- Le Online Safety Bill britannique pourrait exiger des apps de messagerie chiffrée comme iMessage, WhatsApp et Signal qu’elles scannent les images de maltraitance infantile, et Apple demande donc une modification du texte
- Le projet de loi donnerait à Ofcom le pouvoir d’ordonner l’analyse du contenu des messages à l’aide de technologies accréditées, ce que le gouvernement présente comme un « dernier recours » lorsque de strictes garanties de protection de la vie privée sont réunies
- Apple souligne que le chiffrement de bout en bout protège les journalistes, les défenseurs des droits humains, les diplomates et les citoyens ordinaires contre la surveillance, l’usurpation d’identité, les fraudes et les fuites de données
- Signal et WhatsApp affirment qu’ils refuseront toute demande affaiblissant la confidentialité du chiffrement, et Signal a déclaré qu’il se retirerait du Royaume-Uni si cela devenait obligatoire
- Des organisations de la société civile, des universitaires et des experts en cybersécurité avertissent que cette mesure pourrait ébranler, au-delà du Royaume-Uni, la confiance dans la sécurité des services internationaux de communication numérique
Conflit autour du chiffrement et du Online Safety Bill
- Apple critique le fait que les pouvoirs prévus par le Online Safety Bill puissent être utilisés pour imposer le scan de contenus pédopornographiques sur des outils de messagerie chiffrée comme iMessage, WhatsApp et Signal
- Apple estime que le projet de loi doit être modifié afin de protéger le chiffrement de bout en bout
- Le chiffrement de bout en bout est un mécanisme qui empêche toute personne autre que l’expéditeur et le destinataire de lire les messages
- La police, le gouvernement et certains grands organismes de protection de l’enfance estiment que le chiffrement d’apps comme WhatsApp et Apple iMessage complique l’identification de contenus d’exploitation sexuelle des enfants par les forces de l’ordre et les entreprises
- Le gouvernement britannique considère que les entreprises doivent empêcher les abus envers les enfants sur leurs plateformes
- Il estime que les entreprises ne devraient mettre en œuvre le chiffrement de bout en bout que lorsqu’elles peuvent aussi prévenir les formes graves d’abus sexuels sur les enfants sur leurs plateformes
- Il affirme vouloir continuer à chercher avec les entreprises des solutions permettant de lutter contre la diffusion de contenus d’exploitation sexuelle des enfants tout en préservant la vie privée des utilisateurs
- Le texte est actuellement en cours d’adoption au Parlement et comprend un pouvoir permettant à Ofcom d’ordonner aux plateformes de scanner le contenu des messages avec des technologies accréditées
- Le gouvernement explique que ce pouvoir constitue un « dernier recours » et ne serait utilisé que si de strictes garanties en matière de vie privée sont respectées
Scan côté client et opposition du secteur
- Le gouvernement estime qu’une solution technique permettant de scanner des contenus de maltraitance infantile, même dans des messages chiffrés, est possible
- De nombreux spécialistes de la tech considèrent que cela nécessiterait un logiciel de scan côté client inspectant les téléphones ou ordinateurs avant l’envoi des messages
- Les critiques craignent que le scan côté client n’affaiblisse fondamentalement la confidentialité des messages
- Apple avait annoncé en 2021 un projet visant à scanner sur iPhone les photos contenant des contenus pédopornographiques avant leur envoi vers iCloud, avant d’y renoncer après la controverse
- Plusieurs plateformes de messagerie, dont Signal et WhatsApp, ont déjà indiqué qu’elles refuseraient toute injonction visant à affaiblir la confidentialité de leurs systèmes de messagerie chiffrée
- En février, Signal a déclaré qu’il « partirait » du Royaume-Uni si l’affaiblissement de la confidentialité des apps de messagerie chiffrée devenait obligatoire
- Avec l’arrivée d’Apple dans le débat, certaines des apps chiffrées les plus utilisées s’opposent désormais aux dispositions concernées du projet de loi
Lettre ouverte et inquiétudes sur la confiance en matière de sécurité
- L’organisation de défense des libertés numériques Open Rights Group a adressé une lettre ouverte à la ministre de la Technologie Chloe Smith
- Plus de 80 organisations de la société civile britanniques et internationales, universitaires et experts cyber ont signé la lettre
- Elle avertit que le Royaume-Uni pourrait devenir la première démocratie libérale à exiger le scan systématique de messages privés, y compris des conversations protégées par le chiffrement de bout en bout
- Comme plus de 40 millions de citoyens britanniques et 2 milliards de personnes dans le monde utilisent ces services, cela pourrait représenter un risque majeur pour la sécurité des services de communication numérique, non seulement au Royaume-Uni mais aussi à l’international
- L’entreprise technologique britannique Element, qui fournit des produits E2EE aux gouvernements et aux clients militaires, craint que les mesures du projet de loi affaiblissant la confidentialité des messages chiffrés ne réduisent la confiance des clients envers les produits de sécurité des entreprises britanniques
- L’espoir grandit également de voir évoluer certaines parties du texte critiquées parce qu’elles pourraient servir à imposer une obligation de scan
- Ces changements pourraient figurer dans un paquet d’amendements qui doit être publié dans les prochains jours
- On ignore encore les détails et s’ils répondront aux préoccupations des organisations de campagne
1 commentaires
Avis sur Hacker News
Si on dit que, pour offrir un chiffrement de bout en bout, une plateforme doit aussi pouvoir empêcher d’horribles cas d’exploitation sexuelle d’enfants, c’est comme dire qu’il faudrait interdire les maisons avec des murs si les constructeurs ne peuvent pas garantir qu’aucun enfant n’y sera blessé
C’est une idée absurdement folle
Ce n’est pas une question binaire, et je sais que beaucoup de gens seront en désaccord avec ça
Avec les images IA manipulées, l’autocomplétion et les images qui déshabillent les gens, le CSAM va sans doute devenir encore plus étrange
Il existe même une jurisprudence disant qu’il est légal de posséder ou vendre du hentai représentant des mineurs au Japon : https://en.wikipedia.org/wiki/United_States_v._Handley
Que se passe-t-il si quelqu’un obtient des images d’enfants depuis un site comme https://thispersondoesnotexist.com/ et génère ensuite des images de nudité ou d’actes sexuels ? Selon cette logique, c’est presque la même chose, puisque ni l’enfant ni l’acte sexuel ne sont réels
Le problème plus large est : « comment distinguer une preuve de viol d’enfant d’une simple image générée par IA ? »
Je penche de plus en plus vers l’idée que « le CSAM devrait être considéré comme une preuve d’un crime, et non comme un crime en soi »
Cela dit, même si on supprimait la responsabilité stricte pour la possession de CSAM, je soutiens la peine de mort pour les personnes qui violent des enfants prépubères
Les pédophiles photographient et filment eux-mêmes leurs crimes avant de les partager sur Internet ; si des enquêteurs amateurs en ligne pouvaient examiner ce type de contenus comme les forces de l’ordre, beaucoup plus d’agresseurs d’enfants finiraient sans doute par être arrêtés
La diffusion devrait évidemment rester illégale, mais interdire la simple possession n’empêche pas les trafiquants d’êtres humains et élimine une main-d’œuvre d’enquête amateur qui pourrait beaucoup aider à résoudre le problème
Ces personnes ont déjà permis d’élucider de nombreuses affaires de meurtre non résolues depuis longtemps que la police n’avait pas su résoudre
Quand on y pense, c’est même un peu glaçant. Les preuves d’autres scènes de crime ne sont pas protégées de cette manière
Est-il illégal de posséder des photos ou vidéos de quelqu’un poignardé, abattu ou décapité ? Il y a sûrement aussi des gens qui en tirent une excitation sexuelle, et pourtant la diffusion de ce type de contenu suscite peu de réactions
On dirait presque que les puissants ne veulent pas vraiment que le grand public sache qui se cache derrière tout ça. On sait déjà que des personnes très riches et très puissantes sont souvent impliquées dans des réseaux de prostitution infantile
La génération d’images par IA rend cela à la fois plus dangereux et plus ridicule. On se dirige vers une époque où quelqu’un pourra créer en local, avec quelque chose comme Stable Diffusion, des images qui ressemblent à du CSAM sans impliquer d’enfants réels, puis les glisser dans vos possessions, à distance ou en déposant une carte SD quelque part chez vous, et cela pourra vous valoir des décennies de prison
Il vaut mieux espérer ne pas avoir d’ennemis
Depuis ces affaires, de nombreux États américains ont interdit les représentations générées par ordinateur de CSAM, si bien que les images générées par ordinateur ou les poupées sexuelles à l’apparence infantile ne sont pas autorisées dans une grande partie du pays
Je ne sais pas si le fait de donner accès à ce type de choses, qui n’implique aucun enfant réel, ferait que la majorité des personnes concernées passeraient davantage ou moins souvent à l’acte
Pour certaines, cela atténuerait peut-être les pulsions ; pour d’autres, cela les renforcerait probablement. Je ne suis pas psychologue
Apple n’avait-il pas recommandé il n’y a pas si longtemps le scan sur l’appareil pour ce type de photos ?
Tant mieux s’ils s’y opposent maintenant, mais comme ils ont eux-mêmes essayé de le mettre en place, il est difficile de savoir à quel point ils sont sincères
Le Royaume-Uni cherche à casser le chiffrement de bout en bout en mobilisant même des associations de protection de l’enfance afin d’ajouter un poids émotionnel et social à cet objectif
Le système était conçu pour ne fonctionner que sur les images téléversées vers iCloud, pas sur n’importe quelle image présente dans l’appareil
Les reçus utilisés pour le traitement étaient générés dans le cadre du processus de téléversement, et ni l’appareil ni le serveur, pris isolément, ne pouvaient en déduire d’informations utiles sans coopération mutuelle
C’était une approche intéressante montrant à quel point Apple avait réfléchi à maximiser la protection de la vie privée
Mais les gens n’ont pas lu les détails et ont imaginé un fonctionnement beaucoup plus simple, ce qui a étouffé toute discussion utile sur ce que le système faisait réellement
Il faut s’opposer à l’approche britannique, mais je ne me serais pas opposé à celle qu’Apple voulait mettre en œuvre
Quelle est au juste la vraie position d’Apple ?
Comme le dit le porte-parole du gouvernement dans l’article — « les entreprises ne devraient mettre en place le chiffrement de bout en bout que si elles peuvent en même temps empêcher d’horribles formes d’exploitation sexuelle d’enfants sur leurs plateformes » — Apple essayait précisément d’apporter cette deuxième réponse afin d’avoir des arguments pour demander aux gouvernements de ne pas réglementer le chiffrement de bout en bout
Les travailleurs de la tech devraient se syndiquer partout et s’opposer fermement à ce genre de politiques de merde
Nous sommes les experts, l’élite, nous savons ce qui est le mieux, et nous avons la responsabilité de montrer la voie ici
De la même manière que les médecins ne prélèvent pas des organes pour les vendre, et que les pharmaciens ne fabriquent pas de poison, les ingénieurs ne doivent pas créer de portes dérobées de chiffrement
Les médecins aussi touchent souvent des pots-de-vin de Big Pharma, et il y a des médecins assez cinglés pour recommander des opérations inutiles afin de financer leur nouvelle piscine
Un syndicat se bat contre les employeurs pour les salaires et les conditions de travail, tandis qu’un ordre professionnel représente la position réfléchie d’une profession et autorégule ses membres, comme chez les médecins ou les avocats plaidants
En revanche, si on peut expliquer clairement quel est le problème avec des mots compréhensibles par les non-spécialistes, tout le monde y gagne
Il ne faut pas recourir ici à un appel à l’autorité
Encore une politique internet britannique folle et inapplicable, qui ne sera probablement même pas mise en œuvre
Je ne comprends pas pourquoi ils continuent comme ça
Même en supposant qu’ils soient sincères, le Royaume-Uni est un petit pays qui n’a pas le pouvoir de faire pression sur les géants tech américains
Il n’a même pas le levier de l’Irlande, où se trouve la base fiscale européenne de ces entreprises
La NSA pourrait vouloir un meilleur moyen de surveiller les Américains qui utilisent Signal. Comment faire ? Il suffit de demander aux Britanniques de s’en charger
Même si une idée paraît absurde, il ne faut pas rester sans rien faire en se disant qu’elle est trop stupide pour devenir réalité
Il faut se battre pour qu’elle ne le devienne pas
Il faut se rappeler que l’UE comme les États-Unis poussent tous deux ce type de lois
Bientôt, cela sera élargi pour inclure la propagande terroriste, le trafic de drogue et même les appels à des manifestations illégales
Le Royaume-Uni est bizarrement favorable à la surveillance
Les caméras CCTV s’y sont aussi généralisées bien plus tôt que dans la plupart des autres pays
Orwell était britannique, donc ils semblent penser qu’ils maîtrisent bien le sujet
La société britannique est très différente de la société américaine à bien des égards, et l’histoire l’explique en partie
Comme dans beaucoup de sociétés féodales européennes, il existe une vieille attente selon laquelle le gouvernement doit prendre soin des citoyens
