ChatControl : l’UE veut scanner tous les messages privés, y compris dans les apps chiffrées

 (metalhearf.fr)
3 points par GN⁺ 2025-09-26 | 1 commentaires | Partager sur WhatsApp
  • L’Union européenne (UE) pousse un projet de loi ChatControl visant à imposer le scan automatique de tous les messages privés et images
  • Le texte inclut aussi les applications de messagerie chiffrées (Signal, WhatsApp, etc.), sans possibilité pour les utilisateurs de refuser
  • Le système repose sur le client-side scanning : le contenu est inspecté sur l’appareil avant chiffrement, ce qui vide de sa substance le principe du chiffrement de bout en bout
  • Le taux de faux positifs des algorithmes est très élevé, au point que des utilisateurs innocents peuvent être pris à tort pour de vrais criminels
  • L’efficacité réelle de ce dispositif pour prévenir les crimes est fortement remise en cause, tandis qu’il fait craindre au contraire une surveillance de masse et de graves atteintes à la vie privée

Introduction

  • L’Union européenne (UE) prépare une législation, ChatControl, susceptible de transformer en profondeur la manière dont fonctionnent les communications en ligne
  • Ce texte exigerait le scan automatique de tous les messages privés et images des utilisateurs, quelle que soit la plateforme de messagerie
  • Les services chiffrés (Signal, WhatsApp, Telegram, etc.) sont eux aussi concernés, sans exception ni possibilité de choix pour l’utilisateur
  • La réglementation s’appliquerait immédiatement à l’ensemble des États membres de l’UE, neutralisant de fait jusqu’aux protections constitutionnelles nationales en matière de confidentialité des communications
  • Le motif officiel est la lutte contre les contenus d’abus sexuels sur mineurs (CSAM), mais cela reviendrait à supprimer la vie privée numérique de 450 millions d’Européens et à mettre en place un système de surveillance de masse sans précédent

Qu’est-ce que ChatControl ?

  • ChatControl est le terme employé par les opposants pour désigner la réglementation sur la prévention et la lutte contre les abus sexuels sur enfants (CSAR), nom officiel du projet de l’UE
  • Jusqu’ici, de grandes entreprises tech comme Meta et Apple analysaient volontairement une partie des messages de leurs utilisateurs ; cette réglementation étendrait cela en un scan obligatoire imposé par les pouvoirs publics
  • Une réglementation transitoire de l’UE adoptée en 2021 autorisait pendant trois ans les entreprises à effectuer ces scans sur une base volontaire ; celle-ci ayant expiré en 2024, l’UE pousse désormais une version obligatoire
  • S’y ajoute une feuille de route pour un accès légal aux données, orientée vers un modèle où l’ensemble des données numériques pourraient à terme être consultées par les autorités sur demande

Portée et acteurs concernés

  • Le CSAR s’applique littéralement à tous les fournisseurs de communications numériques
    • email
    • applications de rencontre
    • plateformes de jeu avec fonction de chat
    • réseaux sociaux
    • services d’hébergement de fichiers (Google Drive, iCloud, Dropbox, etc.)
    • app stores
    • services d’hébergement de petites communautés
  • Il ne vise donc pas seulement les messageries, mais tout service permettant de partager du contenu

Fonctionnement

  • ChatControl repose sur le client-side scanning
    • le contenu est analysé sur l’appareil de l’utilisateur (smartphone, PC, etc.) avant le chiffrement
    • l’interception classique des communications consistait à capter des informations pendant leur transmission ; ici, c’est l’intégralité du contenu juste avant l’envoi qui serait automatiquement inspectée
    • tous les utilisateurs sont traités comme des criminels potentiels, inversant la présomption d’innocence

Mise en œuvre technique

  • Avant chiffrement, le système détecte automatiquement trois types de contenus
    1. Contenus illégaux déjà connus : comparaison entre les fichiers de l’utilisateur et les empreintes de CSAM déjà identifiées par les autorités
    2. CSAM non identifié / potentiel : un algorithme d’analyse vidéo fondé sur l’IA évalue statistiquement des éléments visuels comme la peau exposée
    3. Détection du grooming : l’IA analyse les schémas de conversation textuelle pour repérer automatiquement les contextes de sollicitation sexuelle visant des enfants
  • Si une anomalie est détectée, un signalement automatique immédiat aux autorités est déclenché, sans étape intermédiaire de vérification humaine
  • La mise en œuvre serait obligatoire dans les messageries, emails et plateformes à l’échelle de l’Europe

Pourquoi cela neutralise le chiffrement

  • En apparence, le chiffrement (Encryption) reste présent, mais en pratique le contrôle intervient avant le chiffrement, ce qui rend le principe du chiffrement de bout en bout (E2EE) largement vide de sens
  • Des entreprises centrées sur la vie privée comme Proton soulignent qu’une telle approche constitue une menace encore plus grave qu’une « porte dérobée de chiffrement »
    • une backdoor n’accède qu’aux messages envoyés ou reçus ; le client-side scanning peut inspecter toutes les données de l’utilisateur, y compris celles qui ne sont jamais partagées
  • Au final, les applications de messagerie se transforment en spyware, sans moyen réel pour l’utilisateur d’y échapper

Gouvernance (structure de gestion)

  • L’UE prévoit de créer un Centre de prévention des abus sexuels sur enfants chargé de recevoir et d’analyser tous les signalements, mais la technologie de scan elle-même serait gérée par des entreprises externes
  • Les fournisseurs de services devront collecter et transmettre des informations détaillées sur leur propre évaluation des risques, les types de contenus et les tranches d’âge de leurs utilisateurs
    • cela représente une charge supplémentaire même pour les services historiquement conçus pour minimiser la collecte de données personnelles
  • L’introduction d’un système de vérification d’âge (vérification d’identité) serait aussi obligatoire
    • il n’existe pas encore de solution réellement opérationnelle permettant de vérifier l’âge tout en préservant la vie privée
    • la garantie d’anonymat des utilisateurs disparaît
  • En revanche, les comptes gouvernementaux (sécurité nationale, police, armée, etc.) seraient exemptés, créant une différence de traitement entre autorités et citoyens ordinaires

Effets concrets

Inquiétudes sur le chiffrement

  • Ce dispositif s’inscrit dans une stratégie plus large d’affaiblissement du chiffrement
    • depuis les années 1990, l’argument selon lequel le chiffrement gêne les enquêtes criminelles revient régulièrement
    • plus récemment, l’UE a présenté une feuille de route visant à institutionnaliser d’ici 2030 la possibilité pour les autorités d’exiger toutes les données numériques
    • cela donne aux gouvernements, déjà mécontents du renforcement des technologies de chiffrement, un prétexte pour étendre la surveillance au nom du terrorisme, du crime organisé et de la protection de l’enfance
  • Des responsables gouvernementaux au Danemark, en France et ailleurs ont même déclaré de manière explicite que les communications chiffrées ne relèvent pas fondamentalement des libertés citoyennes, ce qui a alimenté la polémique

Problème des faux positifs

  • Des études empiriques ont montré que plus de 80 % des détections par ces algorithmes sont des faux positifs (contenus innocents)
    • la fréquence des signalements erronés pour des contenus qui ne sont pas réellement des abus sur mineurs est très élevée
    • les ressources policières se retrouvent alors absorbées par l’examen de contenus ordinaires, comme des photos de famille, au détriment de la capacité réelle d’enquête
  • Exemple : un père ayant envoyé au médecin une photo médicale de son enfant a vu son compte Google définitivement suspendu et a fait l’objet d’une enquête policière à cause de la surveillance automatisée

Opposition scientifique

  • Plus de 600 cryptographes, experts en sécurité et scientifiques de 35 pays ont alerté à plusieurs reprises, via des lettres ouvertes, sur les problèmes techniques et les risques démocratiques du dispositif
    • le client-side scanning se heurte à des limites techniques pour distinguer le légal de l’illégal
    • il accroît les vulnérabilités de sécurité, tant internes qu’externes, pour les utilisateurs
  • La Commission européenne n’a pas présenté d’étude solide démontrant l’efficacité, la fiabilité et la proportionnalité de la mesure, s’appuyant surtout sur des affirmations du secteur

Contournement et neutralisation possibles

  • Les criminels peuvent déjà contourner facilement le système de surveillance à l’aide de méthodes bien connues
    • chiffrement séparé (ex. : GPG, Caesar cipher) avant l’envoi du message
    • dépôt des fichiers sur des plateformes externes (ex. : Dropbox, OneDrive), puis partage du lien seulement
    • modification de protocoles de messagerie open source (XMPP, Matrix, etc.) pour éviter la surveillance
    • utilisation de la stéganographie (OpenStego, etc.) pour dissimuler des informations dans des images
    • migration vers des plateformes décentralisées ou P2P, ou vers des serveurs hors juridiction de l’UE
  • En pratique, le système viserait donc surtout les citoyens ordinaires, et non les criminels expérimentés
  • Son effet concret en matière de protection de l’enfance serait limité, tandis qu’il serait surtout optimisé pour la surveillance de masse du grand public

Intérêts économiques

Industrie et entreprises technologiques

  • Derrière l’argument de la protection de l’enfance se cachent aussi les intérêts d’entreprises commerciales de surveillance
    • les principales technologies de surveillance sont développées et promues par de grandes entreprises américaines ou des sociétés privées comme Microsoft PhotoDNA et Thorn (cofondée par Ashton Kutcher)
    • en rendant ces technologies obligatoires via la réglementation, ces acteurs élargissent leurs revenus et renforcent leur domination de marché
  • Ces systèmes sont
    • propriétaires (proprietary) : le code source n’est pas public, donc impossible à auditer ou surveiller depuis l’extérieur
    • peu redevables : leurs politiques de fonctionnement échappent à un contrôle externe réel
    • dotés d’une force légale : une simple décision algorithmique peut suffire à déclencher une enquête pénale

Rhétorique judiciaire et stratégie médiatique

  • La Commission européenne et les responsables politiques utilisent une rhétorique émotionnelle du type « pensons aux enfants », simplifiant le débat au point de faire passer toute opposition pour une défense implicite du crime
  • Cela alimente l’idée que seules les personnes suspectes ont besoin de vie privée, alors qu’il s’agit en réalité d’un droit fondamental pour les journalistes, lanceurs d’alerte, militants et citoyens ordinaires
  • Les opposants rejettent cette fausse alternative selon laquelle « protéger les enfants » impliquerait nécessairement de sacrifier la vie privée

Position des États membres de l’UE

Répartition entre soutien, opposition et réserve

Pour (12 pays) : Bulgarie, Croatie, Chypre, Danemark, France, Hongrie, Irlande, Lituanie, Malte, Portugal, Roumanie, Espagne

Contre (7 pays) : Autriche, Tchéquie, Estonie, Finlande, Luxembourg, Pays-Bas, Pologne

Indécis (8 pays) : Belgique, Allemagne, Grèce, Italie, Lettonie, Slovaquie, Slovénie, Suède

Positions détaillées par pays

  • Opposition forte

    • Autriche : inquiétudes constitutionnelles et atteinte à la vie privée
    • Tchéquie : opposition à la surveillance généralisée des communications privées des citoyens
    • Estonie : reconnaît la sincérité de l’objectif de lutte contre l’exploitation des enfants, mais rejette l’affaiblissement de l’E2EE et la surveillance de masse
    • Finlande : ne soutient pas le compromis proposé en raison de controverses constitutionnelles sur l’identification des personnes
    • Luxembourg : opposition au client-side scanning et à la surveillance à grande échelle, demande de protection des droits
    • Pays-Bas : position ferme en faveur de la protection de la vie privée
    • Pologne : opposition à la surveillance de masse

  • Indécis / en réserve

    • Belgique : le texte est critiqué comme un monstre liberticide en matière de vie privée, mais une posture de compromis existe aussi
    • Allemagne : cherche un compromis distinct tout en maintenant le chiffrement, et reste dans l’attente
    • Grèce, Italie, Lettonie, Slovaquie, Slovénie, Suède : reportent encore leur position finale pour diverses raisons techniques ou politiques

Calendrier récent

  • Proposition ChatControl : mai 2022, annonce officielle par la Commission européenne
  • Mouvement vers l’adoption : juillet 2025, présidence danoise du Conseil de l’UE, avec un objectif d’adoption en octobre
  • Début de la résistance : août-septembre 2025, la Tchéquie, la Finlande et l’Estonie expriment une opposition frontale
  • Formation d’une minorité de blocage : l’Allemagne, le Luxembourg et la Slovaquie s’ajoutent officiellement au camp du refus, empêchant l’atteinte des seuils requis (États + population)
  • Situation mouvante : depuis le 12 septembre, les positions nationales changent fréquemment ; à ce stade, le soutien à ChatControl reste inférieur au seuil d’adoption (65 % de la population)

Conséquences et répercussions

  • Affaiblissement de la cybersécurité : l’ajout de vulnérabilités structurelles comparables à des backdoors privées accroît le risque d’accès par des criminels comme par des services de renseignement étrangers
    • la Cour européenne des droits de l’homme a aussi jugé que l’affaiblissement du chiffrement ne peut pas être justifié dans une société démocratique
  • Frein à l’innovation technologique : les entreprises européennes de sécurité auraient du mal à conserver la confiance du marché mondial
  • Départ de sociétés tech hors d’Europe : des services centrés sur la vie privée comme Signal ont déjà évoqué un retrait du marché européen en cas de réglementation
    • la Suisse aussi accélère la fuite des entreprises tech avec un projet de loi faisant reculer la vie privée
    • Proton a déjà commencé à déplacer une partie de son infrastructure hors de l’UE
  • Dépendance accrue à la surveillance américaine : risque que les technologies de surveillance et les données passent sous le contrôle de prestataires américains (U.S. CLOUD Act)
  • Effet dissuasif social (Chilling Effect) : les citoyens, conscients d’être surveillés, renforcent leur autocensure, ce qui réduit le débat public et la liberté d’expression

Comment agir en tant que citoyen

  1. Partager les articles et utiliser les hashtags (#ChatControl, #StopScanningMe) pour alerter son réseau
  2. Participer à la pétition en ligne (change.org)
  3. Suivre les canaux d’information liés au sujet et vérifier régulièrement les mises à jour
  4. Contacter ses représentants et élus nationaux pour leur faire part de son avis et demander une opposition officielle
  5. Participer à des campagnes locales ou mondiales de défense des droits numériques, et les soutenir
  6. Utiliser des outils centrés sur la vie privée comme Signal et mettre en place des services auto-hébergés

Conclusion

  • L’Europe, qui a conçu le RGPD, risque désormais de saper elle-même cette valeur avec ChatControl
  • Le continent se trouve à la croisée des chemins : normaliser pour la première fois au monde la surveillance de masse des communications privées, ou préserver son rôle de leader mondial des droits numériques
  • Cette décision pourrait aussi fournir une justification à des États totalitaires, ce qui lui donne une portée internationale majeure
  • Le prochain vote clé est prévu pour le 14 octobre 2025

À lire aussi

1 commentaires

 
GN⁺ 2025-09-26
Commentaires sur Hacker News

  • Inquiétude exprimée auprès des citoyens de l’UE : si cette loi est adoptée, ils perdront progressivement leur capacité à contrôler leur gouvernement, comme au Royaume-Uni. La question posée est celle de ce qu’il reste à faire quand les intérêts de l’État divergent de ceux du peuple. Si l’on lance un mouvement politique, on risque une visite de la police pour avoir critiqué le gouvernement ; même en rêvant de révolution, il n’y a ni armes ni canaux de communication libres de surveillance, donc même l’organisation devient impossible. Au final, le citoyen ordinaire n’aura plus ni plume ni épée pour s’opposer au pouvoir. Le gouvernement aura de moins en moins d’incitation à servir le peuple, et même les manifestations ne permettront pas de retrouver les libertés passées. Avertissement d’une société qui se dirige vers une situation où tout le monde ressent l’oppression, mais où personne ne peut rien faire

    • Notre arme reste encore l’euro. Si les entreprises et les élites économiques locales sont de notre côté, le gouvernement sera malgré tout obligé de tenir un minimum compte des citoyens. Bien sûr, argent et pouvoir sont étroitement liés, mais les riches au niveau local sont souvent plus proches de leur communauté. En temps normal, ils bloquent parfois les améliorations, mais en période de crise ils peuvent devenir une force importante. Les armes, en revanche, seraient de toute façon peu utiles. 1) La vie en Europe ne ressemble pas à un film d’action américain. 2) Le niveau d’armement est relativement faible non seulement chez les citoyens, mais aussi chez les fonctionnaires et la police, ce qui maintient une certaine forme d’équilibre. 3) Quand une révolution éclate, les armes apparaissent souvent en masse « comme par magie » ; dans ce cas, le mieux est généralement de fuir rapidement en gardant à l’esprit qui les fournit
    • En tant que Britannique, demande d’explication sur l’affirmation selon laquelle le Royaume-Uni aurait déjà perdu le contrôle sur son gouvernement. Le Royaume-Uni n’a pas encore mis en œuvre de politique comparable à la loi européenne sur le contrôle des discussions privées, et il semble qu’une forte opposition surgirait si une idée similaire apparaissait
    • Le problème du projet de loi tient justement au fait que l’idée selon laquelle « tous les canaux de communication seraient surveillés, empêchant toute résistance » est fausse. En pratique, des logiciels de sécurité comme PGP sont faciles à utiliser pour n’importe qui, et les criminels les utilisent déjà. Il est impossible pour le gouvernement de casser le chiffrement RSA ; au final, l’effet d’une surveillance de masse serait simplement de nuire aux citoyens ordinaires, tout en rendant les criminels encore plus sûrs. Et lorsque le gouvernement réalisera que cette politique de surveillance inutile ne fonctionne pas, il cherchera probablement à aller encore plus loin. On imagine même qu’un jour les logiciels de chiffrement, voire la simple possession de nombres premiers utilisés en cryptographie, puissent devenir illégaux. Inquiétude sur jusqu’où l’État pourrait vouloir confisquer ce droit mathématique qu’est le chiffrement, donc la vie privée
    • Affirmation selon laquelle, dans une démocratie représentative, le peuple a déjà perdu le contrôle de son gouvernement. Le simple fait que ce type de projet de loi continue d’apparaître en serait la preuve. La démocratie représentative n’est pas vue comme une véritable démocratie. Critique sociale sur le ton de « Sic semper tyrannis »
    • L’idée est avancée que si les gens ne font pas la révolution aujourd’hui, ce n’est pas parce qu’ils n’ont pas d’armes. C’est plutôt parce qu’ils sont saturés de divertissement et de nourriture, au point que la politique elle-même est consommée comme une sorte de téléréalité. Les gens regardent les informations, lèvent les yeux au ciel devant la polémique du jour, puis retournent à leur « panem et circenses » version adultes. Internet serait devenu le plus grand outil de contrôle de masse de l’histoire, et entre Doordash, Netflix, le travail permanent et le scrolling sans fin, tout le monde aurait perdu le goût de la réflexion profonde comme de l’esprit de résistance. Ce n’est pas un problème propre à l’Europe : le gouvernement et les services de renseignement américains surveillent eux aussi les citoyens sans base légale réelle. Conclusion : nous serions tous pris dans le même immense problème

  • Selon l’article, l’exemple type de « menace » visé par ce projet de loi est le CSAM (contenus d’abus sexuels sur mineurs). Mais l’idée est rejetée que les criminels commettent ces actes parce qu’il existe des canaux chiffrés. Le vrai problème est l’accès même aux enfants. La surveillance ne résout rien à ce niveau. Quelle que soit la sévérité de la réglementation, les criminels utiliseront des outils contournant la surveillance centralisée — des outils distribués simples comme GPG ou l’e-mail — et au final seul le sacrifice de la vie privée de tous restera

    • Conviction que cette question n’a au fond aucun lien avec le CSAM. Le CSAM serait mis en avant parce qu’il permet aux politiciens de brouiller le débat avec des formules du type « xp84 défend la pornographie infantile ! ». Le véritable objectif serait la répression de la liberté d’expression et le contrôle total des communications des citoyens. C’est cela, le vrai mal
    • Opposition à ChatControl, mais rappel que l’argument selon lequel « les criminels commettent leurs crimes à cause des canaux chiffrés » n’est pas en réalité celui du gouvernement. L’enjeu n’est pas d’attraper tous les criminels, mais de rendre plus facile l’arrestation de ceux qu’on peut attraper. Et beaucoup de criminels sont techniquement moins compétents qu’on ne l’imagine et utilisent leurs appareils avec les réglages par défaut
    • Surprise que des messageries comme Signal soient visées. Un service sans fonctionnalités de réseau social ne devrait pas être la priorité absolue, et si l’objectif était réellement de cibler les criminels, il y aurait des cibles plus prioritaires
    • Ironie sur l’absurdité de la politique : si l’on veut interdire les messages chiffrés, alors il faudrait aussi interdire les fichiers zip chiffrés
    • Objection soulevée : faut-il considérer qu’une politique est inutile dès lors qu’elle ne résout pas parfaitement le problème ? Scepticisme face à certaines affirmations jugées un peu irréalistes

  • L’enjeu réel ne serait pas seulement de rejeter ce genre de tentative, mais d’empêcher que ce type de politique soit sans cesse reproposé jusqu’à finir par passer sous prétexte d’une situation particulière

    • La solution fondamentale à tous ces problèmes serait de l’inscrire dans une constitution. Mais l’UE n’a pas de véritable constitution, et le fait que ce projet entre en conflit frontal avec les constitutions nationales — notamment la protection du secret des communications — tout en relevant juridiquement d’un « règlement » et non d’une « loi » ajoute encore à la complexité
    • Pour empêcher ce genre d’initiative, il faudrait selon certains adopter une loi imposant que toutes les communications privées des membres de la commission ou des responsables qui poussent ces politiques — de WhatsApp jusqu’aux relevés bancaires — soient automatiquement rendues publiques et librement examinables. S’ils envisagent de détruire la vie privée des citoyens, qu’ils commencent par vivre eux-mêmes dans ce système
    • Soupçon que les promoteurs de ce type de mesures ne soient pas simplement ignorants, mais influencés par des puissances adverses ou corrompus. Ceux qui en tireraient le plus grand bénéfice seraient en effet les ennemis de l’UE. La Chine et la Russie auraient bien plus de facilité à collecter des données en Europe grâce à une telle loi. Les systèmes des décideurs politiques sont aussi les plus faciles à pirater
    • Pour garantir réellement le droit à la vie privée, il faudrait au contraire exiger en permanence une « transparence absolue » des politiciens et du gouvernement. Si toutes les informations de tous les citoyens doivent être potentiellement accessibles à tout moment, alors il serait logique de voter une loi empêchant aussi l’État de cacher la moindre information, pour quelque raison que ce soit, y compris la sécurité. Cela paraît excessif, mais l’argument de la « lutte contre la corruption » pourrait être très convaincant — de la même manière que le gouvernement invoque « les enfants » pour justifier la surveillance
    • Il est suggéré que pour montrer l’absurdité et le danger de ce type de politique, il pourrait être efficace de citer des cas où un dirigeant étranger aurait abusé du même niveau d’accès aux données et provoqué un scandale. Mais beaucoup ne verront le problème qu’une fois l’injustice subie directement

  • L’idée défendue est que le gouvernement doit être transparent, tandis que les citoyens doivent bénéficier de la confidentialité ; c’est à cette condition que le pouvoir est légitime

    • La formule « gouvernement transparent, citoyens opaques » est jugée concise et digne d’être reprise
    • La variante « transparence pour les puissants, vie privée pour les faibles » plaît particulièrement
    • Comme quelqu’un l’a dit, « le peuple ne devrait pas craindre le gouvernement ; c’est le gouvernement qui devrait craindre le peuple ». Impression que nous avons perdu le langage permettant de parler de la légitimité et du rôle de l’État. Recommandation de relire davantage de classiques comme J.S. Mill ou Hobbes, dont les textes restent très éclairants et inspirants aujourd’hui
    • Il est reconnu que le gouvernement a nécessairement besoin d’un certain niveau de confidentialité, ne serait-ce que pour les enquêtes sur les crimes sexuels contre les enfants, la traque des espions et d’autres affaires complexes et sensibles. Sans aller jusqu’à exiger l’interdiction du déchiffrement forcé, il paraît plus réaliste de viser non pas « gouvernement transparent, citoyens opaques », mais plutôt une forme de « semi-transparence » des deux côtés

  • Le fait que les responsables politiques de l’UE se soient exemptés eux-mêmes de ChatControl dirait tout sur le sujet

  • Partage d’un lien vers une interview du ministre danois de la Justice Peter Hummelgaard, à l’origine du projet. Il est critiqué pour son absence totale de compréhension du chiffrement de bout en bout, au point de donner l’impression de ne même pas avoir lu attentivement la page Wikipédia sur le sujet

  • Sarcasme sur le fait que, sous couvert de lutter contre la pédopornographie, la nouvelle loi pourrait aussi conduire à l’envoi automatique à un « tiers de confiance » de photos familiales aussi anodines qu’un enfant dans son bain. Avec, en plus, le risque qu’elles fuient un jour. Si l’on était soi-même criminel, on saurait très bien dans quel service postuler dans un tel système

  • Projection sur un futur où la technologie rendrait les bombes petites et intraçables, ou les armes chimiques facilement accessibles, ce qui pourrait rendre la menace terroriste beaucoup plus grave. Si, dans un tel contexte, la probabilité très concrète que soi-même ou sa famille en soit victime devenait élevée, accepterait-on plus volontiers la surveillance qu’aujourd’hui ? Pour l’instant, l’échange entre surveillance et vie privée est perçu comme défavorable au consommateur, mais si une sécurité absolue pouvait être garantie en contrepartie, le point d’équilibre pourrait changer. Le sentiment de sécurité absolue ressenti en Chine aurait d’ailleurs marqué cette personne, venue des États-Unis. Même en attachant de l’importance à la vie privée, il est difficile d’ignorer la sécurité immédiate. Le sujet est vu comme une question intéressante d’équilibre dans le débat

    • On peut toujours imaginer un scénario de science-fiction où il faudrait suspendre les droits civiques pour empêcher le terrorisme, mais si cela ne correspond pas à la réalité présente, ces hypothèses extrêmes restent rares et peu souhaitables
    • Il est souligné que ce « sentiment de sécurité absolue » en Chine peut être une illusion produite par un discours médiatique répétant qu’« il n’y a pas de criminalité ». En réalité, les critères d’évaluation de la police reposeraient sur le taux de criminalité élucidée, ce qui aurait encouragé la manipulation des statistiques officielles ; un article à l’appui est cité
    • Dans les discussions sur le renforcement de la surveillance, on oublie souvent que les criminels n’obéiront pas gentiment à la loi. Le chiffrement restera toujours possible, notamment via la stéganographie. Si le matériel est surveillé, un marché noir d’appareils chiffrés apparaîtra, et dans le pire des cas on pourrait même revenir à d’immenses one-time pads. Au final, on n’obtiendra ni sécurité ni vie privée, et l’introduction de portes dérobées dans le chiffrement ne fera qu’accroître les risques d’abus. Surtout, rien ne garantit que l’on puisse faire « toujours » confiance à l’État avec de tels pouvoirs
    • Le vrai problème ne serait pas tant l’« efficacité » de la surveillance que le déséquilibre de pouvoir qu’elle crée entre l’État et les citoyens. Si les fonctionnaires étaient eux aussi surveillés exactement comme les citoyens, la situation serait différente. Un exemple similaire existe dans l’univers de Star Trek, où une société est décrite comme acceptant la surveillance généralisée sans s’en plaindre. Mais la réalité est autre : l’État s’exclut toujours lui-même de la surveillance, ce qui ouvre inévitablement la voie à l’autoritarisme
    • Question posée pour savoir si le message a été écrit avec ChatGPT ; il est rappelé qu’il est déjà extrêmement facile pour n’importe qui de chercher sur Google et d’acheter en ligne ce qu’il faut pour fabriquer des bombes ou d’autres objets dangereux. Même des armes blanches comme les couteaux s’achètent facilement et peuvent servir à commettre des crimes très simplement

  • Rappel, en citant la Convention européenne des droits de l’homme, que toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. Ce droit peut certes être limité dans les cas nécessaires prévus par la loi, mais la question est posée sur la limite et sur les critères de légitimité. En général, la logique veut que seules des personnes ciblées puissent être surveillées avec l’autorisation temporaire d’un juge. La surveillance des communications de tout le monde semble contraire au principe de proportionnalité, c’est-à-dire à l’exigence de l’atteinte minimale nécessaire. Sont ajoutés les liens vers le texte de la Convention et le principe de proportionnalité

    • Sur le plan juridique, tout reposerait sur la formule « dans les limites autorisées par la loi ». Dans le cas de ChatControl, il est avancé que l’« algorithme » ne scannerait localement que les contenus illégaux et ne ferait rien si rien d’illégal n’est détecté. Ce ne serait donc pas tout à fait la même chose qu’une surveillance de toutes les communications de bout en bout ; de même, on ne qualifie pas de surveillance le fait qu’un OS lise un message pour l’afficher à l’écran. L’opposition à la mesure demeure toutefois. Le vrai problème est que la liste des contenus illégaux — ou les poids du modèle chargé de juger de l’illégalité — n’est pas vérifiable et peut être détournée

  • Il est expliqué que la motivation derrière la controverse actuelle autour de ce projet de loi se voit aussi dans la pression exercée pour pousser Apple à adopter le RCS. Le RCS (Rich Communication Services) comporte un point intermédiaire entre opérateurs, ce qui en fait une architecture favorable à l’interception par les autorités, même s’il est souvent présenté à tort comme du « chiffrement de bout en bout ». Mais pour une véritable protection E2E, il est conseillé d’utiliser Signal, iMessage ou d’autres solutions du même type

    • Il est précisé que personne ne qualifie réellement le RCS de « chiffrement de bout en bout ». Apple comme Google ont officiellement indiqué qu’il n’y avait pas actuellement d’E2E, et n’ont fait que promettre son arrivée future sur iPhone. Il est fortement rappelé que son niveau de sécurité n’est pas celui d’iMessage