La technologie de cryptage utilisée par l’Ukraine pour se défendre contre l’invasion russe pourrait être mise en danger par les mesures du projet de loi sur la sécurité en ligne actuellement en cours d’examen au Parlement.
Le PDG d’une société qui fournit la technologie de cryptage de bout en bout (E2EE) utilisée en Ukraine a averti que les propositions du projet de loi visant à exiger une analyse automatique des messages avant qu’ils ne soient cryptés pourraient saper les opérations militaires dans le pays.
Matthew Hodgson, PDG du spécialiste du cryptage Element, a déclaré à CFP que les dispositions du projet de loi sur la sécurité en ligne visant à identifier les communications liées au terrorisme pourraient être subverties par des pirates informatiques de l’État pour identifier la force militaire des opposants.
« Imaginez que vous êtes en Ukraine et que vous utilisez Element pour communiquer avec le ministère de la Défense, et que tout à coup les Britanniques pensent que c’est une bonne idée de commencer à stocker tous les messages qui font référence aux bombes. Si vous êtes russe, vous allez évidemment jeter tout ce que vous pouvez pour accéder à ces archives d’informations », a-t-il déclaré.
Hodgson s’exprimait alors que la National Crime Agency (NCA) et les organismes d’application de la loi partenaires intensifiaient les critiques du propriétaire de Facebook, Meta, sur ses plans d’étendre le cryptage de bout en bout sur ses services de messagerie.
Dans une déclaration publiée pour coïncider avec l’adoption du projet de loi sur la sécurité en ligne par la Chambre des Lords, la NCA, qui fait partie du groupe de travail mondial virtuel de 15 organismes d’application de la loi, a déclaré que Meta faisait un « choix de conception délibéré » qui affaiblirait sa capacité à protéger les enfants contre les abus.
La déclaration indique que l’E2EE a eu un « impact dévastateur » sur la capacité des forces de l’ordre à identifier, poursuivre et poursuivre les contrevenants lorsqu’il est mis en œuvre d’une manière qui affecte la détection de la maltraitance des enfants.
Analyse côté client
Le projet de loi sur la sécurité en ligne donnera au régulateur, Ofcom, le pouvoir d’exiger des entreprises de communication qu’elles installent une technologie, connue sous le nom de numérisation côté client (CSS), pour analyser le contenu des messages à la recherche d’abus sexuels sur enfants et de contenus terroristes avant qu’ils ne soient cryptés.
Le ministère de l’Intérieur maintient que l’analyse côté client, qui utilise un logiciel installé sur le téléphone ou l’ordinateur d’un utilisateur, est capable de préserver la confidentialité des communications tout en contrôlant les messages à la recherche de contenu criminel.
Mais Hodgson a déclaré à CFP qu’Element n’aurait d’autre choix que de retirer son application de communication cryptée par téléphone mobile du Royaume-Uni si le projet de loi sur la sécurité en ligne était adopté dans sa forme actuelle.
Element fournit des communications cryptées aux gouvernements, notamment au Royaume-Uni, en France, en Allemagne, en Suède et en Ukraine.
« Il n’y a aucun moyen sur Terre que l’un de nos clients envisage tous cette configuration. [client-side scanning], donc évidemment, nous ne mettrions pas cela dans le produit de l’entreprise », a-t-il déclaré.
« [The Online Safety Bill] signifierait que nous ne serions pas en mesure de fournir une application de messagerie sécurisée grand public au Royaume-Uni. Cela tournerait en dérision notre position en tant que fournisseur de communications sécurisées. »
Matthew Hodgson, Élément
« Mais cela signifierait également que nous ne serions pas en mesure de fournir une application de messagerie sécurisée grand public au Royaume-Uni. Cela tournerait en dérision notre position en tant que fournisseur de communications sécurisées », a-t-il ajouté.
Si cela devait se produire, le Royaume-Uni rejoindrait la Chine en tant que seul pays à avoir effectivement interdit le service de communications cryptées d’Element.
D’autres services de communications cryptées, y compris WhatsApp et Signal, ont indiqué qu’ils ne seraient plus en mesure de fournir des services de messagerie cryptés au Royaume-Uni si le projet de loi sur la sécurité en ligne allait de l’avant dans sa forme actuelle.
Violation de la vie privée
Hodgson a déclaré que les politiciens britanniques avaient été séduits à tort par les affirmations des sociétés de logiciels de numérisation selon lesquelles la numérisation côté client est une « solution miracle » qui peut rechercher de manière fiable du contenu abusif sans détruire la vie privée.
Même si CSS ne casse pas le cryptage en transit, la technologie signifie que la vie privée des utilisateurs est « complètement violée » en exposant les messages à l’analyse par des modérateurs tiers, soit avant le cryptage, soit après le décryptage.
« C’est très similaire à exiger que vous ayez une caméra de vidéosurveillance fournie par le gouvernement dans chaque pièce de votre maison qui fonctionnera 24 heures sur 24, 7 jours sur 7. Il utilisera un algorithme inconnu pour détecter les mauvaises choses, qui seront signalées à une équipe de modération privée fournie par les personnes qui ont construit votre maison », a-t-il déclaré.
« Nous n’accepterions jamais cela dans la vie réelle, et ce n’est pas parce que vous pouvez techniquement implémenter cela dans un environnement logiciel que c’est la bonne réponse », a-t-il ajouté.
