Signal et WhatsApp s'opposent à la loi qui les forcerait de scanner les messages
Plusieurs messageries chiffrées de bout en bout se sont unies pour s'opposer à une proposition de loi britannique qui, selon elles, pourrait mettre fin au chiffrement de bout en bout. Dans une lettre ouverte publiée par WhatsApp et signée par les dirigeants de Signal, Element, Session, Threema et Viber, ils affirment que le projet de loi sur la sécurité en ligne Online Safety Bill, qui est actuellement examiné par le Parlement britannique, constitue "une menace sans précédent pour la vie privée, la sécurité et la sûreté de chaque citoyen britannique et des personnes avec lesquelles il communique dans le monde entier".
Rédigé pour la première fois en 2021, le projet de loi a subi d'importantes modifications, mais son objectif principal est resté le même. Il vise à protéger les enfants en exigeant que les "services d'utilisateur à utilisateur ", y compris les messageries en ligne, signalent à l'Agence nationale de lutte contre la criminalité (NCA) du Royaume-Uni tout contenu connu ou nouveau impliquant des abus sexuels ou l'exploitation d'enfants.
Numériser ou disparaître
Les opposants au projet de loi soutiennent que cela signifie que les fournisseurs de services devront utiliser une sorte de technologie de balayage pour espionner les conversations des gens afin de ne pas manquer des images, des vidéos ou des textes potentiellement illégaux. Les entreprises qui refusent de "respecter leurs nouvelles obligations " pourraient se voir infliger une amende pouvant aller jusqu'à 18 millions de livres sterling (22 millions de dollars) ou 10 % de leur chiffre d'affaires mondial, tandis que leurs cadres supérieurs pourraient faire l'objet de poursuites pénales. Dans les "cas les plus extrêmes", l'autorité britannique de régulation de la sécurité en ligne, Ofcom, pourrait également exiger des prestataires de services de paiement, des annonceurs et des fournisseurs d'accès à Internet qu'ils cessent de travailler avec les sites non conformes.
Bien que le projet de loi ne précise pas quel type de mécanisme de détection les entreprises doivent utiliser, les critiques affirment qu'il est impossible d'appliquer la loi sans porter atteinte au cryptage de bout en bout (E2EE). Lorsqu'un message est crypté de bout en bout, seuls l'expéditeur et le destinataire peuvent le lire. Pour que le fournisseur d'applications puisse scanner le message, il faudrait qu'il ait accès à son contenu avant qu'il ne soit crypté ou après qu'il ait été décrypté, ce qui rendrait l'idée du chiffrement de bout en bout sans objet.
Dans la lettre, WhatsApp postule :
Le projet de loi ne prévoit aucune protection explicite du chiffrement et, s'il est appliqué tel quel, il pourrait permettre à l'OFCOM d'essayer d'imposer l'analyse proactive des messages privés sur les services de communication chiffrés de bout en bout, ce qui réduirait à néant l'objectif du chiffrement de bout en bout et compromettrait la protection de la vie privée de tous les utilisateurs.
Les signataires de la lettre ont également rejeté l'argument des partisans du projet de loi selon lequel il est possible de faire les deux : protéger la vie privée et autoriser la surveillance mandatée par le gouvernement.
Les défenseurs de cette idée affirment qu'ils sont conscients de l'importance du cryptage et de la protection de la vie privée, tout en prétendant qu'il est possible de surveiller les messages de tout un chacun sans compromettre le cryptage de bout en bout. La vérité est que ce n'est pas possible.
L'une des craintes de WhatsApp et Cie est que le projet de loi ne déclenche un effet domino, incitant d'autres pays à introduire une législation similaire : “En bref, le projet de loi représente une menace sans précédent pour la vie privée, la sécurité et la sûreté de chaque citoyen britannique et des personnes avec lesquelles il communique dans le monde entier, tout en enhardissant les gouvernements hostiles qui pourraient chercher à élaborer des lois similaires.”
WhatsApp a demandé au gouvernement britannique de "repenser d'urgence" ce projet. Le projet de loi devrait être adopté cette année, mais il n'y a pas de calendrier précis pour son entrée en vigueur.
Les applications de messagerie vont-elles quitter le Royaume-Uni ?
