1 points par GN⁺ 2023-07-25 | 1 commentaires | Partager sur WhatsApp
  • Le Cooper Davis Act impose, au nom de la lutte contre le trafic de drogue en ligne, une obligation de signalement à la DEA pour les réseaux sociaux, les fournisseurs de communications chiffrées et les services en ligne, et passe à l’examen en séance plénière du Sénat
  • Lorsqu’une entreprise a une connaissance effective de la distribution illégale de drogues, elle doit fournir à la DEA des informations comme le nom d’utilisateur, tandis que la formulation « willfully blind » alimente la controverse sur l’étendue de la responsabilité des services chiffrés
  • Les organisations de défense de la vie privée craignent que ce texte fasse du maintien du chiffrement de bout en bout un facteur de risque en soi, et qu’affaiblir le chiffrement fragilise la sécurité et la confidentialité des utilisateurs
  • La DEA et les soutiens du texte invoquent l’utilisation par les cartels mexicains de Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire et Wickr, ainsi que plus de 1 100 affaires liées
  • Les opposants estiment que les propos liés à la vente de drogue exigent d’interpréter la langue, le contexte et l’argot, ce qui pourrait conduire les entreprises à transmettre des données privées aux forces de l’ordre sans mandat ni supervision

Les obligations de signalement du Cooper Davis Act face au chiffrement

  • Le Cooper Davis Act est un projet de loi bipartisan nommé d’après un adolescent du Kansas mort après avoir pris, sans le savoir, une pilule contenant du fentanyl achetée sur Snapchat
  • Le texte exige que les entreprises de réseaux sociaux et les fournisseurs de communications web transmettent à la DEA les noms d’utilisateur et d’autres informations lorsqu’ils ont actual knowledge d’une distribution illégale de drogues sur leur plateforme
  • Le cœur de la controverse tient à une formulation selon laquelle une entreprise pourrait être tenue responsable de ne pas avoir signalé une infraction si elle s’est montrée « willfully blind »
  • Greg Nojeim, du Center for Democracy and Technology, craint que les fournisseurs de services chiffrés se retrouvent face à deux options
    • S’ils maintiennent le chiffrement de bout en bout, ils doivent accepter le risque d’être accusés d’avoir délibérément fermé les yeux sur des contenus illégaux
    • S’ils suppriment le chiffrement de bout en bout, les utilisateurs existants sont exposés à de nouvelles menaces de sécurité et à des atteintes à leur vie privée
  • Cody Venzke, de l’ACLU, estime que cette disposition vise le chiffrement, et souligne que l’objectif des technologies de protection de la vie privée comme le chiffrement de bout en bout est de protéger les utilisateurs de la surveillance des plateformes
  • Meredith Whittaker, de la fondation Signal, critique cette logique selon laquelle même le fait de ne pas surveiller tout le monde en permanence pourrait relever de la « willful blindness »

Les arguments avancés par la DEA et les soutiens du texte

  • Les forces de l’ordre critiquent depuis longtemps le chiffrement de bout en bout, affirmant qu’il crée un « lawless space » susceptible d’être exploité par des criminels, des terroristes et des acteurs malveillants
  • Dans un communiqué publié en mai, la DEA a déclaré que deux cartels mexicains, responsables du trafic de la majorité du fentanyl et de la méthamphétamine entrant aux États-Unis, utilisaient des applications de réseaux sociaux pour coordonner la logistique et entrer en contact avec des victimes
    • Facebook, Instagram, TikTok et Snapchat ont été cités comme exemples
    • WhatsApp, Telegram, Signal, Wire et Wickr ont également été mentionnés comme plateformes chiffrées
    • Lors d’opérations récentes de la DEA, plus de 1 100 affaires visant des cartels de drogue mexicains impliquaient des applications de réseaux sociaux et des plateformes de communication chiffrée
  • Dick Durbin, président de la commission judiciaire du Sénat, a critiqué les entreprises qui, selon lui, opèrent en toute immunité tout en sachant que des substances sans usage légal sont vendues illégalement, évoquant un mécanisme similaire au système de signalement des contenus d’exploitation sexuelle d’enfants
  • L’équipe de la sénatrice Jeanne Shaheen a présenté les statistiques de la DEA comme justification de la nécessité du texte
    • Sur 390 enquêtes liées à des décès par overdose examinées par la DEA en cinq mois, 129 étaient directement liées aux réseaux sociaux
    • Le texte dit viser la création d’un système de signalement complet et standardisé permettant à la DEA de mieux identifier et démanteler les réseaux criminels internationaux

