La Grande-Bretagne doit mettre à jour son "manuel du dictateur" ! Le projet de loi sur la sécurité en ligne vient d'être adopté - avec la possibilité de casser le cryptage à tout moment.

Le projet de loi britannique sur la sécurité en ligne contient une clause qui permet aux responsables politiques de compromettre le cryptage, aujourd'hui ou à l'avenir.

2023-09-21
Online Safety Bill: Will the UK break encryption?
Le projet de loi sur la sécurité en ligne a été adopté cette semaine par la Chambre des députés et entrera probablement en vigueur cet automne. Malgré les récentes déclarations des responsables politiques selon lesquelles le projet de loi n'obligera pas les entreprises technologiques à rechercher les contenus abusifs s'ils sont cryptés jusqu'à ce qu'une technologie "réalisable" soit disponible, la clause qui donne au gouvernement le pouvoir de briser le cryptage à l'avenir est toujours incluse dans la version finale du projet de loi.

Après plusieurs années de débat, le projet de loi sur la sécurité en ligne, très critiqué, sera adopté dans les semaines à venir, avec des conséquences considérables sur la manière dont les Britanniques accèdent aux services en ligne.

Lors de l'une des dernières lectures à la Chambre des Lords, le gouvernement de M. Sunak a fait marche arrière en confirmant qu'il ne prévoyait pas de briser le cryptage et qu'il n'exigerait des applications de messagerie qu'elles recherchent les contenus illicites que lorsque cela deviendrait "techniquement faisable".

Cette déclaration a été saluée comme une "victoire" par les défenseurs de la vie privée. Il y a eu une minute d'espoir que la Grande-Bretagne réécrive le " playbook" des dictateurs. Par exemple, l'expert en sécurité Alec Muffett a tweeté:

"ICI, MAINTENANT, EN TERMES DE POLITIQUE, RECONNAISSONS UNE CHOSE : après des années - et surtout après les fanfaronnades des six derniers mois - le fait que le gouvernement reconnaisse l'insolubilité de l'analyse côté client est une ÉNORME GAGNE".

Meredith Whittaker, de Signal, a tweeté:

"WOW. Je suis très émue, un peu abasourdie, et surtout sincèrement reconnaissante à ceux qui se sont rassemblés pour faire en sorte que la lumière soit faite sur la dangereuse clause espionne de l'OSB, et à ceux qui, au sein du gouvernement britannique, ont synthétisé les faits et ont agi en conséquence".

"Je savais que nous devions nous battre. Je ne savais pas que nous allions win❤️🙏"

Cependant, Meredith ajoute également :

"Bien sûr, ce n'est pas une victoire totale. Nous aurions aimé voir cela dans le texte de loi lui-même. Mais c'est néanmoins énorme, et dans la mesure où les conseils de mise en œuvre auront la force de façonner le cadre de mise en œuvre de l'Ofcom, c'est, encore une fois, très grand et très bon."

En effet, si le gouvernement a déclaré qu' il ne forcerait pas les entreprises technologiques à casser le cryptage, cette phrase n'a pas été reprise dans la législation amendée. Pire encore, les représentants du gouvernement ont seulement déclaré qu'ils ne tireraient pas sur la corde jusqu'à ce que ce soit "techniquement faisable".

Stephen Parkinson, sous-secrétaire d'État parlementaire aux arts et au patrimoine, a déclaré à la Chambre des Lords : Les entreprises ne seront pas tenues d'analyser les messages cryptés tant que cela ne sera pas "techniquement faisable et que la technologie n'aura pas été accréditée comme répondant à des normes minimales de précision pour détecter uniquement les contenus d'exploitation et d'abus sexuels d'enfants" Il a également mentionné directement l'article 122 controversé du projet de loi sur la sécurité en ligne :

"S'il n'existe pas de technologie appropriée répondant à ces exigences, l'Ofcom ne sera pas en mesure d'utiliser la clause 122 pour exiger son utilisation.

Quelle technologie peut détecter le CSAM ?

Bien que le gouvernement britannique ait admis qu'il n'existe actuellement aucune technologie permettant de détecter les contenus pédopornographiques sans violer le droit à la vie privée, il est toujours à la recherche d'une telle technologie. Lorsqu'ils discutent des options possibles, les responsables politiques évoquent le plus souvent l'analyse côté client, que l'Union européenne considère également comme le "Saint-Graal" des services répressifs.