Face à la menace d'amendes sévères et de responsabilité pénale, plusieurs applications de messagerie chiffrée de bout en bout ont déjà indiqué qu'elles quitteraient définitivement le Royaume-Uni si le projet n'était pas modifié.
Dans une interview accordée à la BBC en février dernier, Meredith Whittaker, présidente de Signal, a déclaré que l'application "quitterait [le Royaume-Uni] à 100 % plutôt que d'ébranler la confiance que les gens placent en nous pour fournir un moyen de communication véritablement privé "*.
WhatsApp, l'application de messagerie préférée des Britanniques, a également laissé entendre qu'elle préférerait être interdite dans le pays plutôt que de compromettre le cryptage de bout en bout.
Le gouvernement britannique, quant à lui, continue de dire qu'il n'y a pas lieu de paniquer, affirmant que l'obligation de détecter les contenus pédopornographiques ne portera pas atteinte à la vie privée des utilisateurs. Selon les fonctionnaires britanniques, la loi "n'introduira pas l'analyse systématique des communications privées " comme le prétendent les fournisseurs de services, mais sera utilisée uniquement comme "pouvoir ciblé ".
Facebook fait face à des réactions négatives concernant ses projets E2EE
Le gouvernement britannique insiste sur le fait que le projet de loi sur la sécurité en ligne "n'est pas une interdiction du chiffrement de bout en bout et n'exigera pas des services qu'ils affaiblissent le chiffrement ", mais il indique clairement qu'il considère le chiffrement de bout en bout comme un obstacle majeur à l'application de la loi et qu'il décourage les fournisseurs de services de l'utiliser. Le 19 avril, deux jours après la publication de la lettre de WhatsApp, la Virtual Global Taskforce, un groupe d'organismes chargés de l'application de la loi présidé par la NCA britannique, a condamné Meta pour son projet d'introduire le chiffrement de bout en bout par défaut dans Facebook Messenger et Instagram.
“La mise en œuvre annoncée de l'E2EE sur les plateformes META Instagram et Facebook est un exemple de choix de conception délibéré qui dégrade les systèmes de sécurité et affaiblit la capacité à assurer la sécurité des enfants utilisateurs", peut-on lire dans la déclaration publiée par la NCA.
Le groupe de travail, qui compte 15 organismes chargés de l'application de la loi, dont le FBI, a incité Meta et d'autres à "repenser les plans de chiffrement ".
Meta a toutefois indiqué qu'il n'avait pas l'intention de renoncer au déploiement de cette fonctionnalité. Un porte-parole de Meta a confirmé à ArsTechnica que l'entreprise a toujours l'intention d'activer le chiffrement de bout en bout par défaut dans Facebook Messenger d'ici la fin de l'année. Pour Instagram, le déploiement de la fonctionnalité pourrait prendre plus de temps, ont-ils ajouté. Ils ont également déclaré que Meta dispose désormais de mesures de sécurité pour traiter les abus sur les enfants sans avoir à lire les messages privés.
C'est rafraîchissant de voir les grands acteurs du secteur mettre de côté leurs différences et présenter un front uni face à une législation qui pourrait perturber le chiffrement de bout en bout, une technologie vitale qui protège notre vie privée et notre sécurité en ligne. Le chiffrement de bout en bout garantit que nos informations personnelles et nos conversations privées sont à l'abri des regards indiscrets des pirates, des espions, des criminels et des gouvernements. Saper les protections qu'il offre nous rendrait vulnérables à la surveillance, au chantage et à la censure.
Si certains peuvent affirmer que la remise en cause de l'E2EE n'est qu'un faible prix à payer pour assurer la sécurité des enfants, il existe probablement de meilleurs moyens de prévenir la maltraitance et l'exploitation des enfants que l'analyse des messages. En tant que société, nous devrions consacrer plus de temps et d'efforts à apprendre aux enfants à reconnaître les signaux d'alarme et à veiller à ce qu'ils n'aient pas peur d'en parler aux adultes ; à expliquer aux enfants comment les images et les vidéos qu'ils publient en ligne peuvent être utilisées à mauvais escient ; et à utiliser des outils tels que les contrôles parentaux, les filtres et les bloqueurs pour définir des paramètres adaptés à l'âge et restreindre l'accès aux contenus inappropriés.