Inquiétudes sur la vie privée, la surveillance et l’impact sur les plateformes

  • Les défenseurs de la vie privée rétorquent que détecter des propos liés à la vente de drogue est bien plus difficile que d’identifier des images d’exploitation sexuelle d’enfants
    • Le sénateur Alex Padilla souligne que, contrairement aux images d’exploitation sexuelle d’enfants en ligne, la contexte est essentielle dans la langue lorsqu’il s’agit de surveillance à grande échelle
    • Il critique le texte, qui pourrait selon lui transformer de fait des entreprises technologiques non formées en forces de l’ordre
    • Il craint également que de simples croyances raisonnables puissent conduire à divulguer des données personnelles aux forces de l’ordre fédérales sans mandat ni supervision
  • Carl Szabo, de NetChoice, affirme que les sites de réseaux sociaux coopèrent déjà volontairement avec les forces de l’ordre pour lutter contre le trafic de drogue
    • Selon lui, si le texte entre en vigueur, tous les signalements seraient soumis aux procédures du Fourth Amendment, ce qui pourrait au contraire rendre plus difficile pour les forces de l’ordre l’identification des menaces

1 commentaires

 
GN⁺ 2023-07-25
Avis de Hacker News
  • Je pense qu’il nous faut une loi, en quelque sorte une loi pour empêcher d’aboyer au mauvais arbre, qui interdise aux organisations de consacrer des ressources à influencer les lois qui régulent leurs propres activités
    On peut soutenir que le secteur concerné connaît le mieux les problèmes et peut donc donner son avis dans le processus de décision, mais la limite devrait être de fournir des données opérationnelles brutes dont seules les informations sensibles devant être protégées par la loi auraient été retirées
    Au-delà, ce ne sont au final que des lobbyistes gouvernementaux qui défendent leurs propres intérêts

    • Tout a commencé à mal tourner dès que les élus ont criminalisé la possession de drogue
      Dans un système où les gens ordinaires deviennent suspects et où l’on accorde aux criminels un monopole sur un marché très lucratif, ce genre de chaos est inévitable
      Des gens comme Al Capone ont déjà montré il y a 100 ans les conséquences désastreuses de la prohibition, et pourtant on répète la même erreur avec d’autres substances
    • Si l’on “interdit aux organisations d’influencer les lois qui régulent leurs propres activités”, cela veut-il dire que la FTC ne peut pas donner son avis sur des projets de loi sur la concurrence, ni le DoD sur des projets de loi militaires ?
    • La mafia de Wall Street, qui prétend s’“autoréguler”, semble avoir quelque chose à dire là-dessus
    • Qui fait du lobbying pour cette position ? L’ACLU ?
      L’application Mobile Justice de l’ACLU devrait être installée sur tous les téléphones, au cas où
  • On dirait qu’un nouveau projet de loi sort tous les jours en Australia, au UK et aux US
    Vont-ils continuer à pousser jusqu’à ce que quelque chose finisse par passer ?