Les services qui utilisent le cryptage de bout en bout garantissent que seuls l'expéditeur et le destinataire peuvent voir le contenu des messages. Pour pouvoir déterminer si les messages contiennent du matériel CSA, il faudrait scanner les données localement sur les appareils des personnes afin qu'elles puissent encore être envoyées avec un cryptage de bout en bout. Les données scannées devraient être comparées à un ensemble de données sur un autre serveur, ce qui briserait le cryptage de bout en bout et violerait la vie privée des personnes.

Étant donné qu'il est pratiquement impossible de scanner les données tout en respectant le droit à la vie privée, Apple a abandonné ses projets de développement de la numérisation côté client pour iCloud, déclarant qu'elle ne pouvait pas faire fonctionner le processus de numérisation sans porter atteinte à la vie privée des utilisateurs.

En fin de compte, il n'existe aujourd'hui aucune technologie réalisable pour rechercher des contenus abusifs dans des données cryptées.

Une victoire pour la vie privée ?

Pourtant, les défenseurs de la vie privée crient victoire. Par exemple, Wired a écrit :

"La Grande-Bretagne admet sa défaite dans la lutte controversée pour briser le cryptage : Le gouvernement britannique a admis que la technologie nécessaire pour analyser en toute sécurité les messages cryptés envoyés sur Signal et WhatsApp n'existe pas, ce qui affaiblit son projet de loi controversé sur la sécurité en ligne".

Il s'agit en partie d'une victoire, car - du moins pour l'instant - la "clause espion" du projet de loi britannique sur la sécurité en ligne, qui aurait obligé les applications de messagerie à briser le cryptage de bout en bout pour pouvoir rechercher des contenus abusifs, ne sera plus appliquée.

Enfin, après avoir été convaincu pendant des mois par les experts en sécurité et en protection de la vie privée, le gouvernement a admis que la technologie permettant d'analyser en toute sécurité les messages cryptés pour y déceler des signes d'abus sexuels sur des enfants sans compromettre la vie privée des utilisateurs n'existait pas - pour l'instant.

D'autres experts de la protection de la vie privée ne sont toutefois pas aussi optimistes. Matthew Hodgson, PDG et cofondateur d'Element, une application de messagerie décentralisée basée au Royaume-Uni, a déclaré : "Ce n'est pas un changement :

Ce n'est "pas un changement, c'est un coup de pied dans la fourmilière".

"Ce qui compte, c'est ce qui est écrit dans le projet de loi. La numérisation est fondamentalement incompatible avec les applications de messagerie chiffrées de bout en bout. Le balayage contourne le chiffrement afin de scanner, exposant ainsi vos messages aux attaquants. Tout ce que signifie l'expression "jusqu'à ce que ce soit techniquement possible", c'est d'ouvrir la porte au balayage à l'avenir plutôt qu'au balayage aujourd'hui.

Un porte-parole de l'organisation de campagne Index on Censorship a déclaré: "Le projet de loi sur la sécurité en ligne, tel qu'il est actuellement rédigé, n'a pas encore été adopté :

"Le projet de loi sur la sécurité en ligne, tel qu'il est actuellement rédigé, constitue toujours une menace pour le cryptage et, en tant que tel, met en péril tout le monde, des journalistes qui travaillent avec des dénonciateurs aux citoyens ordinaires qui discutent en privé. Des amendements doivent être apportés de toute urgence pour protéger notre droit à la liberté d'expression en ligne.

Un autre expert, Martin Albrecht, professeur de cybersécurité au King's College de Londres et critique de l'article 122 du projet de loi sur la sécurité en ligne, a déclaré qu'il ne voyait pas comment une technologie de balayage des messages pourrait être "réalisable". Comment une telle technologie pourrait-elle analyser avec précision les messages à caractère abusif tout en protégeant la vie privée des internautes ?

M. Albrecht a déclaré au Guardian :

"Je suis soulagé de voir que le gouvernement accepte le consensus scientifique selon lequel il n'existe pas de technologie permettant de scanner les messages cryptés sans violer la vie privée des utilisateurs. Toutefois, le test que le gouvernement prévoit d'appliquer pour décider si la technologie est réalisable à l'avenir n'est pas clair".