Il y avait des lois protégeant les paysans contre les propriétaires prédateurs, quel que soit le comportement individuel de ces derniers, et même si l’application n’était pas parfaite, ce cadre existait
Pendant longtemps aussi, les « gouvernements » locaux ou les communautés ont pris en charge les sans-abri
Le point essentiel, c’est qu’au Royaume-Uni il n’existe pas vraiment la même défiance envers l’État qu’aux États-Unis
Du coup, le gouvernement peut se voir confier d’immenses pouvoirs tout en bénéficiant de la confiance qu’il n’en abusera pas, en bien ou en mal, au moins contre ses propres citoyens
Pour ce qui est spécifiquement des CCTV, elles sont en pratique aujourd’hui surtout concentrées à Londres
Autrement dit, la majeure partie du Royaume-Uni est assez peu touchée par ce type de surveillance
Et de mémoire, la plupart des CCTV sont exploitées par le privé, pas par l’État, et les images sont supprimées en quelques semaines pour réduire les coûts
En réalité, ce n’est pas une situation à la Bourne Identity où la police regarde en direct une personne courir dans Londres
Il faut plutôt envoyer des demandes et des assignations à diverses entreprises pour récupérer les informations après coup
Qualifier les CCTV privées d’orwelliennes me semble une analogie un peu confuse
Dans 1984, la surveillance vidéo était opérée par un gouvernement totalitaire
Et publie sur internet les images de toute personne qui ose passer devant chez eux
Le parti actuellement au pouvoir au Royaume-Uni gouverne depuis 13 ans et il est totalement à court d’idées
Le principal parti d’opposition n’arrive guère à proposer autre chose que « comme eux, mais en mieux »
Les grands problèmes auxquels le Royaume-Uni fait face — dette, économie, logement, éducation, Brexit, effondrement démocratique — sont des sujets sur lesquels les gens ne veulent pas vraiment soutenir des mesures concrètes
Il ne reste donc aux partis que ce genre de politiques idiotes ou des sujets de division artificiels, comme présenter les personnes trans comme des pédophiles
Voilà pourquoi cette question revient sans cesse
Cela remonte déjà un peu, leur dernière période au pouvoir, mais Starmer est exactement le genre de personne à faire avancer cet agenda anti-vie privée et pro-surveillance que le Labour appréciait aussi beaucoup
Le Royaume-Uni semble doué pour s’infliger des dégâts à lui-même
D’abord le Brexit, maintenant l’Online Safety Bill
Le Brexit avait le soutien de la moitié de la population, mais ce projet de loi sur la sécurité ne semble pas avoir vraiment attiré l’attention du public, à moins que quelque chose m’ait échappé
Cela ressemble à un schéma où l’on applique une solution générale à un problème spécifique, alors que le rayon d’impact négatif de cette solution générale est, de façon asymétrique, bien plus vaste que le problème particulier qu’elle prétend traiter
Et au passage, je suis opposé à l’Online Safety Bill
Les deux sujets ne sont pas comparables
On ne peut pas faire confiance à Apple en matière de protection de la vie privée
Personne ne sait vraiment ce que fait son logiciel
Tout est closed source
Ce n’est pas parce qu’ils mettent en avant la vie privée dans leur publicité qu’ils protègent réellement celle des utilisateurs
Les agences fédérales et les forces de l’ordre se plaignent sans cesse de ne pas pouvoir accéder aux données des utilisateurs d’Apple
Il y a même eu des procès à ce sujet
Donc ça semble plutôt bien fonctionner
En outre, Apple fait largement sa publicité sur son engagement envers la vie privée, n’a jamais donné de signe de malhonnêteté, n’aurait rien à gagner à nous mentir, et si ce mensonge était découvert, cela causerait des dommages incommensurables à la marque
C’est comme dire qu’un FAI devrait être tenu responsable du piratage
Ce n’est plus le cas depuis le début des années 2000, à cause du statut de transporteur commun
La technologie finit toujours par trouver un moyen de rester séparée du contenu qu’elle transmet
Cinq minutes après la publication d’un article de recherche montrant qu’un meilleur concept de messagerie secrète est techniquement possible, on dirait que ces politiques d’affaiblissement du chiffrement vont être inscrites dans la loi