1 points par GN⁺ 2023-06-29 | 1 commentaires | Partager sur WhatsApp
  • Le Online Safety Bill britannique pourrait exiger des apps de messagerie chiffrée comme iMessage, WhatsApp et Signal qu’elles scannent les images de maltraitance infantile, et Apple demande donc une modification du texte
  • Le projet de loi donnerait à Ofcom le pouvoir d’ordonner l’analyse du contenu des messages à l’aide de technologies accréditées, ce que le gouvernement présente comme un « dernier recours » lorsque de strictes garanties de protection de la vie privée sont réunies
  • Apple souligne que le chiffrement de bout en bout protège les journalistes, les défenseurs des droits humains, les diplomates et les citoyens ordinaires contre la surveillance, l’usurpation d’identité, les fraudes et les fuites de données
  • Signal et WhatsApp affirment qu’ils refuseront toute demande affaiblissant la confidentialité du chiffrement, et Signal a déclaré qu’il se retirerait du Royaume-Uni si cela devenait obligatoire
  • Des organisations de la société civile, des universitaires et des experts en cybersécurité avertissent que cette mesure pourrait ébranler, au-delà du Royaume-Uni, la confiance dans la sécurité des services internationaux de communication numérique

Conflit autour du chiffrement et du Online Safety Bill

  • Apple critique le fait que les pouvoirs prévus par le Online Safety Bill puissent être utilisés pour imposer le scan de contenus pédopornographiques sur des outils de messagerie chiffrée comme iMessage, WhatsApp et Signal
  • Apple estime que le projet de loi doit être modifié afin de protéger le chiffrement de bout en bout
  • Le chiffrement de bout en bout est un mécanisme qui empêche toute personne autre que l’expéditeur et le destinataire de lire les messages
  • La police, le gouvernement et certains grands organismes de protection de l’enfance estiment que le chiffrement d’apps comme WhatsApp et Apple iMessage complique l’identification de contenus d’exploitation sexuelle des enfants par les forces de l’ordre et les entreprises
  • Le gouvernement britannique considère que les entreprises doivent empêcher les abus envers les enfants sur leurs plateformes
    • Il estime que les entreprises ne devraient mettre en œuvre le chiffrement de bout en bout que lorsqu’elles peuvent aussi prévenir les formes graves d’abus sexuels sur les enfants sur leurs plateformes
    • Il affirme vouloir continuer à chercher avec les entreprises des solutions permettant de lutter contre la diffusion de contenus d’exploitation sexuelle des enfants tout en préservant la vie privée des utilisateurs
  • Le texte est actuellement en cours d’adoption au Parlement et comprend un pouvoir permettant à Ofcom d’ordonner aux plateformes de scanner le contenu des messages avec des technologies accréditées
    • Le gouvernement explique que ce pouvoir constitue un « dernier recours » et ne serait utilisé que si de strictes garanties en matière de vie privée sont respectées

Scan côté client et opposition du secteur

  • Le gouvernement estime qu’une solution technique permettant de scanner des contenus de maltraitance infantile, même dans des messages chiffrés, est possible
  • De nombreux spécialistes de la tech considèrent que cela nécessiterait un logiciel de scan côté client inspectant les téléphones ou ordinateurs avant l’envoi des messages
  • Les critiques craignent que le scan côté client n’affaiblisse fondamentalement la confidentialité des messages
  • Apple avait annoncé en 2021 un projet visant à scanner sur iPhone les photos contenant des contenus pédopornographiques avant leur envoi vers iCloud, avant d’y renoncer après la controverse
  • Plusieurs plateformes de messagerie, dont Signal et WhatsApp, ont déjà indiqué qu’elles refuseraient toute injonction visant à affaiblir la confidentialité de leurs systèmes de messagerie chiffrée
    • En février, Signal a déclaré qu’il « partirait » du Royaume-Uni si l’affaiblissement de la confidentialité des apps de messagerie chiffrée devenait obligatoire
  • Avec l’arrivée d’Apple dans le débat, certaines des apps chiffrées les plus utilisées s’opposent désormais aux dispositions concernées du projet de loi

Lettre ouverte et inquiétudes sur la confiance en matière de sécurité

  • L’organisation de défense des libertés numériques Open Rights Group a adressé une lettre ouverte à la ministre de la Technologie Chloe Smith
    • Plus de 80 organisations de la société civile britanniques et internationales, universitaires et experts cyber ont signé la lettre
    • Elle avertit que le Royaume-Uni pourrait devenir la première démocratie libérale à exiger le scan systématique de messages privés, y compris des conversations protégées par le chiffrement de bout en bout
    • Comme plus de 40 millions de citoyens britanniques et 2 milliards de personnes dans le monde utilisent ces services, cela pourrait représenter un risque majeur pour la sécurité des services de communication numérique, non seulement au Royaume-Uni mais aussi à l’international
  • L’entreprise technologique britannique Element, qui fournit des produits E2EE aux gouvernements et aux clients militaires, craint que les mesures du projet de loi affaiblissant la confidentialité des messages chiffrés ne réduisent la confiance des clients envers les produits de sécurité des entreprises britanniques
  • L’espoir grandit également de voir évoluer certaines parties du texte critiquées parce qu’elles pourraient servir à imposer une obligation de scan
    • Ces changements pourraient figurer dans un paquet d’amendements qui doit être publié dans les prochains jours
    • On ignore encore les détails et s’ils répondront aux préoccupations des organisations de campagne

1 commentaires

 
GN⁺ 2023-06-29
Avis sur Hacker News
  • Si on dit que, pour offrir un chiffrement de bout en bout, une plateforme doit aussi pouvoir empêcher d’horribles cas d’exploitation sexuelle d’enfants, c’est comme dire qu’il faudrait interdire les maisons avec des murs si les constructeurs ne peuvent pas garantir qu’aucun enfant n’y sera blessé

    • C’est plutôt comparable à l’idée d’interdire les serrures des logements privés sous prétexte qu’il peut y avoir une mauvaise personne dans une maison
      C’est une idée absurdement folle
    • Les pédophiles conduisent aussi des voitures
    • Je me souviens qu’en entendant parler de l’affaire Dutroux quand j’étais enfant, je pensais qu’il vaudrait mieux que les bâtiments où ce genre de choses se produisent s’effondrent tout simplement
    • Je suis d’accord dans une certaine mesure, mais l’échelle n’a rien à voir
      Ce n’est pas une question binaire, et je sais que beaucoup de gens seront en désaccord avec ça
  • Avec les images IA manipulées, l’autocomplétion et les images qui déshabillent les gens, le CSAM va sans doute devenir encore plus étrange
    Il existe même une jurisprudence disant qu’il est légal de posséder ou vendre du hentai représentant des mineurs au Japon : https://en.wikipedia.org/wiki/United_States_v._Handley
    Que se passe-t-il si quelqu’un obtient des images d’enfants depuis un site comme https://thispersondoesnotexist.com/ et génère ensuite des images de nudité ou d’actes sexuels ? Selon cette logique, c’est presque la même chose, puisque ni l’enfant ni l’acte sexuel ne sont réels
    Le problème plus large est : « comment distinguer une preuve de viol d’enfant d’une simple image générée par IA ? »
    Je penche de plus en plus vers l’idée que « le CSAM devrait être considéré comme une preuve d’un crime, et non comme un crime en soi »
    Cela dit, même si on supprimait la responsabilité stricte pour la possession de CSAM, je soutiens la peine de mort pour les personnes qui violent des enfants prépubères

