1 points par GN⁺ 2023-07-21 | 1 commentaires | Partager sur WhatsApp
  • Alors que l’Online Safety Bill britannique pourrait exiger une porte dérobée dans le chiffrement de bout en bout pour les services de messagerie, Apple a indiqué qu’il pourrait retirer iMessage et FaceTime du marché britannique
  • Le gouvernement britannique souhaite disposer d’un droit de scanner les messages chiffrés afin de détecter les contenus pédopornographiques et d’autres contenus illégaux, estimant que le cadre légal actuel ne suit pas les technologies de sécurité modernes
  • Apple, WhatsApp, Signal et d’autres s’y opposent, estimant que des exigences comme les portes dérobées, la notification préalable des fonctions de sécurité et l’obligation de désactiver des fonctions avant un recours affaiblissent la sécurité des utilisateurs
  • Apple affirme qu’il n’abaissera pas la sécurité de l’ensemble de ses utilisateurs à la demande d’un seul pays et pourrait, si nécessaire, désactiver iMessage et FaceTime pour ses clients britanniques
  • Le texte est actuellement dans une procédure de consultation de 8 semaines, et Apple a déjà renoncé par le passé à sa fonction d’analyse CSAM pour iCloud Photos après des réactions négatives de clients et d’organisations de défense des droits humains

Conflit entre l’Online Safety Bill britannique et le chiffrement

  • L’Online Safety Bill du Royaume-Uni est un projet de loi à l’étude qui pourrait imposer aux services de messagerie de fournir une porte dérobée dans le chiffrement de bout en bout
  • Le gouvernement veut le pouvoir de scanner les messages chiffrés de bout en bout
    • L’objectif est de détecter les contenus pédopornographiques et d’autres contenus illégaux
    • Selon lui, le droit existant le permet, mais il est devenu techniquement dépassé face aux protections des technologies modernes
  • Apple, WhatsApp, Signal et plusieurs autres services s’opposent à cette proposition

Les demandes refusées par Apple

  • Apple a soumis un avis d’opposition de 9 pages sur le projet de loi
  • Parmi les demandes contestées figurent :
    • une porte dérobée pour le chiffrement de bout en bout
    • l’obligation de signaler avant leur lancement les modifications des fonctions de sécurité des produits
    • l’obligation de désactiver des fonctions de sécurité avant même la fin de la procédure d’appel

Les options sur le marché britannique et les précédents

  • Apple affirme qu’il ne se conformera pas si les changements demandés par un pays affaiblissent la sécurité de l’ensemble de ses utilisateurs
    • À la place, l’entreprise indique qu’elle pourrait désactiver iMessage et FaceTime pour ses clients britanniques
  • Le projet de loi suit actuellement une période de consultation de 8 semaines, et Apple comme les autres opposants espèrent que le gouvernement modifiera le texte pour tenir compte des critiques
  • Apple avait déjà abandonné par le passé son projet de fonction d’analyse CSAM pour iCloud Photos après les critiques de clients et d’organisations de défense des droits humains
    • À l’époque, la solution d’Apple préservait davantage la vie privée que la proposition actuelle du gouvernement britannique

1 commentaires

 
GN⁺ 2023-07-21
Avis sur Hacker News
  • J’ai l’impression que nous sommes en train de perdre collectivement la bataille pour préserver la confidentialité des conversations.
    Peu de gens s’expriment contre les lois anti-chiffrement, et la majorité semble croire qu’il n’existe de toute façon pas de vie privée, et que le gouvernement peut lire les messages s’il le veut. Si les gens considèrent que la bataille est déjà perdue, voire acceptent que cela ait toujours été ainsi, elle est terminée avant même d’avoir commencé.
    Ils n’arrivent pas à relier vie privée et liberté ; la liberté est devenue tellement acquise qu’ils ne voient pas le risque de la perdre avant qu’une menace brutale et immédiate n’apparaisse. Les systèmes conçus pour protéger la liberté sont au contraire en train de se dérégler et d’éroder lentement les droits dont bénéficiaient les générations précédentes.
    La myopie des législateurs est également stupéfiante. Si le gouvernement possède toute la correspondance et que ce gouvernement tombe entre de mauvaises mains, quiconque n’est pas du côté du pouvoir est fini. Quelqu’un se vantera peut-être d’avoir « adopté une loi pour arrêter les méchants », mais le prix pourrait être la liberté collective.

