L'équilibre n'existe plus en matière de sécurité : la position controversée de l'UE sur le cryptage
Tout d'abord, félicitations. Nous avons gagné. Enfin, en quelque sorte. Apple a officiellement retardé la mise en œuvre de l'initiative CSAM. La déclaration de l'entreprise à la presse était dans sa manière diplomatiquement floue, mais nous pouvons oser dire que la détection CSAM telle qu'elle nous avait été présentée a été annulée.
Le mois dernier, nous avons annoncé des plans pour des fonctionnalités destinées à aider à protéger les enfants contre les prédateurs qui utilisent les outils de communication pour les recruter et les exploiter, et à limiter la diffusion de matériel pédopornographique. Sur la base des commentaires des clients, des groupes de défense, des chercheurs et d'autres personnes, nous avons décidé de prendre plus de temps au cours des prochains mois pour recueillir des commentaires et apporter des améliorations avant de publier ces fonctionnalités cruciales liées à la sécurité des enfants.
Le bon sens prédomine. Pour le moment.
Combien de "temps supplémentaire" - non précisé (mais certainement pas moins que "plusieurs mois"), quelles "améliorations" - non précisé non plus. Et pas de spéculations ici, car Apple avait décrit l'algorithme de détection de CSAM comme presque parfait et sans défaut, par contre qui sait ce qu'ils vont améliorer.
Tout le monde était contre. Consommateurs, militants, défenseurs des droits de l'homme, experts en technologie et en protection de la vie privée, y compris nous. Nous savons maintenant que nous ne sommes pas seulement des fétichistes de la vie privée, nous avions raison : la détection des CSAM a été chargée de risques, de menaces et d'abus potentiels.
Bien sûr, le fait qu'Apple avait un grand événement à venir en septembre a beaucoup aidé. Un nouvel iPhone devait être annoncé, et il n'aurait pas été bon de l'annoncer rempli d'une collection de pornographie juvénile, même sous forme d'un tas de hachages.
Étapes provisoires pour une catastrophe terminale
Mais les sociétés commerciales ne sont pas les seules à essayer de nous faire renoncer à notre vie privée et confidentialité en faisant appel à la protection de l'enfance. Les gouvernements et les organismes de réglementation internationaux le font aussi, et ils ne sont pas tenus de penser à leurs profits et à l'équilibre entre la collecte de plus d'informations ou le contrôle des gens, et le fait de ne pas faire fuir les clients ne les concerne pas du tout.
Cet été, le Parlement européen a approuvé un "règlement temporaire" qui permet aux sociétés commerciales qui hébergent des services en ligne de scanner les communications des utilisateurs pour y déceler des signes de maltraitance des enfants sans pour autant enfreindre les lois sur la protection de la vie privée (plus précisément, sans risquer d'enfreindre les règles du GDPR).
Les résultats montrent que 537 membres du Parlement européen (MPE) ont voté en faveur du projet de cette loi, 133 contre et il y a eu 24 abstentions. Malgré ce résultat, les législateurs européens ont averti que les règles sont "juridiquement imparfaites" et pourraient s'effondrer devant un tribunal.
Les députés ont également dénoncé les pressions exercées sur eux pour qu'ils approuvent le projet de loi, les qualifiant de "chantage moral", selon la presse.
Chaque fois que nous posions des questions critiques sur les propositions législatives, on laissait immédiatement entendre que je n'étais pas suffisamment engagée dans la lutte contre les abus sexuels sur les enfants", a déclaré l'eurodéputée néerlandaise Sophia in 't Veld un jour avant le vote.
Ce ne seront donc pas des fonctionnaires de l'UE qui surveilleront les messages et les courriels des utilisateurs européens pour y déceler tout contenu illégal (la première édition du projet de loi prévoyait également des messages audio, ils ont été omis dans la version finale). Ce seront les sociétés commerciales, les fournisseurs de services qui ne pourront pas résister au désir de protéger les enfants. L'initiative avait provenait de la Commission européenne, et le Parlement a adopté le projet de loi inhabituellement rapidement.
Le Parlement s'est efforcé de faire connaître sa position par le biais des médias. "Les fournisseurs de services devraient utiliser les technologies aussi moins intrusives que possible pour maintenir la confidentialité", assurent-ils. Croyons-nous ? Hmmm.
Peu d'explications sont données sur la manière dont la surveillance est conçue et mise en œuvre. Le matériel en ligne lié à l'abus sexuel d'enfants est détecté à l'aide de technologies spécifiques qui analysent le contenu, comme les images et le texte, ou les données de trafic. Tandis que la technologie de hachage est utile pour les images et les vidéos, les classificateurs et l'intelligence artificielle sont utilisés pour analyser le texte ou les données de trafic afin de détecter le "cyber-grooming" - évidemment,c'est aux entreprises de décider des détails, et les mises en œuvre peuvent varier considérablement.
Le pire
La nouvelle approche à la protection des enfants menace l'existence même de la messagerie cryptée. En mai dernier, lorsque Facebook a annoncé son intention d'ajouter le cryptage à l'application Messenger, la Commission européenne l'a prévenu que cette mesure transformerait le réseau social en "un refuge pour les pédophiles".
