La surveillance n’est pas la sécurité : déclaration sur la dernière menace contre la vie privée au Royaume-Uni [pdf]

 (signal.org)
1 points par GN⁺ 4 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Exiger l’analyse de tout le contenu de tous les appareils vendus ou utilisés au Royaume-Uni selon un critère d’estimation de nudité ne relève pas de la protection des enfants ; c’est une mesure qui met en danger la vie privée et le droit de communiquer de tout le monde
  • Combiner la vérification de l’âge et l’analyse de contenu, de façon à imposer à tous les résidents du Royaume-Uni soit de prouver leur âge, soit de faire analyser l’intégralité de leur contenu, revient à conditionner l’exercice d’un droit fondamental à communiquer à une exigence dangereuse
  • Les capacités de surveillance et de censure de masse, une fois créées, ne restent pas limitées à un périmètre étroit et s’étendent à des outils servant à censurer et surveiller ce qui est considéré comme une menace ou un contenu nuisible au Royaume-Uni et à l’étranger
  • La promesse d’une exécution on-device ne constitue pas non plus une protection suffisante, car la portée de l’analyse dépend du pouvoir discrétionnaire du gouvernement et peut passer de la détection de nudité aujourd’hui à la parole politique demain
  • La sécurité réelle des enfants dépend d’un financement suffisant de l’éducation, de services sociaux solides et de garde-fous réellement efficaces pour les technologies d’IA et les plateformes ; une infrastructure de surveillance invisible activée par défaut n’en est pas l’alternative

Position essentielle

  • Les enfants doivent être protégés et élevés en sécurité ; ils ne doivent pas devenir des objets de surveillance, de coupes budgétaires et de dissimulation
  • Tout le monde, y compris les enfants, a droit à la protection de la vie privée en tant que droit humain, et les exigences du gouvernement britannique vont à l’encontre de ce droit
  • Les exigences du gouvernement britannique visent à faire analyser tout le contenu de tous les appareils vendus ou utilisés au Royaume-Uni selon un critère d’estimation de nudité
    • Cette approche combine vérification de l’âge et analyse de contenu
    • Elle ne protège pas les enfants et met tout le monde en danger
    • Elle renforce la domination de marché et le contrôle des données personnelles d’Apple, Google et Microsoft

Mesures proposées et risques

  • Il est dangereux de proposer un système dans lequel tous les résidents du Royaume-Uni doivent soit prouver leur âge, soit accepter l’analyse de l’ensemble de leur contenu pour exercer leur droit fondamental à communiquer
  • Les capacités de surveillance et de censure de masse sont des technologies qui, quelle que soit la sincérité apparente des promesses de leurs promoteurs, ne restent pas confinées à un périmètre étroit
    • Une fois créées, elles ont vocation à s’étendre
    • Elles deviennent des outils dangereux pour censurer et surveiller ce qui est considéré comme une « menace » ou un « contenu nuisible » au Royaume-Uni et à l’étranger
    Publicité
  • La promesse que le système ne fonctionne que sur l’appareil n’est pas une garantie suffisante
    • Qu’il s’exécute dans l’appareil, dans la caméra elle-même ou ailleurs, sa portée est déterminée par le jugement du gouvernement et par les interdictions qu’il édicte
    • Ce qui est aujourd’hui une détection de nudité peut devenir demain une détection de parole politique
  • Historiquement, ce type de technologie s’inscrit dans une dynamique d’élargissement autoritaire du périmètre des contenus et des personnes placés sous surveillance
    • Ces outils peuvent servir à signaler automatiquement des personnes aux autorités gouvernementales
    • Les forces de l’ordre ont déjà demandé des pouvoirs d’une ampleur comparable, et ce sont des pouvoirs particulièrement susceptibles d’être détournés dans un contexte politique de plus en plus instable
  • La sécurité des enfants relève davantage d’une éducation bien soutenue, de services sociaux robustes et de garde-fous significatifs pour les technologies d’IA et les plateformes
  • Ce que veut le gouvernement britannique, c’est une infrastructure de surveillance invisible activée par défaut
    • Un dispositif pouvant être légiféré à la hâte sous un prétexte cynique
    • Une approche qui prend insuffisamment en compte les besoins réels des enfants qu’elle prétend protéger, ainsi que les conséquences terribles et généralisées qui s’ensuivraient dans la réalité

À lire aussi

1 commentaires

 
GN⁺ 4 시간 전
Avis sur Hacker News

  • Je me demande parfois si les gens de l’industrie tech qui ont conçu des choses comme le secure boot, l’attestation ou le DRM voyaient cette issue comme l’inévitable que les défenseurs de l’open source ont toujours vu venir
    En transférant par des moyens techniques le pouvoir de décision final de l’utilisateur vers les entreprises, pensaient-ils vraiment que les responsables politiques ne pourraient pas, par des moyens politiques, déplacer ensuite ce contrôle vers eux-mêmes ?
    En verrouillant les plateformes pour prélever les 30 % de commission de l’App Store, en imposant des règles via la revue d’apps, et en allant jusqu’à censurer des sites comme Tumblr, pensaient-ils vraiment que les politiques ne voudraient pas ce même pouvoir de fixer les règles et de censurer ?
    Croyaient-ils que les employeurs empêcheraient ce glissement, que des entreprises pesant des billions deviendraient des guérilleros à la Che Guevara pour renverser le système qui les a rendues gigantesques ?

    • J’ai l’impression que les gens capables de faire ce genre de choses ont tendance à prendre le monde tel qu’il est. C’est du genre : « le monde fonctionne ainsi, donc il faut des restrictions numériques, et maintenant il faut les implémenter »
      Ce n’est pas vraiment à moi de décider si le DRM ou l’attestation distante sont des pratiques business standard ; c’est plutôt une attitude qui considère simplement que c’est la réalité
      C’est semblable aux deux façons d’aborder la loi. Certains disent : « c’est la loi, donc il faut la suivre », d’autres : « cette loi est absurde, donc il faut la changer »
      C’est aussi la différence entre la personne qui traverse quand le feu piéton est vert et celle qui regarde les voitures et traverse s’il n’y en a pas. La première estime qu’il faut suivre les règles de circulation ; la seconde considère que si elle s’était contentée du rouge/vert légal, elle n’aurait pas survécu. Le vert ne signifie pas la sécurité, et s’il n’y a pas de voiture, il n’y a aucune raison de ne pas traverser malgré le rouge
    • Au final, ce sont des salariés. Leur employeur les recrute pour écrire le code qu’il veut ; s’ils ne le font pas, il les licencie et embauche quelqu’un d’autre pour le faire
      Même quand c’est très discutable sur le plan éthique, les gens qui abandonnent leur emploi pour rester fidèles à leurs convictions restent extrêmement rares
    • La formulation est bonne
      Je pense qu’on apprend le plus sur ce problème en lisant des personnes intelligentes et compétentes des grandes entreprises tech. Leur cadre d’analyse présente souvent cela comme un trade-off face à des pressions sociales lentes mais inévitables, atténuées au prix d’un compromis sur la liberté
      Donc je ne pense pas qu’ils ignorent le point soulevé plus haut. J’ai plutôt l’impression qu’ils ne voient tout simplement pas de moyen réaliste d’avancer vers quelque chose de meilleur, de plus riche ou de plus sophistiqué — pour la tech, les entreprises, et peut-être même les gens ordinaires — sans ce compromis
      Ils voient un embranchement dans l’avenir, et ont l’impression que, qu’ils le fassent eux-mêmes ou que la situation empire au point qu’un autre le fasse, aucun chemin n’aboutit sans contraintes techniques
    • Les gens qui conçoivent des fonctions comme le secure boot, l’attestation ou le DRM le savent très bien, mais s’en moquent. À leurs yeux, les bénéfices qu’on leur présente — moins de hackers, moins de malware, moins de trafic de bots — l’emportent sur les dommages possibles pour la société dans son ensemble
    • Je me souviens avoir déjà protesté contre ce genre de choses. Mais les excuses étaient partout
      C’était du type : « le secure boot peut être désactivé, donc ce n’est pas un problème ». C’est vrai, mais de plus en plus de choses cesseront alors de fonctionner. Par exemple, ne pas pouvoir utiliser des apps iOS sur Mac. Au final, comme c’est déjà le cas sur téléphone, rester dans un jardin clos confortable deviendra la norme, et si vous en sortez, les apps utiles vous bloqueront tout simplement
      Il y a aussi l’argument de l’attestation : « les entreprises doivent vérifier que vous êtes bien celui que vous prétendez être ». Certes, mais si ce pouvoir peut leur rapporter, elles en abuseront

