Nouvels de cryptographie

Les services secrets néerlandais s'opposent à la numérisation côté client, ce qui fait échouer les efforts de la Hongrie pour contrôler les chats !

Pour la énième fois, le Conseil de l'UE ne parvient pas à se mettre d'accord sur le contrôle des bavardages - une grande victoire pour la vie privée.

Hungary can't let go: Why this attempt to vote for Chat Control must fail as well.

Un mois de plus, une nouvelle tentative : Même si la Hongrie a dû annuler le dernier vote du Conseil de l'UE sur le règlement relatif aux abus sexuels sur les enfants (CSA) en juin 2024 parce qu'il n'y avait pas de majorité parmi les États membres, elle a réessayé ce mercredi - sans succès. Le point de bascule a été la publication par les services secrets néerlandais de leur avis sur l'énorme menace qui pèse sur la sécurité de tous en cas d'affaiblissement du chiffrement de bout en bout. Le chiffrement est primordial pour la résilience numérique en Europe.

Pourquoi le “Chat Control” menace le chiffrement

Au cœur du règlement de la CSA se trouve la mise en œuvre de la “modération du téléchargement”, ou analyse côté client. La modération de l’upload n’est en fait qu’un euphémisme utilisé par les politiciens de l’UE pour mettre fin à la résistance constante du public contre cette loi dangereuse. L’analyse côté client - si elle est exigée par la loi - demanderait aux entreprises technologiques d’analyser les communications à la recherche de contenus illégaux sur le client avant que le cryptage n’ait lieu et d’envoyer les contenus suspects aux autorités. La présidence hongroise prétend que cela peut coexister avec le chiffrement de bout en bout, mais c’est fondamentalement faux.

Le chiffrement de bout en bout garantit que seuls l’expéditeur et le destinataire peuvent lire un message. Cependant, avec l’analyse côté client, les messages sont analysés avant d’être cryptés, ce qui va à l’encontre de l’objectif même du cryptage. Cela revient à affaiblir le chiffrement, ce qui serait incroyablement dangereux pour la résilience numérique de l’Europe. En l’état actuel des choses, il n’existe aucune solution technique permettant de préserver la sécurité du chiffrement de bout en bout tout en répondant aux exigences de la proposition de la CSA en matière de détection de contenu.

Pourquoi cette question est plus importante que jamais

La proposition actuelle de la CSA introduit donc de nouveaux risques alarmants pour la sécurité numérique et la vie privée. En rendant obligatoire l’analyse des messages cryptés, la proposition expose les utilisateurs à une multitude de nouvelles vulnérabilités.

  • Des attaquants malveillants volent vos données avant qu’elles ne soient cryptées : L’analyse côté client permet aux pirates d’exploiter les failles du système et d’accéder à des données privées et sensibles avant qu’elles ne soient cryptées.
  • Attaques par déni de service distribué (DDoS ) : Plus les systèmes sont complexes, plus les points de défaillance sont nombreux. En mettant en œuvre l’analyse côté client, les fournisseurs de services pourraient devenir vulnérables aux attaques par déni de service, ce qui perturberait la disponibilité.
  • Manipulation du système CSAM : Les systèmes utilisés pour détecter les contenus illicites pourraient être manipulés, ce qui conduirait à de fausses accusations ou à l’exploitation criminelle de mécanismes de détection défectueux.
  • Rétro-ingénierie : Les logiciels de balayage pourraient faire l’objet d’une ingénierie inverse par des pirates ou des acteurs étatiques afin de contourner les protections de sécurité, ce qui pourrait exposer des systèmes entiers à un accès non autorisé.
  • Exploitation par un État-nation : Nous avons déjà vu comment des acteurs sophistiqués, tels que les pirates informatiques de l’État chinois, par exemple, lorsqu’ils attaquent Microsoft, exploitent des portes dérobées dans des systèmes conçus pour la surveillance légale. L’affaiblissement du chiffrement ou l’introduction de mécanismes de balayage offrira aux acteurs malveillants de nouvelles possibilités de compromettre la sécurité nationale.

Ces risques sont accrus si l’analyse côté client devient une obligation légale pour les services de messagerie électronique et de dialogue en ligne. En fait, la proposition de règlement CSA de l’UE diminue la sécurité de tous en ligne, au lieu de l’augmenter.

La Chine a piraté AT&T grâce à des écoutes téléphoniques légales

Une récente cyberattaque liée à des acteurs de l’État chinois a mis en évidence des vulnérabilités dans les réseaux américains à large bande, en particulier ceux utilisés pour les écoutes téléphoniques légales, comme l’a rapporté le Wall Street Journal. Lors de ce piratage, les attaquants chinois ont eu accès à l’infrastructure des réseaux de Verizon Communications, AT&T et Lumen Technologies pendant des mois. Les attaquants ont abusé des mêmes points d’accès que ceux utilisés par ces entreprises pour coopérer avec les demandes légales des autorités américaines.

Si des systèmes destinés à garantir la sécurité publique peuvent être violés, comme ce fut le cas dans cette affaire, il serait désastreux d’introduire des faiblesses similaires dans le chiffrement des citoyens de l’UE.

Cette attaque illustre la nécessité de sécuriser au maximum nos systèmes pour qu’ils restent résistants, comme l’a souligné le service de renseignement néerlandais.