Risques de piratage
Même si le système fonctionnait parfaitement, CSS crée de nouveaux risques de sécurité qui peuvent être exploited par des pirates, qui pourraient accéder à la technologie, insérer de nouvelles règles et potentiellement accéder à un « énorme pot de miel » de données exfiltrées à partir de communications cryptées et collectées par l’équipe de modération.
« Si vous êtes un agresseur d’enfants et que vous voulez avoir accès à du contenu pédopornographique, eh bien. [with client-side scanning] Vous venez de créer un mécanisme qui l’agrège en un seul endroit et permet aux mauvais acteurs de le parcourir », a-t-il déclaré.
Hodgson soutient que l’analyse côté client de la messagerie cryptée n’est pas nécessaire pour détecter le terrorisme et les abus sexuels sur les enfants, car les délinquants sont susceptibles de laisser des empreintes digitales de leurs activités sur Internet.
« Les gens qui publient de tels documents doivent être découvrables, et à la seconde où ils sont découvrables, ils s’exposent en laissant une trace de fil d’Ariane que les enquêteurs peuvent suivre », a-t-il déclaré.
Les enquêteurs sont en mesure de traquer les pédophiles grâce à un travail d’infiltration sur Internet, en rejoignant des communautés ou en utilisant des robots contrôlés par l’intelligence artificielle pour interagir avec les délinquants. « C’est ce genre d’approche que nous utilisons aujourd’hui et qui fonctionne relativement efficacement », a-t-il déclaré.
Le seul scénario où ces techniques ne sont pas efficaces est celui où un délinquant agit comme un « loup solitaire » ciblant les gens sur Internet. Mais le risque des loups solitaires est tout aussi vrai dans le monde physique.
« Que faites-vous? Donnez-vous à la police le pouvoir général d’entrer par effraction dans les chambres des gens au hasard s’ils soupçonnent quoi que ce soit? Ou éduquez-vous les enfants pour vous assurer que c’est mauvais et qu’ils devraient le signaler? », a-t-il déclaré.
Les entreprises technologiques peuvent également utiliser les métadonnées des communications cryptées pour identifier les contrevenants potentiels, y compris les loups solitaires, en identifiant les communications suspectes, qui peuvent faire l’objet d’une enquête plus approfondie par les forces de l’ordre agissant en vertu d’un mandat.
« Un bon exemple est si vous avez un utilisateur de 50 ans qui continue de contacter un enfant à quatre heures du matin et semble envoyer des images dans les deux sens », a-t-il déclaré.
Approbation judiciaire
Tim Clement-Jones, un pair libéral-démocrate, a déposé des amendements au projet de loi sur la sécurité en ligne dans le but d’obtenir plus de clarté sur les plans du gouvernement pour surveiller les messages envoyés à l’aide d’un cryptage de bout en bout.
L’article 110 du projet de loi donne à l’Ofcom la possibilité d’émettre des avis technologiques, exigeant que les services de messagerie privée mettent en place une technologie « accréditée » pour filtrer le contenu des messages, y compris les messages privés envoyés par téléphone mobile.
L’amendement de Clement-Jones exigera que l’organisme de réglementation demande l’approbation d’un juge avant d’émettre un avis technologique, dans le but de s’assurer que la vie privée des utilisateurs du service est prise en compte et que les mesures sont proportionnelles.
Un deuxième amendement vise à déterminer si l’Ofcom devra se conformer à la loi de 2000 sur la réglementation des pouvoirs d’enquête, qui régit la surveillance, avant de donner un avis technique à un service de messagerie cryptée de bout en bout.
Un avis juridique commandé par Index on Censorship à Matthew Ryder KC, publié en novembre 2022, a révélé que les avis techniques émis par l’Ofcom équivalaient à une surveillance de masse imposée par l’État.
« L’Ofcom aura un mandat plus large sur les pouvoirs de surveillance de masse des citoyens britanniques que les agences d’espionnage britanniques, telles que le GCHQ (en vertu de la loi de 2016 sur les pouvoirs d’enquête) », a écrit Ryder.
Les pouvoirs de surveillance proposés par le projet de loi sur la sécurité en ligne ne seraient probablement pas conformes à la loi et pourraient faire l’objet d’une contestation judiciaire, a-t-il déclaré. « Actuellement, ce niveau de surveillance de l’État ne serait possible en vertu de la Loi sur les pouvoirs d’enquête que s’il existe une menace pour la sécurité nationale. »
Hodgson a déclaré que même si l’obtention de l’approbation légale d’un juge fournirait plus de freins et contrepoids, cela ne résoudrait pas les risques posés par l’infrastructure d’analyse nécessaire pour inspecter les messages sur les services cryptés – un « cheval de Troie » qui pourrait être réquisitionné par des pirates informatiques ou des États hostiles pour accéder au contenu des messages cryptés.
Element s’appuie sur des logiciels open source, des versions reproductibles et une nomenclature sécurisée pour garantir la sécurité de ses services.
« L’idée qu’avoir un blob binaire qui est inséré, qui restera dormant jusqu’à ce qu’un mandat soit émis, est une menace identique à la menace que nous voyons s’il n’y avait pas de mandat impliqué », a-t-il déclaré.
Au lieu de cela, le gouvernement devrait exempter les applications cryptées de l’analyse de contenu.
Le projet de loi devrait passer par 10 ou 12 jours d’audiences de comité à la Chambre des lords avant d’atteindre l’étape du rapport et sa troisième lecture finale d’ici juillet 2023.
Technologie3 ans ago
Monde3 ans ago
Technologie1 an ago
Monde3 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago