La lettre ouverte arrive des mois après que Barr ait déclaré dans un discours que le chiffrement « à l'épreuve des mandats » vient « éteindre la capacité des forces de l'ordre à obtenir les preuves essentielles à la détection et aux enquêtes criminelles » et permettre aux « criminels d'exercer leurs activités en toute impunité, en cachant leurs activités sous un voile de secret impénétrable ». Un message qui fait écho à un communiqué conjoint publié par les États-Unis, le Royaume-Uni, l'Australie, le Canada et la Nouvelle-Zélande (les Five Eyes) en juillet, dans lequel il était indiqué :
… Il est impératif que tous les secteurs de l'industrie numérique, y compris les fournisseurs de services Internet, les fabricants de périphériques et autres, continuent de prendre en compte les impacts sur la sécurité des enfants, y compris ceux exposés à un risque d'exploitation, lors du développement de leurs systèmes et services. En particulier, le chiffrement ne doit pas dissimuler ni faciliter l’exploitation des enfants.
Barr et ses collègues ont noté que le NCMCE « estime que 70 % des rapports de Facebook, soit 12 millions de signalements dans le monde » pour du contenu lié à l'exploitation sexuelle et au terrorisme d'enfants « seraient perdus » si tout le trafic Messenger était protégé par un chiffrement de bout en bout et que Facebook ne peut pas filtrer le contenu à travers ses systèmes de sécurité. « Cela augmenterait considérablement le risque d'exploitation sexuelle des enfants ou d'autres dommages graves », ont déclaré Barr et les autres.
La lettre a également élargi son message au-delà de Facebook à l'ensemble du secteur des technologies, en déclarant :
Nous appelons donc Facebook et d’autres entreprises à prendre les mesures suivantes :
- intégrez la sécurité du public dans la conception des systèmes, vous permettant ainsi de continuer à agir efficacement contre les contenus illicites sans réduction de la sécurité, tout en facilitant la poursuite des contrevenants et la protection des victimes ;
- permettez aux forces de l'ordre d'obtenir un accès légal au contenu dans un format lisible et utilisable ;
- engagez-vous dans des consultations avec les gouvernements pour faciliter cela d'une manière qui soit substantielle et qui influence réellement vos décisions en matière de conception ;
- ne mettez pas en œuvre les modifications proposées avant de pouvoir vous assurer que les systèmes que vous utiliseriez pour maintenir la sécurité de vos utilisateurs sont entièrement testés et opérationnels.
La demande du gouvernement américain
Vendredi, le ministère de la Justice a organisé ce qu'il a appelé le « Lawful Access Summit », une présentation qui a duré toute la matinée et qui visait à convaincre de la nécessité de permettre à la police de suivre toutes les conversations sur des plateformes de messagerie afin de protéger le public, en particulier les enfants, des prédateurs.
« En dehors du monde numérique, aucun d'entre nous n'accepterait la proposition d'autoriser les adultes à être mêlés à des enfants qu'ils ne connaissent pas dans des salles closes à des enfants qu'ils ne connaissent pas afin de les préparer à l'exploitation sexuelle », a avancé le procureur général adjoint américain Jeffrey Rosen.
« Nous n'accepterions jamais non plus l'idée qu'une personne soit autorisée à garder une réserve de matériel d'abus sexuel sur des enfants loin de tout contrôle du système de justice lorsque toutes les procédures traditionnelles de la société visant à protéger la vie privée de la personne, telles que l'exigence du mandat du Quatrième amendement, ont été remplies. Mais dans le monde numérique, c’est de plus en plus la situation dans laquelle nous nous trouvons ».
Prenons, par exemple, un cas récent où des informations provenant d'un réseau P2P à la disposition du public indiquaient qu'au début de 2017, une personne se trouvant à une adresse physique particulière demandait du matériel sur les abus sexuels sur enfants via ce réseau. Les enquêteurs ont obtenu un mandat de perquisition et saisi l’ordinateur du suspect. Il était chiffré. Le suspect a nié avoir téléchargé de la pornographie juvénile et a ensuite retenu les services d'un avocat. À ce jour, les forces de l'ordre n'ont pas pu accéder à l'ordinateur pour effectuer une recherche. À ce jour, plus de deux ans et demi plus tard, le suspect est toujours en fuite, sans avoir été innocenté ni inculpé d'un crime.
Allons un peu plus loin. Supposons que le suspect ait effectivement téléchargé du matériel pédopornographique. Et si les fichiers de son appareil chiffré nous permettaient d’identifier des enfants victimes d’abus sexuels ? Et, comme nous ne pouvions pas accéder aux données stockées sur cet appareil même avec l'autorisation du tribunal, que se passerait-il si ces enfants maltraités étaient toujours là, en attente d'être sauvés?
Ce ne sont pas des scénarios sensationnels. Ce sont des cas réels qui soulèvent des questions difficiles auxquelles nous, en tant que société, devons faire face. La vie privée est importante. Il en va de même pour la cybersécurité et l'intégrité des données des utilisateurs. Ce sont des choses bonnes et nécessaires. Mais il existe d’autres valeurs importantes, telles que la sécurité des utilisateurs et du public, qui doivent également être prises en compte et peser sur la balance. Si nous les perdons de vue, nous ne pouvons pas honorer les victimes de ces crimes horribles - des victimes qui sont souvent les membres les plus vulnérables de notre société.