    • Oui, tant qu’un amendement constitutionnel garantissant le droit des individus à communiquer via des canaux chiffrés n’est pas adopté, et cela n’arrivera pas
      À chaque fois qu’un de ces textes est présenté, nous devons gagner à chaque fois ; eux n’ont besoin de gagner qu’une seule fois
    • Exact. La mémoire de travail à court terme du public est très limitée
      La pression de l’opinion et les campagnes publicitaires contre ce type de loi doivent se poursuivre sans relâche
      Il suffit qu’un domino tombe pour que cela devienne : “si c’est acceptable là-bas, c’est acceptable chez nous aussi”
    • Ce n’est pas seulement le UK, c’est aussi le cas de l’Europe. Il ne faut pas se laisser tromper par l’écran de fumée selon lequel l’UE serait un paradis de la vie privée
      Le fait que l’UE ne soit pas les US ne signifie pas qu’elle ne commette pas les mêmes actes autoritaires, ou des actes similaires, soutenus par des sources de financement comparables ou identiques
      Ils invoquent les mêmes prétextes — “il faut attraper les grands criminels / pensez aux enfants”, “cela ne servira que contre les criminels” — mais ce n’est pas vrai
      Nous savons que ce type de loi est aussi utilisé contre des personnes considérées comme hostiles au gouvernement, ainsi que contre des personnes qui font du journalisme, avec ou sans diplôme
    • Malheureusement, il semble qu’un jour la configuration de l’exécutif et du Congrès finira par s’aligner, et qu’ils y parviendront
      Ils détestent vraiment ne pas pouvoir nous surveiller 24 h/24
    • Cette méthode fonctionne très bien dans le lobbying visant à réduire et limiter les droits des consommateurs en matière de droit d’auteur
  • Ce projet de loi est un cadeau pour Russia et China
    Ils pourront désormais lire les communications de n’importe qui ; croit-on vraiment qu’ils cesseront de chiffrer les leurs ?

    • C’est une très bonne manière d’expliquer à un politicien obtus pourquoi il ne faut pas interdire le chiffrement
    • Je crains même que cette explication soit utilisée pour justifier des backdoors destinées à lire les communications de nos “ennemis”
  • Le lien vers le texte réel du projet de loi est [1]. La crainte vient du fait qu’une formulation ambiguë pourrait pousser les entreprises de réseaux sociaux à abandonner le chiffrement de bout en bout
    Je ne suis pas juriste, mais le projet de loi proposé indique explicitement qu’il ne doit pas être interprété comme obligeant un fournisseur à surveiller les utilisateurs ou le contenu des communications, ni à rechercher, filtrer ou scanner activement les faits et circonstances pertinents
    L’objectif semble être de faire en sorte que, lorsque des personnes signalent à un site web des cas précis d’activités illégales, le site ne puisse pas ignorer ces signalements
    [1] https://www.congress.gov/bill/118th-congress/senate-bill/108...

    • Bien sûr, il n’y a pas d’“obligation de surveiller”, mais il y a en même temps une obligation de ne pas pratiquer l’aveuglement volontaire
      En combinant les deux, cela signifie qu’il faut conserver la capacité de surveiller les utilisateurs sur demande, autrement dit que ce chiffrement effrayant n’est pas acceptable
      Une fois cette capacité en place, l’étape suivante est, de fait, la mise en place de fonctions de KYC et de SAR
    • Fait intéressant, le texte du projet de loi que vous avez lié ne contient pas la disposition sur l’aveuglement volontaire face aux abus
      Le quatrième point de ce tweet est la partie qui inquiète les gens : https://twitter.com/JakeLaperruque/status/167888722551627776...
      Je ne sais pas si le projet de loi a déjà été modifié, ou si le quatrième point problématique a été ajouté plus tard
  • Auteur : Sen. Marshall, Roger [R-KS]
    Cosignataires : Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
    Il faut appeler votre sénateur et lui dire que vous ne soutenez pas ce projet de loi. Cela peut sembler approximatif et inefficace, mais les équipes des sénateurs consignent réellement ce genre de choses

    • Surprenant. Je m’attendais à n’y voir que des élus républicains purs et durs
  • Qu’est-il advenu du droit d’être protégé dans sa personne et ses biens sans mandat approuvé par un juge ?
    La Déclaration des droits américaine était très controversée à l’époque, et ses partisans étaient si déterminés qu’elle a fini par devenir les dix premiers amendements de la Constitution
    S’ils avaient tenu bon jusqu’au bout, ils auraient peut-être pu la faire intégrer au corps même de la Constitution, ou laisser les choses dans l’état initial des Articles de la Confédération, mais ils ont accepté un compromis
    Même si la Déclaration des droits avait figuré dans le texte de la Constitution plutôt que dans des amendements, j’ai l’impression qu’elle aurait été abandonnée tout aussi facilement qu’aujourd’hui
    Mais pour quoi, au juste ? Pour que la DEA et la CIA continuent de fonctionner avec des privilèges dignes de l’East India Company ?
    Je ne vois pas en quoi ce projet de loi, ni la guerre contre la drogue, aident l’Américain moyen. Je ne crois absolument pas qu’ils lui apportent le moindre bénéfice
    Au contraire, je pense qu’ils risquent surtout de donner aux agences administratives un accès privilégié aux marchés et aux informations liés aux biens criminels graves, au profit de ces agences plutôt que des citoyens