Selon le Wall Street Journal, de hauts fonctionnaires américains sont du même avis, avertissant que la Chine représente un risque important pour l’économie et la sécurité nationale, un risque qui ne doit pas être accru par l’affaiblissement du cryptage dans nos propres systèmes, quel qu’en soit l’objectif. Brandon Wales, ancien directeur exécutif de l’Agence pour la cybersécurité et la sécurité des infrastructures, aujourd’hui vice-président de SentinelOne, s’est confié au Wall Street Journal:

“Il faudra du temps pour comprendre la gravité de la situation, mais en attendant, c’est la plus importante d’une longue série d’alertes qui montrent que la RPC (République populaire de Chine) a intensifié son jeu cybernétique. Si les entreprises et les gouvernements ne prenaient pas ce problème au sérieux auparavant, ils doivent absolument le faire maintenant.

Nous ne devons tout simplement pas permettre aux autorités d’ouvrir des portes dérobées dans les communications cryptées. Une porte dérobée est une porte dérobée et ne peut être protégée contre les attaquants étatiques. Le cryptage doit être solide.

L’opposition néerlandaise comme point de basculement

Dutch intelligence service opposes client-side scanning Les services de renseignement néerlandais s’opposent au balayage côté client.

C’est ce que souligne le report du vote de la semaine dernière sur le règlement CSA, qui a été annulé au pied levé en raison de l’opposition des Pays-Bas, un État membre de l’UE qui, à l’instar de l’Allemagne, est désormais solidement positionné contre le balayage côté client.

Les Pays-Bas ont déclaré très clairement (source néerlandaise):

“L’introduction d’une application de balayage sur chaque téléphone portable avec une infrastructure associée de systèmes de gestion créerait un système extrêmement vaste et complexe. Ce système complexe a donc accès à un grand nombre d’appareils mobiles et aux données personnelles qu’ils contiennent. L’AIVD estime que les risques pour la résilience numérique sont trop importants.

Le commentaire ci-dessus n’a été fait par personne, mais par l’influent service de renseignement néerlandais . En résumé, ils ont déclaré : “L’application d’ordres de détection aux fournisseurs de communications cryptées de bout en bout entraîne un risque de sécurité trop important pour notre résilience numérique.”

Il faut arrêter la Hongrie

Les dangers liés à la compromission du cryptage sont évidents. Pourtant, et bien que la Cour européenne ait déclaré illégal le balayage côté client tel qu’il est proposé dans Chat Control, la Hongrie continue de promouvoir cette solution profondément défectueuse, en ignorant les preuves de plus en plus nombreuses qui en soulignent les risques. Il est alarmant de constater qu’alors que les critiques à l’ encontre du Chat Control se poursuivent, l’opposition au Chat Control s’est affaiblie. Des États membres clés comme les Pays-Bas, l’Allemagne, la Pologne et d’autres ont exprimé une forte résistance, mais la Hongrie continue de rallier des soutiens.

Les pays favorables à la proposition, tels que l’Espagne, la Grèce et l’Irlande, sous-estiment peut-être les conséquences à long terme de l’affaiblissement du chiffrement.

Voici la répartition actuelle des positions des États membres :

  • Opposants : Pologne, Allemagne, Pays-Bas, Luxembourg, Autriche, Estonie et Slovénie.

  • Prudents : la Tchécoslovaquie, l’Italie, la Suède et la Finlande ont exprimé le besoin de perfectionnements techniques supplémentaires.

  • Favorable : Espagne, Grèce, Irlande, Danemark, Croatie, Chypre, Malte, Lituanie, Lettonie et Roumanie.

Une opposition plus forte est nécessaire

La diminution de l’opposition au contrôle des bavardages est inquiétante. Mais si le soutien à la proposition de l’ASC s’accroît, les raisons de s’y opposer n’ont jamais été aussi claires. L’affaiblissement du cryptage pour atteindre un objectif à court terme entraînera des risques à long terme pour la sécurité de tous les Européens. L’intégrité de nos communications, la sécurité de nos données personnelles et la vie privée de millions de personnes sont en jeu.

L’UE doit reconnaître qu’il existe de meilleurs moyens de lutter contre les préjudices en ligne sans compromettre le cryptage. Les forces de l’ordre peuvent et doivent utiliser d’autres méthodes plus sûres pour lutter contre les contenus pédopornographiques, au lieu de demander aux entreprises technologiques d’affaiblir la sécurité de leurs services.

La lutte pour un chiffrement fort se poursuit

Le chiffrement est l’épine dorsale de la sécurité numérique. Il protège les individus contre l’exploitation criminelle, garantit la confidentialité des communications personnelles et préserve la sécurité nationale. Lorsque le chiffrement est affaibli, il devient vulnérable à l’exploitation par quiconque dispose des ressources nécessaires pour trouver et exploiter ses failles, qu’il s’agisse de cybercriminels ou de gouvernements étrangers hostiles.

L’initiative hongroise en faveur du contrôle du chat doit échouer. Les enjeux sont tout simplement trop importants pour permettre à cette proposition de passer sans contrôle.

Les citoyens européens méritent un chiffrement fort et sans compromis pour protéger leur vie privée, leur sécurité et leur sûreté. Et nous, chez Tuta, nous continuerons à nous battre pour votre droit au chiffrement!

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.