L'UE déclare la guerre au chiffrement de bout en bout au nom de la protection des enfants
L'UE déclare la guerre au chiffrement de bout en bout et exige l'accès aux messages privés sur n'importe quelle plateforme
au nom de la protection des enfants
Une proposition de la Commission européenne pourrait obliger les entreprises technologiques à analyser les messages privés à la recherche de matériel d'abus sexuel d'enfants (CSAM) et de preuves de pédopiégeage, même lorsque ces messages sont censés être protégés par un cryptage de bout en bout. La sollicitation d’enfants à des fins sexuelles, ou pédopiégeage, est « une pratique où un adulte se "lie d’amitié" avec un enfant (de manière générale en ligne, mais le pédopiégeage hors ligne existe également) dans le but de commettre des abus sexuels à son encontre ». L'adulte cherche à se rapprocher d'un enfant et à instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l'intention de perpétrer des abus sexuels.
Les services en ligne qui reçoivent des « ordres de détection » en vertu de la législation en cours de l'Union européenne auraient « des obligations concernant la détection, le signalement, la suppression et le blocage du matériel d'abus sexuel d'enfants connus et nouveaux, ainsi que la sollicitation d'enfants, quelle que soit la technologie utilisée dans les échanges en ligne », indique la proposition. Le plan appelle le chiffrement de bout en bout un outil de sécurité important, mais ordonne essentiellement aux entreprises de casser ce chiffrement de bout en bout par tous les moyens technologiques nécessaires :
« Afin de garantir l'efficacité de ces mesures, de permettre des solutions sur mesure, de rester technologiquement neutres et d'éviter le contournement des obligations de détection, ces mesures devraient être prises quelles que soient les technologies utilisées par les prestataires concernés dans le cadre de la fourniture de leurs services. Par conséquent, le présent règlement laisse au fournisseur concerné le choix des technologies à exploiter pour se conformer efficacement aux ordres de détection et ne devrait pas être compris comme incitant ou décourageant l'utilisation d'une technologie donnée, à condition que les technologies et les mesures d'accompagnement répondent aux exigences de présent règlement.
« Cela inclut l'utilisation de la technologie de cryptage de bout en bout, qui est un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris celles des enfants. Lors de l'exécution de l'ordre de détection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s'assurer que les technologies qu'ils emploient ne peuvent pas être utilisées par eux ou leurs employés à des fins autres que le respect du présent règlement, ni par des tiers, et pour éviter ainsi de porter atteinte à la sécurité et la confidentialité des communications des utilisateurs ».
Un document de questions-réponses décrivant la proposition souligne l'importance de scanner les messages chiffrés de bout en bout : « Le NCMEC [National Center for Missing and Exploited Children] estime que plus de la moitié de ses rapports CyberTipline disparaîtront avec le chiffrement de bout en bout, laissant les abus non détectés, à moins que les fournisseurs ne prennent des mesures pour protéger les enfants et leur vie privée également sur les services chiffrés de bout en bout ».
Pourquoi de nouvelles règles seraient-elles nécessaires selon l'UE ?
Bruxelles explique :
« Internet s'est avéré être un excellent connecteur, y compris pour les enfants et surtout tout au long de la pandémie. Cependant, les enfants peuvent également être exposés à des risques en ligne, y compris lorsqu'il s'agit d'abus sexuels sur des enfants. Les dernières années ont vu une augmentation écrasante des abus sexuels en ligne, à la fois dans le partage de matériel d'abus sexuel d'enfants en ligne et dans la sollicitation d'enfants pour qu'ils s'abusent sexuellement ou même rencontrent des auteurs hors ligne. Selon l'analyse d'Europol, au cours des premiers mois de la crise du COVID-19, la demande de matériel pédopornographique a augmenté jusqu'à 25 % dans certains États membres. Le National Center for Missing and Exploited Children (NCMEC) des États-Unis a également constaté que les signalements contenant des cas d'abus sexuels d'enfants dans le monde avaient considérablement augmenté, le NCMEC ayant reçu près de 30 millions de signalements de suspicion d'exploitation sexuelle d'enfants en 2021, et les forces de l'ordre ayant été alertées de plus de 4000 nouveaux enfants victimes. Les signalements d'enfants soumis à des comportements de toilettage ont augmenté de plus de 16 % entre 2020 et 2021. La circulation d'images ou de vidéos illustrant des abus parmi les agresseurs revictimise les enfants et les empêche de trouver la solution.