Allons un peu plus loin. Supposons que le suspect ait effectivement téléchargé du matériel pédopornographique. Et si les fichiers de son appareil chiffré nous permettaient d’identifier des enfants victimes d’abus sexuels ? Et, comme nous ne pouvions pas accéder aux données stockées sur cet appareil même avec l'autorisation du tribunal, que se passerait-il si ces enfants maltraités étaient toujours là, en attente d'être sauvés?
Ce ne sont pas des scénarios sensationnels. Ce sont des cas réels qui soulèvent des questions difficiles auxquelles nous, en tant que société, devons faire face. La vie privée est importante. Il en va de même pour la cybersécurité et l'intégrité des données des utilisateurs. Ce sont des choses bonnes et nécessaires. Mais il existe d’autres valeurs importantes, telles que la sécurité des utilisateurs et du public, qui doivent également être prises en compte et peser sur la balance. Si nous les perdons de vue, nous ne pouvons pas honorer les victimes de ces crimes horribles - des victimes qui sont souvent les membres les plus vulnérables de notre société.
« Nous devons trouver un moyen d'équilibrer la nécessité de sécuriser les données avec la sécurité publique et la nécessité pour les forces de l'ordre d'accéder aux informations dont elles ont besoin pour protéger le public, enquêter sur les crimes et prévenir les activités criminelles futures », déclare le ministère de la Justice au réseau social .
« Ne pas agir de la sorte nuit à la capacité de nos services répressifs d’arrêter les criminels et les agresseurs ».
Plutôt que de demander l'installation d'une backdoor pour déchiffrer les communications à la demande, le ministère suggère aux entreprises technologiques de proposer une frontdoor permettant aux policiers de présenter un mandat et de recevoir copie des conversations qu'ils souhaitent voir. Malheureusement, les autorités ne semblent pas avoir la moindre idée de ce à quoi cette frontdoor ressemblerait en réalité dans le contexte d'un service chiffré de bout en bout.
Alors que nous sommes confrontés au problème du chiffrement « à l'épreuve des mandats », personne ne réclame des « backdoor » pour les systèmes de communication, même si c'est souvent cette façon que cela est présenté à tort. Comme le directeur du FBI Wray l’a déclaré ce matin, les forces de l’ordre cherchent une frontdoor, c’est-à-dire un accès par le biais d’un système transparent et reconnu publiquement, et ce seulement après avoir obtenu l’autorisation d’un tribunal. Et nous ne voulons pas les clés de cette porte. Les entreprises qui développent ces plateformes doivent conserver les clés, tout en maintenant la confiance de leurs utilisateurs en ne donnant accès au contenu que lorsqu'un juge l’a ordonné.
C'est exactement ce qui se passe avec les opérateurs de télécommunications traditionnels. Chaque jour, des sociétés comme AT&T, Verizon et Sprint offrent aux forces de l'ordre un accès légal ciblé au contenu des communications téléphoniques de manière à promouvoir la sécurité publique - mais uniquement après que le gouvernement s'est conformé aux strictes exigences de la loi et qu'un juge en ait autorisé l'accès. Pourquoi les entreprises de technologie Internet devraient-elles fonctionner selon des règles différentes? Pour une jeune fille victime de trafic à des fins sexuelles, peu importe que ses bourreaux communiquent via des appels vocaux traditionnels via un téléphone portable ou via une application Internet chiffrée. Mais cela fait une énorme différence pour les enquêteurs qui tentent de la retrouver, car ils peuvent rassembler la première catégorie de preuves électroniques, mais pas la seconde. Du point de vue de la politique, cela n’a aucun sens.
C'est exactement ce qui se passe avec les opérateurs de télécommunications traditionnels. Chaque jour, des sociétés comme AT&T, Verizon et Sprint offrent aux forces de l'ordre un accès légal ciblé au contenu des communications téléphoniques de manière à promouvoir la sécurité publique - mais uniquement après que le gouvernement s'est conformé aux strictes exigences de la loi et qu'un juge en ait autorisé l'accès. Pourquoi les entreprises de technologie Internet devraient-elles fonctionner selon des règles différentes? Pour une jeune fille victime de trafic à des fins sexuelles, peu importe que ses bourreaux communiquent via des appels vocaux traditionnels via un téléphone portable ou via une application Internet chiffrée. Mais cela fait une énorme différence pour les enquêteurs qui tentent de la retrouver, car ils peuvent rassembler la première catégorie de preuves électroniques, mais pas la seconde. Du point de vue de la politique, cela n’a aucun sens.
Et vous ?
Que pensez-vous des arguments avancés par le gouvernement ?
Sachant leurs conversations moins protégées, les malfaiteurs ne peuvent-ils pas simplement se tourner sur des services qui sont moins populaires que Facebook Messenger et WhatsApp comme Telegram ?
Voir aussi :
USA : la Cour suprême permet aux personnes aveugles de poursuivre les détaillants en justice si leurs sites Web ne sont pas accessibles aux personnes malvoyantes
Le Congrès US examine le projet de Google sur l'implémentation du chiffrement TLS, après avoir été saisi par les principaux FAI américains
Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS, voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome
La plus grande menace de rançongiciels serait le chiffrement des fichiers cloud partagés, selon les chercheurs de Vectra