Étant donné que le gouvernement n'a pas modifié la formulation du projet de loi, la possibilité d'obliger les entreprises à scanner plus tard existe toujours. L'Ofcom, l'autorité de régulation des médias, a toujours le pouvoir de déclarer qu'une technologie est suffisamment performante pour détecter les contenus abusifs tout en respectant le droit à la vie privée.

Le projet de loi sur la sécurité en ligne va-t-il briser le cryptage ?

En écoutant attentivement les politiciens et leurs déclarations sur le projet de loi sur la sécurité en ligne, on constate que le plan actuel ne prévoit pas de casser le cryptage, mais cela pourrait n'être qu'un vœu pieux.

Le ministre de la technologie et de l'économie numérique, le député Paul Scully, a déclaré:

"Notre position sur cette question n'a pas changé et il est faux de suggérer le contraire. Notre position sur la lutte contre les abus pédosexuels en ligne reste ferme, et nous avons toujours été clairs sur le fait que le projet de loi adopte une approche mesurée et basée sur des preuves pour y parvenir".

En d'autres termes : Le gouvernement britannique veut toujours scanner chaque message et chaque texte que vous envoyez, qu'ils soient cryptés de bout en bout ou non.

Si le projet de loi sur la sécurité en ligne est adopté dans sa forme actuelle, l'Ofcom pourra "ordonner aux entreprises d'utiliser, ou de faire les meilleurs efforts pour développer ou trouver, une technologie permettant d'identifier et de supprimer les contenus illicites d'abus sexuels sur les enfants - dont nous savons qu'elle peut être développée", a déclaré M. Scully.

En fin de compte, tout ce que nous avons, c'est une promesse. Le gouvernement britannique affirme qu'il n'obligera pas les applications de messagerie à utiliser une technologie non éprouvée pour détecter les contenus pédopornographiques, mais les pouvoirs nécessaires à cet effet figurent toujours dans le projet de loi. Le gouvernement peut changer d'avis à tout moment.

La pression des entreprises technologiques

Le changement de ton du gouvernement britannique est dû à la forte pression exercée par les entreprises technologiques. Par exemple, WhatsApp et Signal ont menacé de quitter le Royaume-Uni si le projet de loi sur la sécurité en ligne est adopté, car ils ne veulent pas affaiblir ou rompre leur chiffrement de bout en bout pour se conformer à la législation britannique.

Chez Tutanota, nous n'accepterons pas le projet de loi sur la sécurité en ligne.

Chez Tutanota, nous avons adopté une approche différente en déclarant que nous ne quitterions pas le Royaume-Uni, mais que ce dernier devrait bloquer l'accès à Tutanota, à l'instar de la Russie et de l'Iran.

Nous nous concentrons sur la sécurité et la vie privée de nos utilisateurs, aujourd'hui et à l'avenir. Au lieu de réfléchir à la manière de casser ou de contourner le cryptage, nous renforçons le cryptage en investissant d'ores et déjà dans le cryptage sécurisé post-quantique.

En tant qu'experts en technologie, nous comprenons la nécessité d'un cryptage de bout en bout et, en tant que combattants de la liberté, nous préférons nous battre devant les tribunaux contre le projet de loi sur la sécurité en ligne plutôt que de toucher à notre cryptage intégré qui protège les données de millions d'utilisateurs dans le monde entier. Nous n'avons pas cédé à la Chine ou à l'Iran qui bloquent déjà l'accès à Tutanota et nous ne le ferons pas pour le Royaume-Uni.

Notre passion est de nous battre pour votre droit à la vie privée.


Résumé du projet de loi sur la sécurité en ligne

Qu'est-ce que le projet de loi sur la sécurité en ligne ?

Le projet de loi sur la sécurité en ligne vise à faire du Royaume-Uni l'espace en ligne le plus sûr. Il oblige les plateformes à supprimer les contenus illégaux, tels que les contenus pédopornographiques, ainsi que les contenus interdits en vertu de leurs propres conditions.

Le projet de loi contient une série de nouvelles lois visant à protéger les enfants et les adultes en ligne. Les entreprises de médias sociaux devraient assumer une plus grande responsabilité quant au contenu publié sur leurs sites et retirer plus rapidement les contenus illégaux.

La première version du projet de loi sur la sécurité en ligne a été publiée en mai 2021, et il est fort probable que la forme actuelle du projet de loi soit adoptée à l'automne 2023.