    • Le simple fait qu’on autorise ce genre de choses est étrange. Ce n’est pas parce que le gouvernement ne peut pas surveiller les conversations secrètes en face à face qu’il peut nous obliger à porter sur nous un dispositif d’enregistrement gouvernemental, non ?
      Je ne comprends pas pourquoi les gens ne réagissent pas avec la même vigueur aux demandes visant à faire peser une contrainte sur le chiffrement.
    • Une grande partie du problème tient au fait que la nature des conversations a changé. Le courrier et le téléphone n’ont jamais été parfaitement privés à aucun moment, et l’idée même d’attendre une confidentialité totale dans ce type d’échanges est relativement récente.
      La différence, c’est que ces moyens de communication ne représentent plus une petite partie de l’ensemble des conversations, mais presque leur totalité, et que le coût pour briser la vie privée a énormément baissé par rapport à ce qu’auraient exigé la surveillance de millions de personnes dans les années 1950, en argent comme en efforts. Il n’est plus nécessaire d’avoir un État sécuritaire à l’est-allemande.
    • La principale raison de protéger la vie privée, c’est qu’on ne sait pas en quoi le gouvernement peut se transformer dans les années à venir. Cet argument de base en faveur du chiffrement est souvent évoqué à propos de pays déjà considérés comme non libres, mais c’est pendant la période du COVID que j’en ai vraiment compris la portée.
      Je ne m’attendais pas à ce que la société se dégrade à ce point sous l’effet de la peur, de la haine et de chasses aux sorcières alimentées par les médias. Depuis, j’en suis venu à considérer qu’un gouvernement peut faire n’importe quoi, et l’argument selon lequel il faut pouvoir chiffrer ses communications n’en est que plus fort.
    • Les États-Unis restent encore assez corrects, mais le Royaume-Uni et l’UE sont fortement opposés à la protection de la vie privée. Ils s’en sortent plutôt bien pour la vie privée des consommateurs, mais ne semblent pas croire qu’il doive exister une vie privée vis-à-vis du gouvernement.
    • Ce qui est insidieux dans ce débat, c’est l’argument selon lequel ces lois n’interfèrent pas avec le chiffrement. Personnellement, j’y vois une attitude malhonnête, mais les défenseurs du projet disent toujours que cela « ne casse pas le chiffrement » ou que « vie privée et sécurité sont compatibles, et cet amendement fournit les deux ».
      Dans ce plan, les messages sont transmis à un tiers pour analyse. Le message envoyé à ce tiers peut bien être chiffré, mais la vie privée est totalement violée.
      https://techcrunch.com/2022/07/06/uk-osb-csam-scanning/
  • Je me demande pourquoi les législateurs britanniques ne préparent pas une nouvelle réglementation imposant un dispositif de contournement pour les agents de l’État sur toutes les portes et tous les coffres-forts.
    Derrière chaque porte et dans chaque espace verrouillé peuvent se cacher des contenus pédopornographiques et des documents illégaux. Chaque maison et chaque coffre d’hôtel est suspect.
    Si la logique qui impose d’ajouter une backdoor aux discussions et conversations en ligne est celle-là, alors elle devrait s’appliquer de la même façon à toutes les portes d’entrée des logements et bâtiments, et à tous les espaces verrouillés. Cela revient à chercher un accès facile aux contenus sans l’aide ni même la connaissance des personnes concernées.