    • Il ne faut pas oublier non plus que le CBP dispose, dans les faits, d’un pouvoir de fouille de véhicules illimité dans un rayon de 100 miles autour des frontières fédérales
      Les deux tiers de la population américaine vivent dans cette zone
      https://www.aclu.org/know-your-rights/border-zone
      Imaginez que vous montiez dans le métro à NYC pour aller travailler depuis chez vous dans le Bronx, que le CBP vous arrête et vous fouille, saisisse votre téléphone et votre ordinateur portable, exige vos mots de passe de réseaux sociaux et vous menace de détention si vous n’obtempérez pas : https://www.theatlantic.com/technology/archive/2017/02/give-...
      https://www.wired.com/2017/02/guide-getting-past-customs-dig...
      Le fait que l’on conseille à des citoyens américains de prévenir leur famille, leurs amis et leur avocat de leurs déplacements au cas où ils seraient détenus en franchissant la frontière est complètement aberrant
      Ce pays continue de glisser vers le fascisme
    • Le point qu’ils mettent toujours en avant, c’est qu’un chiffrement correctement implémenté et des appareils correctement chiffrés sont pratiquement impossibles à casser, ce qui neutralise la seconde moitié de la phrase selon laquelle un mandat approuvé par un juge peut annuler ces droits et protections
      Je pense que c’est l’un des facteurs qui poussent à l’adoption des passkeys. Les passkeys donnent l’impression de ne demander qu’une authentification biométrique, mais fournir son empreinte digitale ou son visage n’est pas protégé, seules les paroles ou les dépositions le sont, ce qui affaiblit l’ensemble de la protection
      Cela élimine la menace illégale qu’est le phishing, mais rend facile la menace légale du contournement du chiffrement, aussi solide que soit celui-ci
    • L’argument est que les communications ne sont ni le corps ni des biens, et qu’un mandat n’est donc pas nécessaire au regard de la Constitution
  • Pourquoi la DEA ne fait-elle pas pression sur le Senate pour sanctionner China à cause des précurseurs du fentanyl ?
    https://www.brookings.edu/articles/chinas-role-in-the-fentan...

    • Parce qu’ils savent que tant qu’il y aura de la demande, la répression côté offre n’a aucune chance
  • Tout d’abord, s’attaquer au chiffrement de bout en bout est une erreur
    Mais j’en ai de plus en plus assez de l’exonération de responsabilité dont bénéficient les Big Tech pour ce qui n’est pas chiffré
    Ce régime a été créé pour permettre aux premières plateformes de réseaux sociaux de survivre, mais aujourd’hui ce ne sont plus des startups lancées dans un garage : ce sont parmi les entités les plus riches de la planète
    Elles ont les moyens de gérer leurs plateformes, mais elles ne le feront pas de bonne foi tant que cela n’affectera pas leurs revenus ou qu’elles ne craindront pas des poursuites en vertu de la loi