Les nouvelles règles seront en vigueur pendant trois ans. Et la législation permanente qui est en train d'être élaborée pour les remplacer suscite encore plus d'inquiétudes. Premièrement, elle exige que les technologies de cryptage permettent de scanner les textes, les images et les vidéos dans les messages, les chats et les courriels. Deuxièmement, elle implique de surveiller non seulement la pornographie ou les abus, mais aussi le grooming - le processus consistant à établir des relations avec des enfants afin de les exploiter. Il s'agit d'une définition assez vague, et on se demande bien si les robots seraient capables de la détecter correctement.
Et troisièmement, si aujourd'hui les entreprises repérent volontairement les abus sur les enfants, de nouvelles lois rendront ces recherches obligatoires.
L'Europe Unie divisée à propos du cryptage
La bonne nouvelle, c'est que les autorités du monde entier essaient de creuser sous la messagerie cryptée depuis longtemps déjà, mais n'ont pas encore trouvé le moyen de nous en priver. Ils ne savent que trop bien que cela entraînerait une indignation massive et la migration de l'activité criminelle réelle vers le darknet ou des plateformes moins connues qui passent sous le radar des régulateurs. Ils ne veulent pas tuer WhatsApp ou même Telegram.
En outre, l'Europe unie ne semble pas si unie que ça quand il s'agit de l'opinion sur le cryptage. La confidentialité de vie privée est présentée comme une des valeurs principales de la culture et de la politique européennes. Mais la protection des enfants et la lutte contre le terrorisme le sont également ! Pas étonnant qu'on voit un peu partout les signes d'une certaine schizophrénie réglementaire. Quelques exemples :
2017: "Une commission du Parlement européen propose que le cryptage de bout en bout soit appliqué à toutes les formes de communications numériques pour protéger les citoyens ", rapporte la BBC.
2020: "L'attaque terroriste de Vienne est utilisée au sein du Conseil des ministres de l'UE pour imposer l'interdiction du cryptage sécurisé pour des services tels que WhatsApp, Signal et bien d'autres dans le processus d'ébullition rapide. C'est ce qui ressort d'un document interne daté du 6 novembre, adressé par la présidence allemande du Conseil aux délégations des États membres au sein du Conseil ", contredisant directement la déclaration précédente.
2021: La proposition appelle à la création d'un "équilibre" entre "la sécurité par le cryptage et malgré le cryptage". La proposition invite les États membres de l'UE à "unir leurs forces à celles de l'industrie technologique" pour créer conjointement cet équilibre, et à définir et établir un cadre réglementaire ainsi que des approches innovantes et des meilleures pratiques pour répondre à ces défis.
La dernière phrase de la citation ci-dessus ressemble à un plan pour les 30 prochaines années environ. Les institutions européennes ne travaillent généralement pas très vite, surtout lorsqu'il n'y a pas de consensus entre elles ni avec la nation.
"Sécurité par le cryptage et malgré le cryptage"
Quelle belle formulation. Bien sûr, on peut comprendre le désir des dirigeants de l'UE de se faufiler sans encombre entre Scylla et Charybde. Mais ce n'est qu'un oxymore désespéré, pour continuer à emprunter des mots au grec, cette langue de la culture-mère de l'Europe.
Il n'y a pas de cryptage partiel, ça n'existe simplement pas. Toutes les portes dérobées et tous les accès exclusifs à des données personnelles sensibles, réservés à l'État qui ne veut que son bien, feront l'objet d'abus et tomberont tôt ou tard dans de mauvaises mains (ça arrive tout le temps, pourquoi faut-il gaspiller encore des lettres à ce sujet).
Même si vous êtes un citoyen absolument respectueux des lois (et surtout si vous l'êtes), si vous n'avez jamais fait exploser un seul avion ou offensé un seul enfant, il n'y a aucune raison de devenir un objet de surveillance intrusive. Cette surveillance est souvent effectuée avec l'aide de contractants tiers qui ne sont même pas employés par une entreprise et ne sont pas liés par ses normes de gestion des données. Vous ne devez pas devenir la victime des erreurs honnêtes et des faux positifs des personnes réélles ou de celles des algorithmes ; votre sécurité, votre bien-être et votre réputation ne doivent pas être menacés.
Ne pensez donc pas que si vous vivez à Londres ou à New Deli, vous ne devriez pas être curieux des initiatives d'Apple visant à scanner les photos des citoyens américains. Il s'agit d'une tendance mondiale. Chaque gouvernement est destiné à garder un œil sur le peuple. Pour surveiller ses petits frères. Pour les corriger lorsqu'ils ont tort et les punir lorsqu'ils se comportent mal. Les technologies en développement créent un grand nombre de nouveaux avantages et d'opportunités, de risques et de menaces, mais même leurs créateurs ne peuvent pas toujours les distinguer - les technologies se développent trop rapidement.
Et ne comptez pas sur la découverte future d'un équilibre ou d'un juste milieu entre "la sécurité par le cryptage et malgré le cryptage". Lorsque vous avez besoin de sécurité et de confidentialité, choisissez des applications qui considèrent le cryptage intégral comme un impératif et la protection des utilisateurs comme une priorité.