Plus de 250 scientifiques et chercheurs se montrent, une fois de plus, très critiques à l’égard d’un projet européen visant à contourner le cryptage dans la lutte contre les images pédopornographiques. Techniquement irréalisable, dangereux pour la société et inutile comme solution, selon eux.
Bref rappel des faits: le Parlement européen avait l’année dernière déjà rejeté le plan en question, mais une nouvelle tentative a refait surface fin 2023. Ce projet crée en fait un cadre pour obliger les fournisseurs de services, en pratique les applications de messagerie populaires telles que WhatsApp ou Signal, à détecter le contenu CSAM (child sexual abuse material). Cela reviendrait à rendre inutile le cryptage de bout en bout (E2EE), même s’il n’est littéralement pas sapé.
Aujourd’hui, sous la présidence belge de l’UE, un nouveau texte existe, qui introduit deux changements: une recherche plus ciblée et un cryptage toujours bien présent. Mais les chercheurs familiers avec cette matière technique le rejettent néanmoins, tout comme ils l’avaient fait l’année dernière avec une précédente version.
‘On complique les choses, mais en fait, rien ne change’, explique à Data News le professeur de cryptographie Bart Preneel (KU Leuven). Dans une longue lettre ouverte, actuellement signée par 253 scientifiques et chercheurs, ces derniers mettent en garde contre les risques et l’inutilité de la mise en place d’un tel plan.
La surveillance demeure
Dans la nouvelle proposition, seules des recherches ciblées pourront être effectuées. Cela signifie que seuls les soi-disant ‘users of interest’ seront pointés du doigt pour une enquête plus approfondie à propos d’abus d’enfants. En pratique, cela signifie que chaque image ou message que vous enverrez, sera automatiquement scanné par votre appareil ou l’application. S’il/elle détecte deux fois une image connue d’abus pédo-sexuel, vous serez signalé en vue d’une enquête plus approfondie. S’il s’agit d’un contenu nouveau/inconnu, ce sera trois fois.
Mais cela n’élimine pas le risque d’erreurs, prévient la lettre ouverte. Et de citer l’exemple d’un parent qui envoie des photos sensibles à un médecin ou qui partage des photos de vacances en famille dans le groupe WhatsApp, qui pourraient être mal interprétées par un tel système. ‘Un père qui envoie des photos innocentes de ses enfants à sa compagne, va être pointé du doigt par un tel système.’
‘Supposons qu’un service comme WhatsApp traite 140 milliards de messages par jour, qu’1 sur 100 soit examiné par un tel système et que 0,1 pour cent soit signalé comme faux positif, on en arrive encore et toujours à 1,4 million de messages erronément signalés par jour!’, fait observer Preneel. ‘Le genre de raisonnement qui émane de gens qui ne comprennent pas les statistiques.’
La proposition veut que cela ne soit appliqué qu’aux environnements dits à haut risque, ce qui est aussi relatif. Dès qu’il s’agit de messages privés cryptés provenant d’une appli populaire, cela suffit pour représenter un risque élevé. Des services tels que WhatsApp, (messages privés sur) Instagram, Messenger ou Telegram tomberaient de toute façon sous le coup du projet.
Dans le même temps, les scientifiques notent que les diffuseurs de contenu CSAM seront probablement les premiers à passer à d’autres applications non (encore) couvertes par le projet. Un tel système de détection ne peut pas non plus se limiter, par exemple, aux personnes connues pour des faits de mœurs. Même s’ils utilisaient une version différente d’une application populaire, cela se remarquerait techniquement, et ils se tourneraient assez rapidement vers des applis alternatives pour effectuer leurs activités.
Le cryptage seulement théoriquement intact
Un autre point est que la proposition ne supprime pas le cryptage bout à bout et que les acteurs de l’internet ne sont pas obligés de décrypter ou d’affaiblir cette sécurité, mais le scannage côté client (CSS) analyse un message juste avant qu’il ne soit envoyé ou juste après son arrivée.
‘C’est jouer avec les mots’, affirme Preneel. ‘Crypter quelque chose signifie que personne, à l’exception de l’expéditeur et du destinataire, donc à coup sûr pas le gouvernement, ne peut voir le contenu. Si le gouvernement peut surveiller votre appareil, le cryptage devient inutile. Pour l’utilisateur, cela revient à le supprimer.’
Atteinte à la sécurité
Le fait que de tels systèmes soient implémentés depuis l’Europe, aura une conséquence supplémentaire, à savoir que les pays moins démocratiques en voudront également. ‘Les dictateurs en seront de grands adeptes. Nous créons des fonctionnalités qui sont particulièrement utiles dans les pays qui veulent traquer les dissidents.’