    • On voit déjà ce qui se passe quand l’État délègue l’application de la loi aux entreprises avec les réglementations de lutte contre le blanchiment d’argent et le financement du terrorisme
      On applique aux établissements financiers une logique du type : « les banques peuvent surveiller leurs clients, mais elles ne le feront pas de bonne foi sauf si leurs revenus sont en jeu ou si elles craignent des poursuites »
      Résultat : si une personne ou une transaction semble avoir le moindre lien avec une entité sanctionnée, elle est bloquée de manière arbitraire
      Si une transaction d’Al-Qaeda passe et que la presse l’apprend, il y a des amendes et des remontrances des régulateurs et du Congrès ; à l’inverse, si une personne innocente est bloquée, on entend quelques plaintes et l’activité continue
      Je pense que la même dynamique apparaîtra chez les entreprises de réseaux sociaux. Tout ce qui pourrait être jugé un tant soit peu offensant sera retiré
      Il suffit d’imaginer une version encore pire des vagues de démonétisation sur YouTube
      [1] Ex. : https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
    • Donc, au lieu qu’un gouvernement démocratiquement élu adopte des lois et nomme des agents chargés de les faire appliquer, ce sont des entreprises privées qui vont « patrouiller » mes interactions en ligne ?
    • Avant la section 230, les fournisseurs pouvaient être protégés de la responsabilité grâce au statut de transporteur commun, mais ils ne pouvaient pas retirer du contenu tout en bénéficiant de cette protection
      Pour les services en tête-à-tête, une approche très peu interventionniste se justifie. En général, les contenus médiocres n’ont pas besoin d’être retirés : les déchets qui entrent ressortent comme des déchets, et les gens peuvent les ignorer ou les filtrer localement
      Mais les forums publics en ligne ont besoin d’un certain niveau de modération, et c’est généralement souhaitable. Sinon, quelqu’un peut les inonder de déchets au point de les rendre inutilisables pour tout le monde
      La section 230 ne donne pas seulement une immunité pour les contenus qui ont échappé à la modération ; elle permet aussi de modérer sans être responsable des préjudices causés par une modération de bonne foi qui serait allée trop loin
      La majeure partie des contenus répréhensibles publiés sur les plateformes ne sont ni illégaux ni délictueux. Les contenus offensants, insultants, dénigrants et trompeurs sont eux aussi le plus souvent légaux et ne créent pas vraiment de responsabilité importante
      Mais sans une protection large comme la section 230, les gens peuvent intenter des procès pour des broutilles, et si vous n’êtes pas une entreprise valant des milliards de dollars, vous pouvez faire faillite avant même de finir par gagner
      Un monde sans forte protection contre la responsabilité est un monde où l’on ne peut pas agacer ou offenser en sécurité quelqu’un qui a beaucoup plus d’argent et de pouvoir
      Les plateformes comme Facebook, Google et Twitter sont déjà, du fait de leur taille et de leur richesse, pratiquement immunisées contre les poursuites civiles. Il suffit de voir le peu d’effet qu’ont eu les procès liés aux atteintes à la vie privée ou au blocage sans préavis de données utilisateur ayant causé de gros dommages
      L’entente salariale entre Apple et Google a elle aussi fini par être reconnue coupable, mais le coût a été inférieur à l’argent économisé sur les salaires
      Les mauvaises politiques apparaissent parce que leur taille, leur richesse et leur pouvoir les rendent aussi largement immunisées à l’opinion publique
      Si la mauvaise gouvernance des sites de réseaux sociaux nuit au public, il vaut mieux avoir davantage d’alternatives
      Facebook, Twitter et les autres survivront même dans un monde sans la section 230, mais les petites alternatives mieux gérées, que les gens pourraient souhaiter, auront beaucoup plus de mal à survivre
      Ce qu’on voit dans ce type de loi, c’est la volonté du gouvernement d’utiliser les entreprises comme mandataires pour mener des enquêtes et appliquer la loi
      L’une des motivations est que cela permet d’affaiblir fortement la procédure régulière. La Constitution a prévu des garde-fous contre les fouilles menées par l’État, mais comme nous avons « volontairement » transmis nos données aux entreprises, nous avons moins de protections face à elles
      Ainsi, si le gouvernement force les entreprises à effectuer des recherches, il peut largement contourner les droits garantis par le Quatrième amendement
  • YouTube doit-il signaler un reportage [1] affirmant qu’un policier a fait une overdose de fentanyl après y avoir été exposé au travail, comme un fait ou un indice relatif au trafic illégal de fentanyl ?
    Combien de morceaux de rap et de paroles deviendraient signalables au seul motif qu’ils contiennent des paroles suggérant une possible consommation réelle de drogues ?
    Faut-il aussi signaler tous les articles de presse et discussions sur les réseaux sociaux du type « {celebrity_name} dies from drug overdose » ?
    Le brevet USPTO US3141823A[2], qui décrit une méthode de synthèse du fentanyl, doit-il être signalé lui aussi ? Après tout, l’utilisateur d’un réseau social qui le met en lien pourrait être impliqué dans la fabrication illégale de fentanyl
    Faut-il signaler l’article des National Institutes of Health intitulé « An Efficient, Optimized Synthesis of Fentanyl and Related Analogs »[3] ? L’utilisateur qui le met en lien pourrait, là encore, être impliqué dans une fabrication illégale
    Si la proposition de loi interdit de notifier une demande de conservation pendant au moins 5 jours, la plateforme doit-elle supprimer le contenu qui viole ses conditions d’utilisation, ou le laisser en ligne pour ne pas avertir l’utilisateur ?
    Si la plateforme ne peut pas supprimer le contenu problématique, que se passe-t-il lorsque ce contenu est publié avec du contenu violant le droit d’auteur, du contenu pornographique, ou d’autres contenus qu’elle retire normalement immédiatement ?
    [1] https://www.youtube.com/watch?v=Jd76HxqCPf0
    [2] https://patents.google.com/patent/US3141823A/en
    [3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/