  • Dans l’ordre, cela donne ceci

    1. Il faut une caméra sur l’ordinateur pour qu’un tiers puisse vérifier l’âge avant de consulter du contenu pour adultes
    2. Cela s’applique ensuite aussi aux réseaux sociaux
    3. Puis cela s’applique au système d’exploitation
    4. Si la vérification d’âge n’est pas faite, la loi exigera soit que l’ordinateur soit assez puissant pour exécuter de l’IA, soit qu’il soit connecté à Internet et envoie des photos privées à un tiers. Cela afin de détecter et d’interdire la nudité. Pour que cela fonctionne aussi sur des appels FaceTime, par exemple, il faudra probablement que cela puisse tourner en temps réel
      L’étape suivante sera probablement l’illégalisation de fait de la plupart des systèmes d’exploitation et des anciens appareils. Excellente nouvelle pour Google, Apple et Microsoft, mauvaise nouvelle pour Linux et les systèmes alternatifs. Il faut se souvenir de l’époque où les écoles distribuaient des Raspberry Pi
      Et, accessoirement, comme personne ne comprend comment fonctionne réellement l’ingénierie logicielle, on exige que cela soit implémenté gratuitement en 3 mois. Quelle efficacité remarquable
    • Il ne sera probablement même pas nécessaire d’aller jusqu’à « rendre illégaux la plupart des systèmes d’exploitation et les anciens appareils »
      Il suffira plutôt de créer de nouvelles technologies de fait indispensables, qui ne peuvent pas tourner sur les anciens appareils. Mettez-vous à jour ou cessez d’exister socialement
      Le téléphone portable et l’e-mail semblent déjà proches de ce statut « indispensable ». C’est mon ressenti en tant qu’utilisateur d’Internet qui n’utilise ni téléphone portable ni e-mail. Quand je réponds « je n’ai ni téléphone ni e-mail », personne ne me croit. Je suis la personne la plus libre encore en vie, et s’ils n’y croient pas, c’est leur problème
    • Ce n’est pas seulement un problème de tes photos. C’est tout le contenu affiché sur l’appareil, tout ce que la caméra capte, tout. Une collecte totale. Le GCHQ va jubiler
    • La loi exige-t-elle vraiment un tiers ? Si c’était une fonction locale sur l’appareil, paramétrable par les parents, cela ne semblerait pas si horrible
    • Si la pression fascisante devient assez forte, Usenet pourrait redevenir intéressant. Il suffirait juste de trouver un moyen de filtrer le bon contenu connu au milieu du spam, et j’ai l’impression qu’une identité OpenPGP pourrait résoudre ça
      Sinon, pour les gens patients, il y a Tor et un gestionnaire de téléchargements. On peut aussi imaginer des galeries statiques de photos et vidéos, réparties sur des milliers de petits sites
      Le désavantage de pousser les gens dans des recoins obscurs, c’est que toute régulation disparaît, ainsi qu’une partie des recettes fiscales. La perte de recettes fiscales est peut-être justement ce qui pourrait attirer leur attention

  • Signal doit résister fermement. On pourrait le formuler ainsi
    le gouvernement veut placer un mouchard dans chaque téléphone portable, poser un dispositif d’écoute dans chaque chambre, et espionner chaque foyer tous les soirs. Chaque cabinet médical, chaque cabinet de consultation, chaque pub, chaque rue, chaque magasin
    quand ce mouchard fera son rapport à la maison mère, la police pourra venir chez vous à cause de ce que vous avez tapé à votre partenaire
    une Stasi artificielle s’installera dans chaque ordinateur de bureau, ordinateur portable, tablette, caméra et téléphone. Elle sera à chaque coin de rue et dans chaque salon. Rien n’échappera à son regard
    Votre aspirateur est-il prêt à faire son rapport à la maison ?

    • Vous parlez de l’application / plateforme de messagerie Signal ? Ce qui est amusant, c’est qu’en Chine, Signal fonctionne presque mal même avec un VPN. Envoyer des médias ou des images est impossible
      parfois, c’est bloqué pendant des semaines entières. D’autres services marchent tant bien que mal avec un VPN
    • Si Signal ne résiste pas, il perdra les clients qui se soucient de la vie privée, et ne perdra pas immédiatement ceux qui ne s’en soucient pas. Mais une scission autour d’une nouvelle solution deviendra presque certaine, et il y aura d’autres options que les amis technophiles ou les gens branchés du moment recommanderont aux utilisateurs ordinaires
      Nous avons déjà vu cela. La seule manière de gagner à ce jeu, c’est de ne pas y jouer. Surtout avec un gouvernement : à partir du moment où on commence à jouer, on a déjà perdu
    • Ce n’est ni plus ni moins que The Witness dans le roman Gnomon de Nick Harkaway

  • La surveillance remplace les menaces personnelles ou périphériques qu’elle prétend combattre par une menace claire, dangereuse, étendue et pratiquement irréversible. Cette menace accumule en continu un levier centralisé sur tous les aspects directs et indirects de nos vies
    Le savoir, c’est le pouvoir. Forcer la mise à nu de notre vie intérieure place chacun dans une position de vulnérabilité
    Même « sans abus », la menace potentielle en elle-même retire réellement la liberté de penser et d’agir
    C’est un abus extrême
    L’État en vient à fonctionner comme une menace unidirectionnelle maximisée envers tous les citoyens, ce qui détruit l’idée que l’État travaille pour le peuple
    L’analyse combinée à l’IA amplifie exponentiellement cette menace ainsi que les dommages passifs et actifs
    L’un des concepts éthiques et de sécurité les plus sages de l’histoire est le suivant : « Le droit des citoyens à la sécurité de leur personne, de leur domicile, de leurs papiers et de leurs effets contre les perquisitions et saisies déraisonnables ne pourra être violé »
    Une démocratie qui met en place les leviers d’une dictature totale représente la plus grande distorsion et la plus grande menace pour la démocratie. La démocratie ne fonctionne que tant qu’elle reconnaît que le gouvernement est la plus grande menace pour la liberté. La seule défense, c’est une limitation stricte du pouvoir de l’État sur les citoyens

  • Le gouvernement pousse à la surveillance depuis les débuts de l’internet grand public
    Le premier exemple dont je me souvienne est le Clipper Chip. Il est mort trois ans après avoir été proposé
    Cette idée stupide échouera de la même façon. Elle est aussi proposée par un Premier ministre qui a promu au rang d’ambassadeur, contre l’avis de l’administration, un ami très proche de l’un des pédophiles les plus tristement célèbres de ces dernières années
    Imposer en trois mois des changements massifs à tous les systèmes d’exploitation de la planète ? Ça ne ressemble pas une seule seconde à quelque chose de plausible

  • Je ne détestais pas particulièrement Starmer, mais avec ça je monte enfin dans le camp anti-Starmer
    Quel héritage affreux à laisser. Une triste tentative d’obtenir le plus grand effet au moindre coût. Et en plus, trois mois ? Peut-être que c’est la durée pendant laquelle il s’attend lui-même à rester Premier ministre

    • Les gens de Palantir sont probablement en train de lui faire une offre qu’il ne peut pas refuser. Un dernier coup de pression avant de prendre sa retraite et disparaître dans le soleil couchant

  • C’est un cliquet qui se resserre progressivement. Inspection côté client, attestation à distance pour garantir que cette inspection côté client fonctionne réellement, vérification d’identité numérique, et ainsi de suite

  • Il faut saluer le fait que Signal se soit rapidement rangé du bon côté sur cette question. J’espère que cette position se diffusera vite pour contrer le récit beaucoup trop dominant selon lequel un projet de loi bâclé et brandi comme un marteau serait la meilleure prochaine étape
    Le véritable progrès devrait consister à comprendre et à trouver des solutions à l’érosion de la communauté, de la confiance et de l’empathie envers les autres. J’ai le sentiment que ce genre de choses est peut-être le symptôme d’un déficit d’investissement, de politiques publiques et de gouvernance en faveur d’une société saine. Bien sûr, il ne faudrait peut-être pas parler de demander des comptes, de peur de passer pour cynique en politique

  • Quand découvrira-t-on que les responsables politiques ont prévu des clauses d’exception pour eux-mêmes et pour les appareils de sécurité ? Pour une fois, j’aimerais que mon pessimisme soit infondé, mais il ne l’est pas

    • C’est maintenant presque une clause standard. Tout le monde copie les devoirs des autres

  • « La surveillance n’est pas la sécurité »
    Peut-être pas, mais tant que la personne moyenne le pense, c’est de fait le cas

    • La personne moyenne pense-t-elle vraiment cela ? La perception de ce que pensent les autres ne correspond pas toujours à ce qu’ils pensent réellement
    • https://xkcd.com/610/
    • C’est quand même un excellent mème. Il faudrait l’utiliser davantage
    • J’aimerais plutôt que la personne moyenne ait les outils et l’autorisation d’accéder à toutes ces informations
    • On est plutôt plus proche du cas où c’est le milliardaire moyen qui le pense, non ?
      Ce n’est pas la personne moyenne qui pousse cela