Cet article fait référence à une session du RightsCon de cette année, un sommet sur les droits de l’homme à l’ère numérique. L’événement a eu lieu au Costa Rica la semaine dernière, avec la participation d’ExpressVPN.
Depuis des années, des pays du monde entier tentent de supprimer le chiffrement de bout en bout des applications de messagerie afin que les communications puissent être surveillées à la recherche de contenus illégaux, à savoir des images d’abus sexuels sur des enfants, et d’informations susceptibles d’aider les forces de l’ordre. (Voici un bref aperçu de l’état actuel des choses dans les pays occidentaux.)
La conversation tournait autour de la possibilité de mettre en place des “portes dérobées”, ou l’accès aux communications cryptées par les forces de l’ordre. Ces dernières années, analyse côté client est apparu comme une méthode potentielle pour surveiller les messages tout en maintenant le cryptage. Cela fonctionne en analysant les messages sur votre appareil avant que les messages ne soient envoyés, avec un contenu suspect signalé pour un examen plus approfondi.
Les hauts dirigeants de quatre entreprises technologiques se sont rencontrés cette année RightsCon pour une discussion sur l’importance du cryptage de bout en bout – qui est considéré par les experts en sécurité comme essentiel pour la confidentialité – et les efforts législatifs pour le saper. Le panel comprenait Meredith Whittaker, présidente de Signal; Will Cathcart, responsable de WhatsApp chez Meta ; Raphaël Robert, PDG de Phoenix R&D ; et Matthew Hodgson, PDG d’Element.
Nous décomposons certains des points de discussion qui ont été soulevés dans cette conversation.
Le cryptage améliore la sécurité, et non l’inverse
Will Cathcart a été invité à indiquer si EE2E enlève la responsabilité des plates-formes pour assurer la sécurité des utilisateurs. Il a contré cette idée par ce qui suit :
- EE2E assume la responsabilité des entreprises pas conserver une copie des messages de chacun.
- La principale crainte que les gens ont autour de leur activité en ligne est de perdre le contrôle de leurs informations personnelles au profit des pirates. Avoir des messages piratés ou perdus à partir d’un serveur est un résultat pire que les risques supposés posés par l’utilisation d’EE2E.
- Les sociétés de messagerie utilisent d’autres méthodes pour assurer la sécurité, comme permettre aux utilisateurs de signaler des comptes et d’interdire des comptes.
- Meredith Whittaker a ajouté qu’il n’y a aucune preuve dans l’histoire que la surveillance de masse ait jamais conduit à la sécurité. De plus, la surveillance centralisée est plus répandue que jamais.
L’analyse côté client sape toujours le chiffrement
Les panélistes ont largement convenu que l’analyse côté client n’est pas acceptable, du point de vue de la confidentialité.
- Avoir un chiffrement parallèlement à l’analyse côté client n’a aucun sens, car les analyses saperont le chiffrement.
- Il n’est pas possible de maintenir la confidentialité avec l’analyse côté client. Dire le contraire est une pensée magique, dit Whittaker, en partie alimentée par des récits entourant l’intelligence de l’IA.
- Les politiciens ont été convaincus que nous pouvons compter sur ces scans pour incriminer les gens – un exploit des entreprises qui fabriquent la technologie de numérisation.
Les utilisateurs quotidiens apprécient les communications privées
Parmi les utilisateurs, l’importance du cryptage peut sembler abstraite. Cathcart a déclaré que le sujet devrait être discuté de manière pertinente.
- La recherche de “mauvais” contenu dans les applications de messagerie revient à avoir une conversation en personne à côté d’une caméra de vidéosurveillance qui utilise l’IA pour vous surveiller.
- Nous devrions aider les profanes à réfléchir concrètement aux effets d’une perte de cryptage, comme la perte de sécurité chez les journalistes, les gouvernements et les entreprises.
- Matthew Hodgson a déclaré que dans une récente enquête menée par sa société, 83% des répondants britanniques ont déclaré vouloir avoir EE2E pour protéger leurs communications.
La confidentialité à l’ère de l’IA
Whittaker a été invité à parler des effets de l’IA sur notre vie privée et de la mesure dans laquelle EE2E peut faire la différence. Quelques points qu’elle a soulevés :
- L’IA nécessite d’énormes quantités de données et repose sur la surveillance de ces données. L’IA est un enracinement et une justification d’un modèle commercial de surveillance.
- La communication EE2E garde les données hors de la surveillance de l’IA, mais ce n’est pas la réponse, car il y a beaucoup de données collectées à notre sujet auxquelles nous ne consentons pas et qui ne peuvent pas être arrêtées par EE2E.
- La conviction que l’IA est extrêmement intelligente ou magique, comme le vantent les entreprises technologiques, renforce les notions exagérées de ce que la technologie peut faire, ce qui se traduit par une législation qui prend en charge la technologie comme l’analyse côté client.
- Nous devons repousser les messages de pensée magique entourant la technologie.
Pays où le chiffrement de bout en bout est menacé
Voici une introduction à la législation dans les pays occidentaux qui pourrait supprimer EE2E. Ces lois pourraient obliger les entreprises à créer ou à utiliser des technologies tierces pour analyser les messages sur les appareils, si elles souhaitent continuer à utiliser EE2E. Bien que les analyses posent déjà des problèmes de confidentialité (voir ci-dessus), un autre problème est que si les entreprises ne sont pas en mesure d’intégrer une telle technologie, elles devraient supprimer EE2E pour se conformer à la loi.
- Le projet de loi sur la sécurité en ligne du Royaume-Uni est probablement en phase finale de devenir loi. Il demande aux entreprises de messagerie d’identifier le contenu pédopornographique envoyé. Signal a dit le service quittera le Royaume-Uni s’il est obligé d’affaiblir la confidentialité, WhatsApp combattant également la loi.
- Aux États-Unis, la loi EARN IT a été introduite pour la troisième fois en avril de cette année, après avoir échoué deux fois à devenir loi. La loi appelle à la création d’une commission nationale chargée de dresser une liste des meilleures pratiques pour les entreprises de technologie, dans le but d’arrêter la distribution de matériel pédopornographique.
- L’année dernière, l’UE a proposé la loi sur le contrôle du chat, qui obligerait les services de messagerie à rechercher du matériel lié à l’abus sexuel d’enfants et au terrorisme. Cependant, des conseils juridiques internes qui ont fait l’objet d’une fuite indiquaient que la réglementation serait probablement considérée comme illégale.
- En 2018, l’Australie a adopté l’Assistance and Access Act, qui permet au gouvernement d’obliger les entreprises à transmettre les données des utilisateurs même si elles sont protégées par cryptage.