    • L’idée qu’« un policier fasse une overdose après avoir touché du fentanyl sur une scène de crime » n’est pas médicalement possible
      En réalité, il s’agit de cas où la personne pense avoir touché du fentanyl et fait une crise de panique par peur de faire une overdose
      Quand elle est transportée à l’hôpital et testée, on ne trouve aucune trace de fentanyl dans son sang, mais les médias et la police passent cette partie sous silence et en font tout un sujet, parce que c’est embarrassant
      La seule façon pour un policier d’être exposé au fentanyl n’est pas de le toucher, mais de l’ingérer
  • À quel point serait-il difficile de créer quelque chose comme une appli auxiliaire qui chiffre avec GPG avant d’envoyer un message ?
    Il suffirait de saisir le contenu dans une zone de texte, de le chiffrer, de le copier dans le presse-papiers puis de le coller dans l’appli de messagerie. Côté réception, on ferait l’inverse.
    Il devient de plus en plus évident que, si l’on veut empêcher les gouvernements et les entreprises tech de lire nos messages, il faut se débrouiller soi-même.

    • GPG n’offre pas de confidentialité persistante parfaite, donc ce n’est peut-être pas le meilleur choix pour la messagerie instantanée.
      Cela signifie que si quelqu’un obtient la clé, il peut lire tout ce qui a été chiffré avec cette clé, dans le passé comme actuellement.
      La confidentialité persistante parfaite exige que les deux extrémités communiquent ensemble ; elle ne convenait donc pas à la logique « envoyer et oublier » de l’e-mail, mais elle est clairement nécessaire pour la messagerie instantanée.
    • Si je me souviens bien, des clients comme Pidgin avaient un plugin OTR qui assurait le chiffrement de bout en bout sur des canaux arbitraires. C’est possible.
    • https://news.ycombinator.com/item?id=36091710
      La partie délicate, c’est de copier automatiquement depuis l’extérieur de l’appli et de coller automatiquement dans l’appli, dans un contexte où les créateurs de l’appli de messagerie peuvent être activement hostiles à cette pratique.
      Mailvelope[1] est un exemple de mise en œuvre de cette approche dans le webmail.
      Si l’on accepte les manipulations manuelles, PGP peut déjà être utilisé avec n’importe quoi.
      [1] https://mailvelope.com/
    • Il suffit d’abandonner la messagerie commerciale « gratuite », de déployer sa propre instance Matrix, puis de créer des comptes pour les amis et la famille qui ne savent pas le faire.
    • Briar, Matrix et Mumble ont tous leurs défauts, mais ce sont de bonnes options.
      Si Briar arrivait sur iOS avec toutes ses fonctionnalités et une interface un peu rafraîchie, comme si elle avait été conçue après Android 7, ce serait énorme.