« Actuellement, certains fournisseurs de services en ligne détectent volontairement les abus sexuels d'enfants en ligne. Les prestataires de services américains fournissent en fait la majorité des signalements qui parviennent aux forces de l'ordre, le NCMEC transmettant les signalements liés à l'UE à Europol et aux forces de l'ordre nationales.
« Bien que les mesures prises par les prestataires apportent une contribution importante, elles varient considérablement, la grande majorité des signalements provenant d'une poignée de prestataires, tandis qu'un nombre important ne prennent aucune mesure. Jusqu'à 95 % de tous les signalements d'abus sexuels sur des enfants reçus en 2020 provenaient d'une seule entreprise, malgré des preuves évidentes que le problème n'existe pas que sur une seule plateforme.
« L'action volontaire est donc insuffisante pour lutter efficacement contre l'utilisation abusive des services en ligne à des fins d'abus sexuels sur des enfants. Un cadre juridique clair et contraignant est nécessaire, avec des garanties claires, pour donner aux prestataires une sécurité juridique et garantir le plein respect des droits fondamentaux.
« Obliger les prestataires de services, le cas échéant, à détecter, signaler et supprimer les abus sexuels sur enfants aidera à sauver les enfants de nouveaux abus, à empêcher la réapparition de matériel et à identifier et poursuivre les contrevenants ».
« Faites l'impossible, décidez simplement vous-même comment y parvenir »
« Il semble vraiment que la Commission européenne veuille annuler le chiffrement », a déclaré un article de Bits of Freedom, une fondation néerlandaise des droits numériques. La proposition « obligera les entreprises à surveiller ce que les gens partagent entre eux via des applications de chat comme WhatsApp et des plateformes comme Instagram », a écrit Rejo Zenger, conseiller politique de Bits of Freedom. « Si cela est jugé nécessaire, les plateformes seront contraintes de supprimer des informations ou de les signaler aux autorités. Les fournisseurs d'accès à Internet peuvent également être sommés de surveiller le trafic Internet de leurs clients. Mais la Commission omet, assez astucieusement, selon l'endroit où vous vous situez, comment ils doivent le faire. En fait, [le] message pour les entreprises est : "Faites l'impossible, décidez simplement vous-même comment y parvenir" ».
Une annonce de la Commission européenne a estimé que le problème concernant les abus sexuels sur les enfants est devenu incontrôlable et que le système « volontaire » actuel n'est pas suffisant :
« Avec 85 millions de photos et de vidéos représentant des abus sexuels commis sur des enfants signalés à l'échelle mondiale pour la seule année 2021, sachant que bien d'autres ne le sont pas, les infractions sexuelles contre les enfants sont très répandues. La pandémie de COVID-19 a exacerbé le problème ; la fondation Internet Watch a ainsi constaté une augmentation de 64 % des signalements d'abus sexuels confirmés sur des enfants en 2021 par rapport à l'année précédente. Le système actuel, qui repose sur la détection et le signalement volontaires par les entreprises, s'est révélé insuffisant pour protéger correctement les enfants et, en tout état de cause, il ne sera plus disponible, dès que la solution provisoire actuellement en vigueur aura cessé de s'appliquer. Jusqu'à 95 % de l'ensemble des signalements d'abus sexuels concernant des enfants qui ont été reçus en 2020 provenaient d'une seule entreprise, même s'il est clairement prouvé que le problème n'est pas propre à une seule plateforme.
« Des règles claires, assorties de conditions et de garanties solides, sont indispensables pour lutter efficacement contre l'utilisation abusive des services en ligne à des fins de commission d'abus sexuels sur des enfants. Les règles proposées obligeront les fournisseurs de certains services à détecter, signaler et retirer les matériels relatifs aux abus sexuels commis sur des enfants dans le cadre de leurs services. Ces fournisseurs devront évaluer et atténuer le risque que leurs services fassent l'objet d'une utilisation abusive, et les mesures qu'ils auront prises devront être proportionnées à ce risque et soumises à des conditions et garanties solides ».