Selon les experts, cela créera un précédent au niveau du filtrage d’internet et portera pour les citoyens atteinte à la sécurité leur vie privée. La lettre fait observer que les jeunes en particulier seront touchés, car ils dépendent le plus des services en ligne pour leurs interactions sociales. En même temps, cela risque également de saper la démocratie dans des pays où elle est déjà fragile.
Enfin, toujours selon eux, il n’y a aucune garantie que le ‘client side scanning’ (scannage côté client) ne pose pas lui-même des problèmes de sécurité pour que, par exemple, des criminels puissent facilement vérifier ce qui est envoyé par les individus sur les applis populaires.
Technologie non fiable
Un autre point de critique est que le projet de loi introduit également la vérification de l’âge, afin de lutter entre autres contre le grooming, par lequel les agresseurs cherchent à entrer en contact avec des mineurs. Ici aussi, les signataires sont d’avis qu’il n’existe pas encore de solution technologique éprouvée pour ce faire avec certitude, sans protéger la vie privée de la personne concernée. ‘Intégrer cela en toute sécurité constitue également un défi’, soulignent-ils.
En outre, ils dénoncent le fait que les personnes à l’origine de la proposition n’ont pas consulté d’experts depuis son rejet, il y a un an, pour comprendre les dangers pour la sécurité et la vie privée et pour prendre conscience de ce qui est techniquement faisable.
La lutte contre le contenu CSAM peut se faire différemment
Dans la lettre, les scientifiques soulignent explicitement qu’ils soutiennent la lutte contre les images d’abus sexuels sur enfants et estiment que les gouvernements, les prestataires de services et la société doivent s’attaquer à ce problème.
Mais les solutions technologiques qui mettent en danger la vie privée et la sécurité de la société dans son ensemble, d’une part, et qui peuvent être contournées par ceux qui le veulent vraiment, d’autre part, doivent être bannies. Il n’est par exemple pas inconcevable que quelqu’un équipe son téléphone d’une version légèrement modifiée d’Android avec une version modifiée de WhatsApp qui n’intègre pas cette détection.
Au lieu de cela, les chercheurs font référence aux recommandations de l’ONU, telles qu’une meilleure formation sur le consentement, les normes et les valeurs, la littératie numérique, la sécurité en ligne, l’éducation sexuelle et les lignes d’assistance pour les questions sensibles.
Les acteurs technologiques peuvent également jouer un rôle à cet égard, par exemple en affichant des informations spécifiques pour certains termes de recherche en signe d’aide, ou en se concentrant sur des résultats qualitatifs pour ces sujets.
‘La police a le devoir de faire son travail, elle a le droit de traquer ces gens. Avec cette lettre ouverte, nous disons simplement que ce que cette proposition tente de faire, n’est pas possible dans une démocratie, et que cela ne fonctionnera pas non plus. Les auteurs utiliseront en effet d’autres applications, pirateront la technologie et peut-être même que d’autres personnes seront faussement accusées. Il n’est pas besoin de créer un tel système, il faut intervenir sur le terrain, non pas en attaquant le cryptage ni en introduisant l’analyse côté client.’
‘Pire que la NSA’
‘C’est comparable à la loi belge sur la rétention des données (qui a été votée il y a déjà dix ans, qui a été rappelée par la suite et qui en est maintenant à sa troisième version, ndlr). Elle aussi était inconstitutionnelle. Nous ne comprenons pas ce que la Belgique essaie de faire.’
De nouvelles versions de la loi sont en cours d’élaboration régulière. La lettre ouverte est basée sur la version du 13 mars, mais selon Preneel, les changements récents ne changent pas la structure du projet de loi.
Le professeur de cryptographie craint que les règles ne soient finalement introduites et que la lutte contre l’abus d’enfants serve surtout à forcer l’entrée, car les politiciens ne s’opposeront pas facilement à la lutte contre celle-ci. ‘J’ignore si la lutte contre le contenu CSAM est le point final, parce qu’ensuite, la loi pourra aussi être utilisée contre le terrorisme, contre le crime organisé, etc., etc.’
Prneel établit explicitement la comparaison avec la NSA américaine, dont on sait depuis 2013 qu’elle a mis sur écoute presque tout le monde via les grandes firmes internet. ‘Avec une telle loi, les gouvernements et les services de police veulent contrôler tous les systèmes et donc surveiller en temps réel ce qui se passe dans le cloud. C’est ce que fait la NSA, mais en pire.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici