Le projet de loi C-22 du Canada est une version reconditionnée du cauchemar de surveillance de l’an dernier

 (eff.org)
1 points par GN⁺ 8 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Le projet de loi C-22 du Canada corrige certains problèmes du projet de loi C-2, mais l’inquiétude centrale — l’affaiblissement des droits numériques — demeure largement intacte
  • Le projet de loi C-22 pourrait obliger les services numériques, comme les opérateurs télécoms et les applications de messagerie, à enregistrer et conserver les métadonnées pendant un an
  • Le ministre de la Sécurité publique peut exiger des entreprises qu’elles créent des portes dérobées de surveillance permettant l’accès des forces de l’ordre, et les entreprises ne peuvent même pas révéler l’existence de cet ordre
  • Les définitions de « vulnérabilité systémique » et de chiffrement sont floues, ce qui pourrait permettre d’exiger un contournement du chiffrement non seulement dans les applications, mais aussi dans les systèmes d’exploitation
  • Le retrait par Apple d’Advanced Data Protection au Royaume-Uni et le piratage Salt Typhoon de 2024 montrent que le risque des portes dérobées est bien réel

Principaux changements et inquiétudes autour du projet de loi C-22

  • L’an dernier, le gouvernement canadien a tenté de faire avancer le projet de loi C-2 au nom de la « sécurité aux frontières », bien qu’il puisse affaiblir les droits numériques, mais le texte n’a même pas atteint l’étape du comité en raison de l’opposition de la communauté de la protection de la vie privée
  • Le nouveau texte, projet de loi C-22, ou The Lawful Access Act, ajuste certains éléments problématiques, mais conserve dans l’ensemble les mêmes motifs d’inquiétude que le projet de loi C-2
  • Le projet de loi C-22 pourrait obliger les services numériques, comme les opérateurs télécoms et les applications de messagerie, à enregistrer et conserver les métadonnées pendant un an
  • Le projet de loi C-22 élargit aussi le partage d’informations avec des gouvernements étrangers, y compris les États-Unis
  • Les métadonnées peuvent révéler avec qui l’on communique, où l’on se rend et à quel moment
  • L’élargissement de la collecte de métadonnées conduirait les entreprises à stocker davantage d’informations sur les utilisateurs qu’aujourd’hui, tout en renforçant l’incitation pour des acteurs malveillants à chercher à y accéder

Risques de portes dérobées et d’affaiblissement du chiffrement

  • Le principal problème du projet de loi C-22 est qu’il donne au ministre de la Sécurité publique un mécanisme lui permettant d’exiger des entreprises qu’elles créent des portes dérobées dans leurs services
  • Cette exigence vise à permettre aux forces de l’ordre d’accéder aux données, à condition de ne pas introduire de « vulnérabilité systémique (systemic vulnerability) »
  • De telles portes dérobées de surveillance, très larges, risquent d’aggraver encore les violations de données déjà fréquentes
  • Le projet de loi C-22 interdit aussi aux entreprises de révéler jusqu’à l’existence même de ces injonctions
  • Dans le C-22, les définitions de « vulnérabilité systémique » et de « chiffrement (encryption) » ne sont pas suffisamment claires
  • Si ces définitions restent floues, le gouvernement pourrait avoir une marge pour exiger des entreprises un contournement du chiffrement
  • La définition excessivement large du texte pourrait couvrir non seulement les applications, mais aussi les systèmes d’exploitation
  • Des responsables canadiens ont estimé qu’il serait possible d’ajouter des fonctions de surveillance sans créer de vulnérabilité systémique, mais la surveillance de communications chiffrées constitue fondamentalement une vulnérabilité systémique

Le précédent Apple au Royaume-Uni et l’opposition des entreprises et du Congrès américain

  • La structure du projet de loi C-22 ressemble à la situation de l’an dernier, lorsque le gouvernement britannique a exigé d’Apple l’implémentation d’une porte dérobée pour la fonctionnalité optionnelle Advanced Data Protection
  • Le gouvernement britannique a demandé à Apple d’implémenter ce type de porte dérobée, et Apple, au lieu de se conformer à cette demande, a retiré cette fonctionnalité pour les utilisateurs britanniques
  • Les utilisateurs britanniques n’ont toujours pas accès à cette fonction de protection de la vie privée, qui protège plus fortement les données stockées dans iCloud
  • Meta et Apple craignent que le C-22 puisse accorder des pouvoirs similaires au gouvernement canadien, et les deux entreprises s’opposent au projet de loi
  • Les commissions judiciaire et des affaires étrangères de la Chambre des représentants des États-Unis ont également adressé une lettre conjointe au ministre canadien de la Sécurité publique pour faire part de leurs inquiétudes concernant les portes dérobées dans les systèmes de chiffrement

Le risque des portes dérobées n’est pas théorique

  • Le danger de telles portes dérobées ne relève pas d’une possibilité abstraite
  • Le piratage Salt Typhoon de 2024 a exploité des systèmes que des fournisseurs d’accès à Internet avaient mis en place pour donner aux forces de l’ordre un accès aux données des utilisateurs
  • Quand on crée de tels systèmes, les pirates finissent par les trouver

Conclusion et ressources complémentaires

  • Les Canadiens ont besoin d’une protection forte de la vie privée, de transparence sur la manière dont les entreprises traitent les données des utilisateurs, et de garanties claires pour les données chiffrées
  • Le projet de loi C-22 n’offre pas ces protections et cherche au contraire à s’immiscer davantage dans l’espace numérique des entreprises technologiques pour créer un vaste mécanisme d’accès légal
  • Full text of C-22: texte intégral du C-22
  • Canadian Civil Liberties Association statement and letter: déclaration et lettre de la Canadian Civil Liberties Association
  • Open Media blog on C-22: billet de blog d’Open Media sur le C-22
  • EFF’s blog on bill C-2: billet de blog de l’EFF sur le projet de loi C-2

À lire aussi

1 commentaires

 
GN⁺ 8 시간 전
Commentaires sur Hacker News

  • Les exigences de conservation obligatoire des données et de portes dérobées dans le chiffrement vont amener des services de messagerie chiffrée comme Signal, WhatsApp, iMessage et Matrix à bloquer l’accès aux Canadiens et aux entreprises canadiennes
    Si vous vivez au Canada ou êtes concerné par cette loi, vous devriez demander à votre député fédéral et au ministre canadien de la Sécurité publique de rejeter ce projet de loi
    La CCLA a publié des informations sur le Bill C-22 ici il y a un peu plus d’une semaine : https://ccla.org/privacy/coalition-to-mps-scrap-unprecedente...
    Les exigences générales du Bill C-22 en matière de conservation des métadonnées et de portes dérobées dans le chiffrement sont illégales dans l’Union européenne
    Il existe aussi des outils pour envoyer facilement un e-mail à votre député et à d’autres responsables publics afin de leur demander de rejeter cette horrible loi en l’état : outil de l’Internet Society https://www.internetsociety.org/our-work/internet-policy/kee..., outil d’OpenMedia https://action.openmedia.org/page/188754/action/1, outil de l’ICLM https://iclmg.ca/stop-c-22/
    Je recommande aussi d’envoyer un e-mail au ministre canadien de la Sécurité publique Gary Anandasangaree(gary.anand@parl.gc.ca) et au ministre de la Justice Sean Fraser(sean.fraser@parl.gc.ca)

    • J’ai du mal à ne pas être cynique en pensant que même si l’on parle à son député et aux ministres, le LPC finit toujours par imposer sa volonté

  • Ce ne sera sans doute pas populaire à dire, mais quand un gouvernement montre son visage totalitaire, j’y vois aussi un certain bon côté
    Cela sert d’électrochoc à ceux qui niaient la réalité et cela favorise le type d’innovation que j’aime, à savoir les technologies de contournement de la censure
    Ce ne sera pas un mouvement de masse, mais on verra quelques scissions quitter les grandes plateformes centralisées, et même si l’effet sera généralement limité, ce ne sera pas totalement insignifiant, donc cela me va
    On a vu quelque chose de similaire aux États-Unis au début des années 2000, quand le ministre de la Justice John Ashcroft exploitait la peur du 11-Septembre, et beaucoup de nouveaux protocoles et applications sont apparus à cette époque