Les ordonnances de détection de la proposition seraient « émises par des tribunaux ou des autorités nationales indépendantes », selon le communiqué. Une ordonnance de détection serait « limitée dans le temps, ciblant un type de contenu spécifique sur un service spécifique » et demanderait à l'entreprise recevant l'ordre de rechercher « du matériel relatif à des abus sexuels sur des enfants ou aux fins de sollicitation d'enfants, appelée pédopiégeage ».
D'autres parties de la proposition « exigent que les magasins d'applications veillent à ce que les enfants ne puissent pas télécharger des applications susceptibles de les exposer à un risque élevé de sollicitation d'enfants ». En outre, « les fournisseurs qui ont détecté des abus sexuels sur des enfants en ligne devront le signaler au Centre de l'UE » et « les autorités nationales peuvent émettre des ordonnances de suppression si le matériel pédopornographique n'est pas rapidement retiré. Les fournisseurs d'accès à Internet seront également tenus de désactiver l'accès aux images et aux vidéos qui ne peuvent pas être retirées, par exemple parce qu'elles sont hébergées en dehors de l'UE dans des juridictions non coopératives ».
« Guerre contre le chiffrement de bout en bout »
L'analyse du contenu des messages privés ne devrait pas être possible avec un chiffrement véritablement de bout en bout. Comme l'explique Proton Mail, « L'E2EE [le chiffrement de bout en bout] élimine cette possibilité, car le fournisseur de services ne possède pas réellement la clef de décryptage. Pour cette raison, l'E2EE est beaucoup plus puissant que le chiffrement standard ».
La proposition européenne a été critiquée par des experts en sécurité, dont Alec Muffett, un chercheur en sécurité réseau qui, entre autres, a dirigé l'équipe qui a ajouté le chiffrement de bout en bout à Facebook Messenger. « Au cas où vous l'auriez manqué, aujourd'hui est le jour où l'Union européenne déclare la guerre au chiffrement de bout en bout et exige l'accès aux messages privés de chaque personne sur n'importe quelle plateforme au nom de la protection des enfants », a écrit Muffett.
En 2018, Facebook a expliqué que « le chiffrement de bout en bout est utilisé dans toutes les conversations WhatsApp et peut être activé dans Messenger. Les messages cryptés de bout en bout sont sécurisés avec un verrou, et seuls l'expéditeur et le destinataire ont la clef spéciale nécessaire pour les déverrouiller et les lire. Pour une protection accrue, chaque message que vous envoyez possède son propre verrou et sa propre clef. Personne ne peut intercepter les communications ».
La méthode « la moins intrusive pour la vie privée »
L'annonce de la Commission européenne indique que les entreprises seront chargées de mettre en œuvre les ordonnances de détection proposées de la manière « la moins intrusive pour la vie privée ». « Les entreprises ayant reçu une ordonnance de détection ne pourront détecter le contenu qu'à l'aide d'indicateurs d'abus sexuels sur des enfants vérifiés et fournis par le Centre de l'UE », peut-on lire sur le communiqué. « Les technologies de détection ne doivent être utilisées que dans le but de détecter les abus sexuels sur les enfants. Les prestataires devront déployer les technologies les moins intrusives pour la vie privée conformément à l'état de l'art de l'industrie, et qui limitent le taux d'erreur de faux positifs dans la mesure du possible ».
Cependant, Bits of Freedom a écrit qu'il est « tout simplement impossible de filtrer la connexion Internet de quelqu'un comme le souhaite la Commission européenne ». Le groupe a expliqué plus en détail avec un exemple impliquant WhatsApp :
« Pour donner un exemple : sur la base de cette proposition, une plateforme de messagerie instantanée peut être chargée de détecter le matériel d'exploitation sexuelle d'enfants. Cela pourrait être du matériel connu, ou du "nouveau" matériel, ou du pédopiégeage, donc du texte. Supposons, pour les besoins de l'argument, que l'ordre est donné à Meta en ce qui concerne WhatsApp. Une plateforme qui, comme vous le savez, est protégée par un chiffrement de bout en bout. Ce type de chiffrement signifie que Meta peut voir qui communique avec qui, mais est incapable de lire le contenu de cette communication. Mais comment Meta est-il censé détecter quelque chose dans une conversation à laquelle il n'est pas censé pouvoir accéder ? Pour des raisons de commodité, la Commission laisse cette décision ("comment le faire") à la plateforme. Notre hypothèse est que la seule façon de le faire est d'installer une sorte de logiciel espion (désormais mandaté par le gouvernement !) sur les téléphones des personnes utilisant un service particulier. Après tout, c'est le seul endroit où le contenu des chats est lisible ».
Analyse d'autres chercheurs
Les chercheurs de l'université de Cambridge y ont vu un but manifeste et un but caché.
Le but manifeste est de faire pression sur les entreprises technologiques pour qu'elles suppriment plus rapidement le matériel illégal et le matériel qui pourrait être illégal. Une nouvelle agence doit être créée à La Haye, sur le modèle et liée à Europol, pour maintenir une base de données officielle d'images illégales d'abus sexuels d'enfants. Les autorités nationales signaleront les abus à cette nouvelle agence, qui exigera ensuite des hébergeurs et autres qu'ils retirent le matériel suspect. La nouvelle loi donne beaucoup de détails sur la conception du processus de retrait, les formulaires à utiliser et le recours dont disposeront les fournisseurs de contenu si du matériel inoffensif est retiré par erreur. Il existe des dispositions similaires pour le blocage des URL ; des ordonnances de censure peuvent être délivrées aux FAI dans les États membres.
Le premier problème est que cette approche ne fonctionne pas. Dans un article de 2016, Fermer des sites Web pour prévenir le crime, ils ont analysé l'industrie du retrait et ont constaté que les entreprises privées sont bien meilleures pour supprimer les sites Web que la police. Ils ont constaté que les sous-traitants spécialisés qui suppriment les sites Web de phishing pour les banques mettaient généralement six heures pour supprimer un site Web incriminé, tandis que l'Internet Watch Foundation - qui a le monopole légal de la suppression du matériel pédopornographique au Royaume-Uni - prenait souvent six semaines.
« Nous comprenons assez bien pourquoi c'est le cas. La suppression de sites Web signifie interagir avec une grande variété de bureaux d'enregistrement et de sociétés d'hébergement dans le monde entier, et ils ont différentes façons de travailler. Une entreprise attend un e-mail chiffré ; une autre veut que vous ouvriez un ticket ; une autre encore a besoin que vous appeliez son centre d'appels pendant les heures d'ouverture de Pékin et que vous parliez mandarin. Les entrepreneurs spécialisés ont compris tout cela et sont devenus bons dans ce domaine. Cependant, les forces de police veulent utiliser leurs propres formulaires et s'attendent à ce que tout le monde suive la procédure policière. Une fois que vous êtes hors de votre juridiction, cela ne fonctionne pas. Les forces de police se concentrent également davantage sur le processus que sur le résultat ; ils ont de la difficulté à embaucher et à retenir du personnel pour effectuer un travail de bureau technique détaillé ; et ils ne sont pas très doués pour traiter avec les étrangers
« Il est donc vraiment stupide pour la Commission européenne d'ordonner un retrait centralisé par une agence de police pour toute l'Europe. Cela rendra tout très difficile à réparer une fois qu'ils découvriront que cela ne fonctionne pas, et il devient évident que les sites Web d'abus d'enfants restent plus longtemps, causant de réels dommages.
« Oh, et le but secret ? C'est pour permettre à la nouvelle agence de saper le chiffrement de bout en bout en rendant obligatoire l'analyse côté client. Ce n'est pas évident à première vue sur le projet de loi, mais c'est évident dans l'évaluation d'impact, qui fait l'éloge de la proposition d'Apple pour 2021 ».
Et de regretter de faire face à « une attaque contre le chiffrement, conçue pour contourner les lois de l'UE contre la surveillance de masse en utilisant un appel populiste à la protection de l'enfance, qui semble plutôt nuire aux enfants ».
Sources : Commission européenne (1, 2, 3), Bits of Freedom, Proton Mail
Et vous ?
Quelle lecture faites-vous de cette proposition de loi ? Partagez-vous le point de vue des chercheurs qui estiment que l'Europe se lance à l'assaut du chiffrement de bout en bout sans le dire ouvertement ?
Répondre avec citation
Envoyé par Starbug
Tout propos "déviant" pourrait donc conduire Mr Dushmoll chez les fous ? En asile / clinique / hôpital psychiatrique ? 
Partager