La Commission de l’UE vient de procéder à la présentation d’une ébauche de la nouvelle stratégie de l’Union en matière de cybersécurité. Grosso modo, il est question d’aller en guerre contre la pédophilie en ligne au travers d’une proposition de loi qui sera soumise plus tard dans l’année. Dans le texte, la Commission indique clairement sa position quant au choix entre sécurité et libertés individuelles : elle est pour la sécurité et entend justement mettre le chiffrement en ligne à mal.« Pensez aux enfants, laissez-nous ouvrir vos contenus en ligne », c’est ce que suggère la sortie d’Ylva Johansson. « Nous allons présenter une proposition de loi qui va obliger les fournisseurs de services sur Internet à détecter, signaler, supprimer et remonter les cas de pédophilie en ligne », annonce la commissaire européenne aux affaires intérieures. Point saillant de son intervention : les contenus chiffrés sont dans le viseur de la proposition. En d’autres termes, dans le cas de son adoption, des plateformes comme Signal, WhatsApp ou Wire qui implémentent le chiffrement de bout en bout se verront contraintes d’introduire un moyen pour les autorités d’avoir accès aux contenus chiffrés. Comment ? En s’inspirant de dispositions au sein du EARN IT Act des USA.
En vertu du Communications Decency Act en vigueur aux États-Unis depuis 1996, les entreprises qui offrent des services en ligne sont exonérées de toute responsabilité quant aux contenus publiés sur leurs plateformes. Sous le EARN IT Act (proposé par les sénateurs républicains Lindsey Graham et Josh Hawley, ainsi que les sénateurs démocrates Richard Blumenthal Dianne Feinstein au courant du mois de mars), la donne change. Les entreprises sont contraintes de dégager leur responsabilité en offrant aux forces de l’ordre de rechercher des contenus spécifiques. Celles qui ont procédé à l’implémentation du chiffrement de bout en bout tombent alors sous le coup de la responsabilité des contenus publiés sur leurs plateformes.
« Le projet de loi EARN IT, parrainé par les sénateurs Lindsay Graham (R-GA) et Richard Blumenthal (D-CT), supprimera les protections de l'article 230 pour tout site Web qui ne suit pas une liste de "meilleures pratiques", ce qui signifie que ces sites peuvent être poursuivis en justice pour faillite », précise l’Electronic Frontier Foundation.
Vers une surveillance généralisée
Australie : premier pays de l’alliance « Five Eyes » à montrer la voie
Alors que l’année 2018 tirait à sa fin, la Chambre des représentants australienne a adopté le projet de loi Assistance and Access Bill. Ce dernier permet à la police de demander à des services de messagerie comme WhatsApp et Signal d’intégrer des portes dérobées afin de donner aux enquêteurs accès au contenu des messages. Une condition ressort néanmoins dudit texte : ces portes dérobées ne doivent pas constituer des « faiblesses systémiques » dans la sécurité du service.
L’adoption du projet n’avait pas manqué de susciter des oppositions, notamment, de la part d’Apple.
« Nous coopérons depuis longtemps avec le gouvernement australien sur des questions critiques et nous remercions le Parlement de nous avoir permis de partager notre point de vue sur ce sujet.
Nous prenons extrêmement au sérieux le rôle de la technologie en général - et le rôle de Apple en particulier - dans la protection de la sécurité nationale et la vie des citoyens. Même si nous nous efforçons de livrer des expériences agréables aux utilisateurs d'iPhone, d'iPad et de Mac, notre équipe travaille sans relâche pour garder une longueur d'avance sur les agresseurs criminels qui cherchent à extraire des informations personnelles et même à s'approprier des appareils pour des agressions plus vastes qui nous mettent tous en danger. Ces menaces ne font que devenir plus sérieuses et sophistiquées avec le temps.
C'est précisément à cause de ces menaces que nous supportons un chiffrement fort. Tous les jours, plus d’un billion de transactions se produisent en toute sécurité sur Internet comme une résultante des communications chiffrées. Celles-ci vont des opérations bancaires en ligne par carte de crédit aux échanges de dossiers médicaux, en passant par des photos d'un nouveau petit-enfant aux messages échangés entre proches. Les menaces sur ces communications et données sont très réelles et de plus en plus sophistiquées », avait indiqué l’entreprise américaine.
Royaume-Uni : entre participants « fantômes » aux discussions de groupe sur les services de messagerie chiffrée et accords avec les USA
En novembre 2018, l'agence de renseignement britannique GCHQ a proposé d’introduire un membre des forces de l’ordre comme participant « fantôme » à chaque conversation de groupe d’un service de messagerie chiffrée. La manœuvre permettrait aux agences de renseignement d’être en possession de messages chiffrés, ce, sans que les utilisateurs sachent qu’ils sont présents au sein d’une discussion de groupe.
Dans une lettre ouverte adressée au GCHQ le 29 novembre 2018, un groupe de 47 entreprises, dont Apple, Google, Microsoft et WhatsApp a, là aussi, émis des critiques :
« Nous sommes une coalition internationale d’organisations de la société civile vouées à la protection des libertés civiles, des droits de la personne et de l'innovation en ligne; une coalition de chercheurs en sécurité ayant une expertise en chiffrement et en sciences informatiques ; et une coalition d’entreprises de technologie et de commerce. Nous partageons tous un engagement envers le chiffrement fort et la cybersécurité. Nous sommes enchantés de l’invitation à une discussion ouverte de Levy et de Robinson et nous appuyons les six principes énoncés dans leur article.
« Cependant, nous écrivons pour exprimer nos préoccupations communes, à savoir que cette proposition particulière constitue une menace sérieuse pour la cybersécurité et les droits de l’homme fondamentaux, y compris le droit à la vie privée et la liberté d'expression.
« Les six principes énoncés par les responsables du GCHQ constituent un pas important dans la bonne direction et soulignent l’importance de la protection du droit à la vie privée, de la cybersécurité, de la confiance du public et de la transparence. Nous apprécions surtout la reconnaissance des principes selon laquelle les gouvernements ne devraient pas s’attendre à un “accès sans entrave” aux données des utilisateurs, que la "relation de confiance" entre les fournisseurs de services et les utilisateurs doit être protégée, et que "la transparence est essentielle" ».
« Malgré cela, l’article du GCHQ décrit une proposition visant à “ajouter en silence un membre des forces de l’ordre à un appel de groupe ou à un groupe de discussion”. Cette proposition d’ajouter un utilisateur “fantôme” violerait des principes importants des droits de l’homme, ainsi que plusieurs des principes énoncés dans le document du GCHQ.
« Bien que les responsables du GCHQ prétendent que “vous n’aurez même pas à toucher au chiffrement” pour mettre en œuvre leur plan, la proposition de l’utilisateur "fantôme” poserait une grave menace à la cybersécurité, menaçant ainsi les droits de l'homme fondamentaux, y compris le droit à la vie privée et la liberté d’expression. Elle créerait des risques de sécurité numérique en sapant les systèmes d’authentification, en introduisant des vulnérabilités potentielles non intentionnelles et en créant de nouveaux risques d’abus ou de mauvaise utilisation des systèmes.
« Il est important de noter que cela saperait également les principes du GCHQ en matière de sécurité, la confiance de l'utilisateur et la transparence énoncées dans la proposition d’Ian Levy et Crispin Robinson ».
En sus de cette proposition du GCHQ, il y a qu’en vertu d’un accord signé avec les États-Unis, les plateformes de réseaux sociaux basées aux États-Unis, y compris Facebook et WhatsApp, sont obligées de divulguer le contenu des messages chiffrés ou non de leurs utilisateurs à la police britannique. L’accord oblige les réseaux sociaux à communiquer, dans le cadre d’une enquête, les données échangées par les personnes soupçonnées d’infractions criminelles graves, y compris le terrorisme et la pédophilie.
USA : les autorités s’appuient sur le dossier Facebook pour repréciser leur position en matière de chiffrement
Au début du mois d’octobre 2018, le procureur général des États-Unis, William Barr, le secrétaire par intérim à la Sécurité intérieure Kevin McAleenan, le ministre australien des Affaires intérieures Peter Dutton et la secrétaire d'État du Royaume-Uni Priti Patel, ont demandé au PDG de Facebook, Mark Zuckerberg, de retarder les projets de mise en œuvre du chiffrement de bout en bout sur tous les services de Facebook Messenger. En effet, le réseau social a récemment annoncé son intention de déployer le chiffrement de bout en bout sur tous ses services de messagerie instantanée (en plus donc de WhatsApp où le chiffrement de bout en bout a déjà été déployé) avec des clés qui seront remises aux utilisateurs eux-mêmes.
« Nous devons trouver un moyen d'équilibrer la nécessité de sécuriser les données avec la sécurité publique et la nécessité pour les forces de l'ordre d'accéder aux informations dont elles ont besoin pour protéger le public, enquêter sur les crimes et prévenir les activités criminelles futures*», déclare le ministère de la Justice au réseau social .
« Ne pas agir de la sorte nuit à la capacité de nos services répressifs d’arrêter les criminels et les agresseurs ».
Plutôt que de demander l'installation d'une backdoor pour déchiffrer les communications à la demande, le ministère a suggéré aux entreprises du secteur de la technologie de proposer une frontdoor permettant aux policiers de présenter un mandat et de recevoir copie des conversations qu'ils souhaitent voir. Seulement, les autorités ne semblent pas avoir la moindre idée de ce à quoi cette frontdoor ressemblerait en réalité dans le contexte d'un service chiffré de bout en bout.
Et en dehors des « Five Eyes » ?
En Allemagne aussi, les autorités envisagent de forcer les services de messagerie à déchiffrer leurs messages. C’est le site web de Tutanota (un logiciel open source de courriel chiffré de bout en bout) qui s’est fait le relais de cette information. Comme dans la plupart des cas cités jusqu’ici, le ministre allemand de l’Intérieur envisage de conditionner l’accès aux contenus par la présentation d’un mandat, ce qui permettrait de contourner le qualificatif « surveillance de masse. »
Le positionnement des autorités allemandes est un revirement. En effet, en 1999 lors de la première vague anti-chiffrement, les autorités allemandes ont évalué les intérêts des parties – ceux qui s’opposent au chiffrement fort sous prétexte que les criminels, les extrémistes et les terroristes abuseraient de cette vie privée et les citoyens, les journalistes et les militants qui y trouvent un moyen pour communiquer à l'abri des regards indiscrets des régimes gouvernementaux oppressifs. Après cette analyse les autorités de l’époque avaient pris parti pour la protection et la sécurité des internautes et les entreprises allemandes contre « l'espionnage, la manipulation et la destruction illégale des données. »
En août 2016, le ministre français de l’Intérieur Bernard Cazeneuve et son homologue allemand Thomas de Maizière ont présenté une initiative franco-allemande sur la sécurité intérieure en Europe, dans le but de renforcer la lutte contre le terrorisme. La question du chiffrement était l’une des plus importantes, alors que les deux ministres ont appelé à prendre des mesures contre la généralisation du chiffrement des communications, de sorte qu’elle ne fasse pas obstacle au bon déroulement des enquêtes judiciaires.
En février 2017, Thomas de Maizière et le successeur de Cazeneuve, Bruno Le Roux, ont porté cette initiative au niveau européen. Les ministres de l'Intérieur français et allemand appelaient à une législation européenne en octobre 2017. Dans leur déclaration conjointe, ils invitaient implicitement Bruxelles à trouver des moyens de contourner le chiffrement des communications par voie électronique lors des enquêtes judiciaires et administratives, « tout en garantissant la fiabilité des systèmes hautement sécurisés » laissant ainsi filtrer une introduction des portes dérobées.
S’exprimant à ce sujet lors de la campagne de la dernière élection présidentielle française, Emmanuel Macron avait affirmé : « Si je suis élu, la France lancera dès l'été une initiative majeure en direction des grands groupes de l'Internet, pour qu'ils acceptent une procédure de réquisition légale de leurs services cryptés en matière de lutte contre le terrorisme. » D’après Emmanuel Macron, cette initiative internationale, pourrait permettre aux États d’imposer des amendes pour inciter les géants du numérique à coopérer. Il avait ajouté que si les acteurs de l’Internet persistent dans leur position de refus, ils devront assumer un jour d’avoir été complices d'attentats.
Source : UE
Et vous ?
Que pensez-vous de l'argument de lutte contre la pédophilie en ligne pour justifier l'introduction de portes dérobées ou casser le chiffrement fort ? La multiplication de lois anti-chiffrement n'est-elle pas un indicateur de ce qu'on se dirige vers une surveillance à l’échelle globale ?Voir aussi :
L'alliance franco-allemande contre le chiffrement appelle à une législation européenne, l'Europe va-t-elle affaiblir le chiffrement ? France : l'ANSSI se dit en faveur du chiffrement et contre l'installation de portes dérobées, dans une missive adressée à plusieurs ministères Russie : un amendement oblige les éditeurs à fournir un moyen de déchiffrer les communications au FSB, les services secrets russes Angleterre : le ministre d'État à la Défense admet que la nouvelle législation permettra de demander la suppression du chiffrement de bout en bout 
Envoyé par emilie77
