malveillance ce qui peut s’expliquer par l’incompétence. Les politiciens peuvent mobiliser autant de budget et de talents qu’ils le souhaitent, et ils disposent en plus des analyses d’experts dans chaque domaine. Dans un tel environnement, je pense qu’il est presque impossible d’être réellement incompétent ; ce que nous voyons n’est donc pas de l’incompétence, mais des conflits d’intérêts et un bras de fer entre ce qu’ils veulent et le degré d’adhésion qu’ils peuvent obtenir des citoyens.

    • Les politiciens ne résolvent pas eux-mêmes les problèmes techniques ; ils sont là pour décider de ce qu’ils considèrent comme le mieux pour l’ensemble de la société. Penser que « si on ne casse le chiffrement que pour les criminels, tout le monde sera plus en sécurité » n’est pas fondamentalement irrationnel. Le problème, c’est que c’est impossible. Mais pour les politiciens, la cryptographie est en pratique une forme de « magie » : ils ne savent tout simplement pas que c’est irréalisable. On retrouve la même logique avec le changement climatique : ils pensent que « les scientifiques n’ont qu’à retirer correctement le CO2 de l’atmosphère ». Ils ne comprennent pas le processus de résolution, mais supposent que c’est possible, comme s’il s’agissait d’une formule magique.

    • Le débat sur la méthode d’analyse textuelle elle-même est toujours en cours et elle n’a pas été complètement écartée.

    • En réalité, beaucoup de lois reprennent presque mot pour mot des « projets de loi modèles » proposés par des organisations de type comité d’action politique, puis les soumettent aux parlements nationaux ; c’est aussi pour cela que plusieurs États américains présentent simultanément des textes identiques.
      Le parti décide en interne sur quels projets de loi voter, et il arrive parfois que des textes dangereux soient bloqués en commission, par exemple une interdiction de tous les vaccins mRNA ou une loi n’autorisant que le sang non vacciné.
      On peut consulter l’état des projets de loi des assemblées d’État ici et celui du Congrès fédéral ici.
      Par exemple, le projet HR 22 ne fait que deux pages, mais il montre clairement qui cherche à empêcher le vote fédéral ; en pratique, la participation d’étrangers au vote fédéral est déjà illégale. Les Enhanced Driving License ne sont délivrés que par cinq États. En conclusion, plusieurs groupes peuvent de fait être privés du droit de vote : les personnes transgenres, les non-citoyens, les femmes ayant pris le nom de leur mari après le mariage, les personnes ayant changé de nom, celles qui ne peuvent pas assumer le coût d’un passeport, etc.

  • L’argument consistant à casser le chiffrement pour mettre fin au crime et au partage de CSAM ne fonctionne pas et ne nuira qu’aux citoyens respectueux de la loi. Les criminels, même si cela devient illégal, pourront toujours utiliser autant de méthodes de chiffrement réelles qu’ils le souhaitent. L’UE le sait très bien ; elle invoque toujours la « protection des enfants », mais le véritable objectif est la surveillance.

  • Un fait peu mentionné dans le débat européen sur le « Chat Control » est que cette loi ne s’applique qu’à certaines « plateformes ».
    Autrement dit, les chats chiffrés qui ne passent pas par une plateforme tierce comme Meta sont en pratique hors du champ d’application de la loi.
    Si quelqu’un a l’impression qu’un chat Internet sans tiers est impossible, alors cela révèle en réalité une barrière à la vie privée encore plus grave que le « Chat Control » européen.
    Je pense que le sujet dépasse le simple commentaire de forum critiquant frontalement la politique de l’UE : il s’inscrit davantage dans le contexte où l’UE régule finalement Big Tech.
    Cette proposition pourrait nuire à Meta, et dans ce cas une campagne de désinformation destinée au grand public sera probablement menée.
    Concrètement, (a) le simple fait d’utiliser un tiers comme Meta crée déjà une faille majeure qui permet à l’État de surveiller, et (b) l’entité qui surveille réellement n’est pas l’État mais Meta.
    L’UE sanctionne régulièrement Meta par des amendes pour son mépris de la vie privée et les profits tirés de son activité de surveillance ; pour des conversations privées, il n’y a probablement pas pire choix que Meta.

  • La loi sur le Chat Control ne vise pas en réalité les personnes soucieuses de la vie privée. Celles-ci trouveront toujours des moyens de continuer à utiliser le chiffrement ; ses fondements mathématiques ne peuvent pas être abolis par la loi, et les projets open source ne disparaîtront pas non plus.
    Cette loi institutionnalise surtout une réalité dans laquelle les gens « ordinaires », dans le grand public, vivent en s’autocensurant parce qu’ils savent que quelqu’un pourrait les écouter.
    Seules les personnes ordinaires perdent leurs moyens, tandis que les contournements bien connus resteront disponibles.

  • J’aimerais vraiment que ce type de loi soit enterré pour de bon cette fois. C’est épuisant de la voir revenir sans cesse comme un zombie.