    • Pour me faire l’avocat du diable, personne ne partage massivement le contenu pédopornographique de son coffre-fort avec des milliers de voyeurs dans le monde entier.
      L’accessibilité universelle d’Internet et les formats de fichiers d’images numériques ont changé la donne pour ceux qui combattent ces crimes atroces. C’est bien un cas nouveau et particulier, différent d’un coffre verrouillé.
    • J’ai déjà entendu l’argument selon lequel, puisque la police peut enfoncer une porte lors d’une descente, elle devrait avoir le même pouvoir vis-à-vis de la technologie.
    • Il existe quelque chose qui s’appelle un mandat de perquisition.
    • Si l’on considère la possibilité d’inspecter des conversations privées de manière invisible et presque gratuite, l’analogie est plutôt : « installer une caméra accessible uniquement au gouvernement dans chaque maison ». Bien sûr, on promettra qu’elle sera éteinte la plupart du temps.
    • La raison pour laquelle on n’impose pas de dispositif de contournement gouvernemental sur toutes les clés de portes, c’est qu’on peut forcer presque toutes les portes physiquement. La police peut le faire avec un mandat, les forces spéciales peuvent le faire discrètement.
      Mais la plupart des systèmes de chiffrement ne peuvent pas être cassés par la force.
  • Le Royaume-Uni essaie sans cesse d’afficher son influence, pour finalement constater qu’il n’est pas si grand que cela. C’était déjà le cas avec l’affaire de la CMA autour de Xbox, et c’est pareil ici.
    Le Royaume-Uni n’est pas assez important pour qu’Apple et Microsoft procèdent à des changements majeurs afin de s’adapter à un marché relativement petit.

    • Le Royaume-Uni a appris puis oublié cette leçon à répétition, au moins depuis la crise de Suez, voire avant.
    • L’ancien empire britannique fait partie de son identité culturelle. Il faudra encore quelques générations pour se débarrasser des attentes liées au passé.
      L’époque où deux sujets de la Couronne pouvaient s’approprier à eux seuls le Kafiristan est révolue depuis longtemps.
    • À l’inverse, est-ce vraiment une si grosse perte pour le Royaume-Uni s’il manque quelques jeux sur son marché ? Aucun des deux camps n’est assez grand pour se passer de l’autre. Ce n’est pas un problème propre au Royaume-Uni.
  • N’est-ce pas ce même Apple qui laisse le PCC exploiter l’intégralité de l’App Store en Chine ?
    Il est facile de critiquer un gouvernement quand on sait qu’il n’y aura pas de représailles. Pour voir la vraie position d’une entreprise sur ce genre de sujet, il faut regarder comment elle agit lorsqu’il existe un risque réel de pertes financières.