    • Si on le considère comme une preuve de scène de crime, c’est assez étrange que cela devienne un crime grave passible de plusieurs décennies simplement parce qu’on le possède, quelle qu’en soit la raison
      Les pédophiles photographient et filment eux-mêmes leurs crimes avant de les partager sur Internet ; si des enquêteurs amateurs en ligne pouvaient examiner ce type de contenus comme les forces de l’ordre, beaucoup plus d’agresseurs d’enfants finiraient sans doute par être arrêtés
      La diffusion devrait évidemment rester illégale, mais interdire la simple possession n’empêche pas les trafiquants d’êtres humains et élimine une main-d’œuvre d’enquête amateur qui pourrait beaucoup aider à résoudre le problème
      Ces personnes ont déjà permis d’élucider de nombreuses affaires de meurtre non résolues depuis longtemps que la police n’avait pas su résoudre
      Quand on y pense, c’est même un peu glaçant. Les preuves d’autres scènes de crime ne sont pas protégées de cette manière
      Est-il illégal de posséder des photos ou vidéos de quelqu’un poignardé, abattu ou décapité ? Il y a sûrement aussi des gens qui en tirent une excitation sexuelle, et pourtant la diffusion de ce type de contenu suscite peu de réactions
      On dirait presque que les puissants ne veulent pas vraiment que le grand public sache qui se cache derrière tout ça. On sait déjà que des personnes très riches et très puissantes sont souvent impliquées dans des réseaux de prostitution infantile
      La génération d’images par IA rend cela à la fois plus dangereux et plus ridicule. On se dirige vers une époque où quelqu’un pourra créer en local, avec quelque chose comme Stable Diffusion, des images qui ressemblent à du CSAM sans impliquer d’enfants réels, puis les glisser dans vos possessions, à distance ou en déposant une carte SD quelque part chez vous, et cela pourra vous valoir des décennies de prison
      Il vaut mieux espérer ne pas avoir d’ennemis
    • La jurisprudence citée ne concerne que le droit fédéral américain
      Depuis ces affaires, de nombreux États américains ont interdit les représentations générées par ordinateur de CSAM, si bien que les images générées par ordinateur ou les poupées sexuelles à l’apparence infantile ne sont pas autorisées dans une grande partie du pays
      Je ne sais pas si le fait de donner accès à ce type de choses, qui n’implique aucun enfant réel, ferait que la majorité des personnes concernées passeraient davantage ou moins souvent à l’acte
      Pour certaines, cela atténuerait peut-être les pulsions ; pour d’autres, cela les renforcerait probablement. Je ne suis pas psychologue
    • Les articles sur le CSAM IA commencent tout juste à sortir
  • Apple n’avait-il pas recommandé il n’y a pas si longtemps le scan sur l’appareil pour ce type de photos ?
    Tant mieux s’ils s’y opposent maintenant, mais comme ils ont eux-mêmes essayé de le mettre en place, il est difficile de savoir à quel point ils sont sincères

    • Je pense qu’Apple avait essayé d’élaborer un plan de réponse au CSAM pour couper l’herbe sous le pied à des gouvernements comme celui du Royaume-Uni, qui utilisent précisément ce type de raisonnement malveillant
      Le Royaume-Uni cherche à casser le chiffrement de bout en bout en mobilisant même des associations de protection de l’enfance afin d’ajouter un poids émotionnel et social à cet objectif
    • Non. Ce n’était pas imposé par la loi, c’était sur la base du volontariat
      Le système était conçu pour ne fonctionner que sur les images téléversées vers iCloud, pas sur n’importe quelle image présente dans l’appareil
      Les reçus utilisés pour le traitement étaient générés dans le cadre du processus de téléversement, et ni l’appareil ni le serveur, pris isolément, ne pouvaient en déduire d’informations utiles sans coopération mutuelle
      C’était une approche intéressante montrant à quel point Apple avait réfléchi à maximiser la protection de la vie privée
      Mais les gens n’ont pas lu les détails et ont imaginé un fonctionnement beaucoup plus simple, ce qui a étouffé toute discussion utile sur ce que le système faisait réellement
      Il faut s’opposer à l’approche britannique, mais je ne me serais pas opposé à celle qu’Apple voulait mettre en œuvre
    • L’idée et l’implémentation d’Apple étaient bien meilleures que l’horrible proposition contestée ici, et plus sûres, avec davantage de respect pour la vie privée
    • Oui. Cela donne vraiment l’impression d’un revirement de position très étrange
      Quelle est au juste la vraie position d’Apple ?
    • Le projet d’Apple de comparer sur l’appareil les images avec des hash de CP était une tentative très raisonnable de proposer aux gouvernements une alternative à l’interdiction du chiffrement de bout en bout
      Comme le dit le porte-parole du gouvernement dans l’article — « les entreprises ne devraient mettre en place le chiffrement de bout en bout que si elles peuvent en même temps empêcher d’horribles formes d’exploitation sexuelle d’enfants sur leurs plateformes » — Apple essayait précisément d’apporter cette deuxième réponse afin d’avoir des arguments pour demander aux gouvernements de ne pas réglementer le chiffrement de bout en bout
  • Les travailleurs de la tech devraient se syndiquer partout et s’opposer fermement à ce genre de politiques de merde
    Nous sommes les experts, l’élite, nous savons ce qui est le mieux, et nous avons la responsabilité de montrer la voie ici
    De la même manière que les médecins ne prélèvent pas des organes pour les vendre, et que les pharmaciens ne fabriquent pas de poison, les ingénieurs ne doivent pas créer de portes dérobées de chiffrement

    • L’idée de « nous sommes l’élite » est séduisante, mais dans la réalité, la plupart d’entre nous ne valent guère mieux moralement que des prostituées de luxe
      Les médecins aussi touchent souvent des pots-de-vin de Big Pharma, et il y a des médecins assez cinglés pour recommander des opérations inutiles afin de financer leur nouvelle piscine
    • Cela ressemble moins à un syndicat qu’à un ordre professionnel autorégulé
      Un syndicat se bat contre les employeurs pour les salaires et les conditions de travail, tandis qu’un ordre professionnel représente la position réfléchie d’une profession et autorégule ses membres, comme chez les médecins ou les avocats plaidants
    • Je n’ai pas envie de brandir la bannière du « nous sommes les experts, l’élite, et nous savons ce qui est le mieux »
      En revanche, si on peut expliquer clairement quel est le problème avec des mots compréhensibles par les non-spécialistes, tout le monde y gagne
    • Peut-être sur la technique et le code, mais certainement pas sur les impacts sociaux
    • À l’instant où on affirme « nous sommes l’élite », le grand public perd toute confiance
      Il ne faut pas recourir ici à un appel à l’autorité
  • Encore une politique internet britannique folle et inapplicable, qui ne sera probablement même pas mise en œuvre
    Je ne comprends pas pourquoi ils continuent comme ça
    Même en supposant qu’ils soient sincères, le Royaume-Uni est un petit pays qui n’a pas le pouvoir de faire pression sur les géants tech américains
    Il n’a même pas le levier de l’Irlande, où se trouve la base fiscale européenne de ces entreprises

    • La force du Royaume-Uni vient probablement moins de sa capacité à faire pression directement sur les géants tech américains que de son statut de membre des Five Eyes et d’allié utile en matière de renseignement d’origine électromagnétique
      La NSA pourrait vouloir un meilleur moyen de surveiller les Américains qui utilisent Signal. Comment faire ? Il suffit de demander aux Britanniques de s’en charger
    • C’est ce genre de raisonnement qui a permis au référendum sur le Brexit de passer
      Même si une idée paraît absurde, il ne faut pas rester sans rien faire en se disant qu’elle est trop stupide pour devenir réalité
      Il faut se battre pour qu’elle ne le devienne pas
    • Ce sera mis en œuvre
      Il faut se rappeler que l’UE comme les États-Unis poussent tous deux ce type de lois
      Bientôt, cela sera élargi pour inclure la propagande terroriste, le trafic de drogue et même les appels à des manifestations illégales
    • Cela leur permettra de faire publier dans le Daily Mail des formules du genre : « Nous avons essayé de protéger les enfants, mais des géants tech américains irresponsables nous en ont empêchés »
  • Le Royaume-Uni est bizarrement favorable à la surveillance
    Les caméras CCTV s’y sont aussi généralisées bien plus tôt que dans la plupart des autres pays
    Orwell était britannique, donc ils semblent penser qu’ils maîtrisent bien le sujet

    • Je ne pense pas qu’Orwell ait grand-chose à voir avec cela
      La société britannique est très différente de la société américaine à bien des égards, et l’histoire l’explique en partie
      Comme dans beaucoup de sociétés féodales européennes, il existe une vieille attente selon laquelle le gouvernement doit prendre soin des citoyens
      Il y avait des lois protégeant les paysans contre les propriétaires prédateurs, quel que soit le comportement individuel de ces derniers, et même si l’application n’était pas parfaite, ce cadre existait
      Pendant longtemps aussi, les « gouvernements » locaux ou les communautés ont pris en charge les sans-abri
      Le point essentiel, c’est qu’au Royaume-Uni il n’existe pas vraiment la même défiance envers l’État qu’aux États-Unis
      Du coup, le gouvernement peut se voir confier d’immenses pouvoirs tout en bénéficiant de la confiance qu’il n’en abusera pas, en bien ou en mal, au moins contre ses propres citoyens
      Pour ce qui est spécifiquement des CCTV, elles sont en pratique aujourd’hui surtout concentrées à Londres
      Autrement dit, la majeure partie du Royaume-Uni est assez peu touchée par ce type de surveillance
      Et de mémoire, la plupart des CCTV sont exploitées par le privé, pas par l’État, et les images sont supprimées en quelques semaines pour réduire les coûts
      En réalité, ce n’est pas une situation à la Bourne Identity où la police regarde en direct une personne courir dans Londres
      Il faut plutôt envoyer des demandes et des assignations à diverses entreprises pour récupérer les informations après coup
    • Les CCTV coûtent moins cher que de payer des policiers en civil à surveiller les clients
      Qualifier les CCTV privées d’orwelliennes me semble une analogie un peu confuse
      Dans 1984, la surveillance vidéo était opérée par un gouvernement totalitaire
    • Même dans les prétendus havres du monde libre hostiles à la surveillance, tout le monde filme avec des caméras de porte d’entrée et envoie les vidéos à Amazon
      Et publie sur internet les images de toute personne qui ose passer devant chez eux
  • Le parti actuellement au pouvoir au Royaume-Uni gouverne depuis 13 ans et il est totalement à court d’idées
    Le principal parti d’opposition n’arrive guère à proposer autre chose que « comme eux, mais en mieux »
    Les grands problèmes auxquels le Royaume-Uni fait face — dette, économie, logement, éducation, Brexit, effondrement démocratique — sont des sujets sur lesquels les gens ne veulent pas vraiment soutenir des mesures concrètes
    Il ne reste donc aux partis que ce genre de politiques idiotes ou des sujets de division artificiels, comme présenter les personnes trans comme des pédophiles
    Voilà pourquoi cette question revient sans cesse

    • Crois-tu sincèrement que le Labour, s’il revient au pouvoir, ne poussera pas le même agenda ?
      Cela remonte déjà un peu, leur dernière période au pouvoir, mais Starmer est exactement le genre de personne à faire avancer cet agenda anti-vie privée et pro-surveillance que le Labour appréciait aussi beaucoup
  • Le Royaume-Uni semble doué pour s’infliger des dégâts à lui-même
    D’abord le Brexit, maintenant l’Online Safety Bill
    Le Brexit avait le soutien de la moitié de la population, mais ce projet de loi sur la sécurité ne semble pas avoir vraiment attiré l’attention du public, à moins que quelque chose m’ait échappé
    Cela ressemble à un schéma où l’on applique une solution générale à un problème spécifique, alors que le rayon d’impact négatif de cette solution générale est, de façon asymétrique, bien plus vaste que le problème particulier qu’elle prétend traiter

    • L’Online Safety Bill semble être un résultat bien plus facile à obtenir que la construction de logements abordables, donc ils paraissent se concentrer sur des résultats « atteignables », même s’ils sont en réalité peu importants
      Et au passage, je suis opposé à l’Online Safety Bill
    • Il ne faut pas oublier non plus le Snooper's Charter
    • J’ai voté contre le Brexit, mais je reste eurosceptique
      Les deux sujets ne sont pas comparables
  • On ne peut pas faire confiance à Apple en matière de protection de la vie privée
    Personne ne sait vraiment ce que fait son logiciel
    Tout est closed source
    Ce n’est pas parce qu’ils mettent en avant la vie privée dans leur publicité qu’ils protègent réellement celle des utilisateurs

    • Les résultats semblent le prouver
      Les agences fédérales et les forces de l’ordre se plaignent sans cesse de ne pas pouvoir accéder aux données des utilisateurs d’Apple
      Il y a même eu des procès à ce sujet
      Donc ça semble plutôt bien fonctionner
    • Quel rapport avec le fait de s’opposer à cette proposition ?
    • C’est vrai qu’on ne peut pas auditer les logiciels d’Apple, mais on ne peut pas non plus auditer ceux de n’importe qui d’autre, donc je ne vois pas pourquoi ce serait un défaut propre à Apple
      En outre, Apple fait largement sa publicité sur son engagement envers la vie privée, n’a jamais donné de signe de malhonnêteté, n’aurait rien à gagner à nous mentir, et si ce mensonge était découvert, cela causerait des dommages incommensurables à la marque
  • C’est comme dire qu’un FAI devrait être tenu responsable du piratage
    Ce n’est plus le cas depuis le début des années 2000, à cause du statut de transporteur commun
    La technologie finit toujours par trouver un moyen de rester séparée du contenu qu’elle transmet
    Cinq minutes après la publication d’un article de recherche montrant qu’un meilleur concept de messagerie secrète est techniquement possible, on dirait que ces politiques d’affaiblissement du chiffrement vont être inscrites dans la loi