    • Une fois que ce type de dispositif politique est mis en place, je doute qu’il soit possible de revenir en arrière
      Tout le monde dans l’appareil d’État semble l’accepter, probablement à cause des dépenses engagées et des intérêts des sous-traitants publics liés à des proches et à des réseaux personnels
    • Il faut comprendre que, dans tous les États totalitaires, les innovations anti-censure réellement significatives sont presque inexistantes
      C’est jouer avec le feu, et à la fin, le feu ne brûle pas seulement la poussière dans un coin ou les jouets cassés qu’on n’aime pas, il réduit aussi en cendres tout ce à quoi l’on tient

  • Si on continue à représenter le projet de loi, il finira par être adopté

    • Oui, si cela échoue cette année, cela reviendra l’an prochain sous un nouveau nom
      Eux n’ont besoin de réussir qu’une seule fois, alors que nous devons l’arrêter à répétition
    • Le processus législatif comporte une soupape anti-retour
      On vote jusqu’à ce que cela passe, et une fois adopté, on ne peut plus jamais revenir en arrière
    • Maintenant qu’ils ont une majorité, si le gouvernement le présente, cela passera à coup sûr
    • Tant que ce genre de tentative ne sera pas sanctionné dans les urnes, cela continuera
      Malheureusement, détruire les droits fondamentaux ne suffit pas ; pour faire réagir les électeurs, il semble qu’il faille quelque chose d’aussi absurde qu’une hausse de la taxe foncière pour les personnes âgées

  • Ces dernières semaines, on a vu beaucoup de mauvaises nouvelles pour les droits numériques sur HN
    La pression pour la vérification de l’âge s’intensifie, les attaques contre le chiffrement de bout en bout se multiplient, et maintenant on a ça
    Je me demande s’il y a une raison de calendrier. Peut-être qu’ils en profitent parce que les gens seront distraits par la Coupe du monde

    • Une partie de cela vient du fait que Meta, ou plus précisément Zuck, cherche à prendre les devants en faisant pression sur les législateurs pour que la responsabilité de la vérification de l’âge repose non pas sur les plateformes mais sur les systèmes d’exploitation
    • Je ne pense pas que l’intersection entre ingénieurs et fans de la Coupe du monde soit aussi grande qu’on pourrait le croire
    • https://www.bbc.com/news/articles/c9q3x19ddl7o est peut-être un article qui résume involontairement assez bien la situation
    • Là d’où je viens, on écrase les droits humains pour faire de la place à la Coupe du monde
      Ce n’est pas un écran de fumée, c’est une justification
      https://www.pivotlegal.org/city_of_vancouver_s_new_fifa_byla...

  • Si quelqu’un de l’EFF regarde cela, ce serait bien de fournir une traduction française de cet article
    J’aimerais l’envoyer à mon député et le partager avec mes amis et ma famille
    Il faudra une mobilisation de grande ampleur pour bloquer cela

  • Je ne comprends pas pourquoi ce n’est pas une affaire plus largement médiatisée

    • C’est la lassitude. Ils continuent à proposer la même chose
    • Les médias canadiens reçoivent des milliards de subventions du gouvernement libéral et montrent en retour un biais évident
      Ils ont particulièrement du mal à critiquer le gouvernement actuel sous Mark Carney, et cela a été relevé dans le milieu des médias ainsi qu’à CBC
      Comme ce projet de loi est indéfendable, ils préfèrent ne pas trop en parler
      Ils préfèrent parler de l’opposition plutôt que du parti actuellement au pouvoir

  • Ce genre de chose continuera à ressurgir jusqu’à ce que la carrière des politiciens et des fonctionnaires qui la portent soit détruite
    Pour l’arrêter, il faut s’organiser et agir

  • Je me demande quelle est la motivation du gouvernement canadien pour vouloir faire passer ce type de loi
    Ce n’est pas comme si le Canada cherchait à devenir un État policier, et la plupart du temps le gouvernement canadien paraît assez détendu
    Cela dit, pendant la période du Covid, il a montré une obsession excessive pour l’application des politiques sanitaires
    Ou peut-être est-ce une mentalité à l’européenne du type : « c’est pour votre bien, et l’État sait prendre soin de vous »

  • Si les lois de censure et de surveillance en ligne des six dernières années, ainsi que le C-22, avaient été portées par un gouvernement conservateur, la réaction du public aurait été bien plus forte
    Mais comme cela vient des libéraux, et que les médias dominants, largement subventionnés en échange de leur complaisance, laissent passer, cela glisse
    Si vous croyez que le véritable objectif de cette loi autoritaire est de protéger les enfants, de lutter contre le crime organisé ou d’assurer la sécurité publique, vous vous faites avoir
    Ce gouvernement a supprimé les peines minimales obligatoires pour les crimes graves, traité la pédophilie comme une infraction mineure, continué à libérer sous caution des récidivistes violents, évité de faire condamner des immigrés lorsque cela pouvait affecter leur accès à la citoyenneté, laissé entrer des milliers de terroristes avec un contrôle minimal, et toléré ouvertement l’ingérence chinoise dans les élections
    La sécurité publique est très loin dans la liste des priorités, mais il a extrêmement soif de faire taire les critiques en ligne

    • Les grands partis ne sont souvent que les deux faces d’une même pièce, et c’en est un bon exemple
    • « Quand les médias attaquent l’opposition au lieu du gouvernement, la liberté est en danger » - Peter Hitchens

  • Je ne comprends pas cet acharnement à vouloir faire le mal

    • Parce qu’il n’y a absolument aucune responsabilité électorale
      Et l’électorat qui tient à cet état de fait est bien trop obsédé par l’importation ici des mauvais côtés du Commonwealth pour que cela change de sitôt
      Ce Commonwealth importe généralement, sous prétexte d’antiaméricanisme, les modes de pensée culturels des côtes américaines avec environ cinq ans de retard, au détriment des cultures locales
      Voilà ce qui arrive quand on importe la politique américaine sans importer les institutions américaines qui en amortissent le vacarme
    • C’est le résultat de deux facteurs conjoints
      D’abord, la communauté canadienne des politiques publiques a tendance à être fortement influencée par les évolutions législatives du Royaume-Uni, de l’Australie et de la Nouvelle-Zélande, et dans ce cas précis, il s’agit pratiquement d’un copier-coller de la mauvaise Online Safety Act britannique, en pire sur certains points
      Ensuite, à cause de décisions de la Cour suprême du Canada, notamment l’arrêt Bykovets de 2024, les agences canadiennes de sécurité et de renseignement ont le sentiment d’avoir les mains complètement liées en matière de collecte de données
      Ces deux éléments ont poussé le gouvernement vers une voie sombre, tout en lui laissant croire qu’il agit pour le bien
    • C’est une période vraiment grave. Cela s’accélère beaucoup trop vite
      Toute cette vérification de l’âge et cette surveillance se durcissent à une vitesse énorme
      En même temps, l’informatique personnelle est méthodiquement détruite, et les points d’accès des consommateurs à la mémoire et au stockage disparaissent eux aussi
      C’est atroce. Ces gens devraient être punis
      Les forces qui veulent infiltrer tous les systèmes numériques et bâtir une surveillance universelle sont allées bien trop loin ces dernières années
    • Parce qu’on a supprimé la possibilité pour des non-malfaisants de réussir politiquement
    • En général, c’est l’argent
      Il y a énormément d’argent en jeu dans la création d’un nouveau féodalisme numérique
      Comme la plupart des technologies numériques du quotidien sont entre les mains de quelques monopoles puissants, ils ont le sentiment qu’il existe désormais une vraie opportunité d’y parvenir