    • Le Royaume-Uni et la Chine ne sont pas comparables. La Chine est actuellement le pays le plus peuplé du monde, tandis que le Royaume-Uni compte moins de 70 millions d’habitants.
      La Chine est un régime totalitaire, donc même une liberté imparfaite vaut mieux que pas de liberté du tout ; le Royaume-Uni, lui, est une démocratie qui devrait protéger le droit à la vie privée.
      Si Apple affaiblit le chiffrement pour le Royaume-Uni, cela affectera aussi les habitants d’autres pays. Au Royaume-Uni, iMessage n’est pas si populaire, et il est utilisé de manière disproportionnée pour les conversations transatlantiques par rapport à WhatsApp. Si Apple respecte cette loi, cela portera aussi atteinte à la vie privée des utilisateurs américains.
    • Ce raisonnement en noir et blanc est défaitiste.
      La Chine était déjà quasiment une cause perdue avant même l’iPhone et la messagerie. Le Royaume-Uni, en revanche, est un grand pays occidental.
      L’idée est d’éviter que les pays occidentaux ne deviennent comme la Chine. Le Royaume-Uni pourrait être le domino : s’il tombe, les autoritaires d’autres pays occidentaux pourraient chercher à l’imiter.
    • Au bout du compte, le choix est simple : respecter la loi locale, ou retirer des fonctionnalités et des appareils.
      Le calcul varie selon les pays, mais il n’y a pas d’hypocrisie ici.
      Le fait que le gouvernement chinois touche aux serveurs chinois affecte le marché chinois, et comme ce marché est très lucratif, l’incitation à rester est forte. En revanche, si le Royaume-Uni impose une backdoor dans FaceTime, c’est FaceTime dans le monde entier qui est compromis, et cela pourrait mettre Apple en danger dans d’autres juridictions où les lois sur la vie privée et la protection des données sont plus strictes. Ce n’est pas un risque à prendre pour un marché relativement petit.
      Si le même problème se posait dans l’UE ou aux États-Unis, ce serait bien plus grave et, malheureusement, c’est réaliste d’ici quelques années. Apple dit simplement qu’elle se conformera s’il y a une réglementation. Le gouvernement britannique fait souvent beaucoup de bruit de ce genre, puis recule discrètement quand il devient clair que ce n’est pas si simple.
      Une entreprise n’est pas un être conscient, elle n’a donc pas de « vraie position ». Une politique n’a de sens que lorsque des personnes la décident et la mettent en œuvre. Parler des entreprises comme d’idéologies est dangereux ; ces choses peuvent changer, et l’argent l’emporte souvent sur les bonnes intentions. Au final, ce qui compte, c’est à quel point les intérêts de l’entreprise et les nôtres coïncident. À long terme, la meilleure façon d’influencer une entreprise est de faire en sorte que ce comportement soit pertinent sur le plan commercial.
    • Il n’existe pas de vraie position d’une entreprise. Ce n’est qu’une fiction qui facilite la critique.
    • Vous pensez qu’il n’y a aucun risque de perte financière ? Apple a littéralement dit qu’elle retirerait des produits.
      Des fonctionnalités d’écosystème comme iMessage et FaceTime contribuent fortement à la rétention sur la plateforme. Si vous avez du mal à y croire par cynisme, demandez-vous pourquoi Apple continue de financer des équipes de développement et de maintenance pour iMessage et FaceTime. Ce n’est probablement pas par gentillesse.
  • Il y a eu une interview entre la CEO de Signal et un homme politique conservateur britannique[1]. C’était assez frustrant, car les deux camps débattaient en réalité de deux problèmes complètement différents.
    Meredith Whittaker, de Signal, essayait de parler correctement du problème consistant à casser le chiffrement et de ses répercussions, tandis que le politique semblait considérer que ce point était déjà réglé. Ils ne semblent pas vouloir casser le chiffrement ; ils veulent plutôt que l’application récupère les messages avant de les chiffrer et les envoie aux agences gouvernementales par un canal séparé.
    Ils veulent accéder aux messages à l’intérieur de l’appareil, et puisque l’application dispose déjà de cet accès, ils lui demandent de rechercher, indexer et filtrer ces informations, puis de les transmettre à la police. C’est triste que les politiques ne voient pas le problème. Soit ils ne le voient vraiment pas, soit ils ne le comprennent pas, soit ils comprennent parfaitement et c’est précisément l’objectif, mais ils ne peuvent pas expliquer pourquoi.
    [1] https://www.youtube.com/watch?v=E--bVV_eQR0

    • Franchement, Meredith Whittaker ne s’en est pas très bien sortie. Elle a bien défendu l’argument selon lequel on ne peut pas créer de backdoor sûre, mais après que le politicien conservateur a dit qu’il ne demanderait pas de backdoor dans les services de messagerie chiffrée, elle a en pratique refusé de répondre au reste du sujet.
      Le fait que Signal, WhatsApp et iMessage menacent de quitter le Royaume-Uni à cause de ce projet de loi semble indiquer que celui-ci est déraisonnable. Mais dans ce débat, Meredith Whittaker n’a pas réussi à le démontrer de manière convaincante.
    • Celui qui veut contrôler un réseau informatique doit choisir entre les tuyaux et les boîtes. Soit il casse les tuyaux pour intercepter le trafic entre des boîtes opaques, soit il laisse les tuyaux opaques et s’introduit dans les boîtes.
      Si l’on suppose que les boîtes sont opaques, alors lorsque Meredith Whittaker défend des tuyaux opaques, cela revient à renoncer complètement au contrôle du réseau. Les politiques détestent cela. Certains parce que, de bonne foi, ils se voient comme des protecteurs et des détecteurs de menaces ; d’autres parce qu’ils savent, de mauvaise foi, que cela revient à abandonner une part considérable de pouvoir. Les vrais dirigeants politiques se situent quelque part entre les deux.
      En pratique, on risque d’osciller entre la perte de contrôle sur les boîtes et sa reconquête, car il deviendra de plus en plus clair qu’il n’existe pas de backdoor autorisée seulement pour certaines personnes et pas pour les autres.
      À mon avis, la seule solution possible est de casser les tuyaux, c’est-à-dire de rendre illégal le fait même d’envoyer des messages chiffrés sur le réseau. Ainsi, les boîtes peuvent rester inviolables, opaques et sûres, mais on ne peut plus communiquer secrètement avec autrui. En pratique, cela entraînera une hausse du transport de données illégales et secrètes par « sneakernet », et la stéganographie progressera fortement. L’Internet tel que nous le connaissons, en particulier tout le commerce électronique, disparaîtra aussi, mais n’est-ce pas un faible prix à payer pour éliminer les CSAM ?
  • Le gouvernement peut déjà accéder aux conversations aujourd’hui. Il lui suffit d’obtenir une ordonnance d’un juge et de fouiller le téléphone. Si les messages n’ont pas été supprimés, le chiffrement de bout en bout n’aide pas.
    C’est comme frapper à la porte avec une ordonnance d’un juge. Mais le gouvernement ne veut pas avoir affaire à un juge. Ce qu’il veut, c’est un accès illimité 24 h/24. C’est la différence essentielle, et c’est pourquoi c’est mauvais pour tous les citoyens.

  • Le gouvernement conservateur actuel est en bout de course, sur le point d’être chassé pour au moins dix ans. Il semble déjà lorgner le secteur privé lucratif et vouloir abîmer le Royaume-Uni sans presque se soucier de la réaction du public.

    • Le Labour est encore plus favorable à cette question que les conservateurs. Les Libéraux-démocrates aussi. Parmi les grands partis britanniques, aucun n’accorde d’importance à la vie privée.
  • Au début, ils visaient les manifestations ; maintenant, ils veulent s’en prendre au chiffrement.
    Ils n’ont pas l’air d’apprécier la capacité des gens à partager des informations non officielles et à s’organiser eux-mêmes à grande échelle[0].
    Les gens partageaient aussi des stickers anti-propagande sur Telegram[1]. À 2:40, on voit un bus qui en est recouvert, et j’ai aussi vu une vidéo où une voiture de police entière en était couverte.
    [0]. https://onevsp.com/watch/gqymHfesRd5sWJj
    [1]. https://onevsp.com/watch/3skDbBtB8sGwboa

  • Ça me rappelle ce que Steve Gibson disait dans Security Now. Il proposait que tous les sites web ayant du trafic au Royaume-Uni affichent en haut de page une bannière rouge avec un message du genre : « Le gouvernement britannique surveille de force le trafic de ce site web ».
    On verrait alors à quelle vitesse le débat se retournerait.
    Les arguments des législateurs reposent sur un homme de paille. Je comprends l’urgence de vouloir protéger les enfants, mais ce genre de mesure n’empêchera pas les criminels d’utiliser des outils qui sont aujourd’hui légaux. Ils continueront à les utiliser. Les rendre « illégaux » ne les arrêtera pas, parce qu’ils resteront disponibles.

  • Il faudrait lancer un bêta-test dès aujourd’hui auprès de tous les députés.

    • Au Royaume-Uni, personne n’utilise iMessage. Pour FaceTime, je ne sais pas, mais ce n’est clairement pas un service dont qui que ce soit dépend.
      C’est une menace vide de sens.
    • Tout le monde utilise WhatsApp.