Le projet de surveillance des réseaux sociaux fait un tollé à Maurice

Le projet de surveillance des réseaux sociaux fait un tollé à Maurice

Supermen in the middle

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

14/05/2021 9 minutes
13

Le projet de surveillance des réseaux sociaux fait un tollé à Maurice

La proposition du régulateur mauricien des télécommunications (ICTA) de déployer un « nouvel ensemble d'outils techniques » afin d'intercepter, décrypter, archiver, inspecter voire bloquer le trafic https des réseaux sociaux fait bondir les ONG de défense des libertés, mais également Mozilla et Google, qui avaient déjà bloqué un projet kazakh similaire.

La proposition de l'ICTA, soumise à consultation depuis le 14 avril, avait rapidement fait scandale, d'abord sur Twitter, puis dans la presse mauricienne, comme le rappelle cette chronologie de lexpress.mu.

Pour rappel, elle permettrait à l'ICTA, en cas de plainte, de : 

  • bloquer la page web incriminée sans bloquer l'ensemble du site de médias sociaux ;
  • bloquer un faux profil et en déterminer l'auteur sans qu'il soit nécessaire de contacter l'administrateur du réseau social) ;
  • déterminer l'adresse IP d'origine d'un commentaire offensant ;
  • une fois le décryptage effectué, envoyer le trafic à un logiciel d'analyse de données doté d'une fonction de rapport avancée pour pouvoir rechercher des mots-clés spécifiques, des commentaires postés, etc. 

Fin avril, l'ICTA avait réagi en publiant un communiqué précisant qu'elle « réaffirme que seuls les abus sur les réseaux sociaux publics font l’objet de sa proposition ». Elle réfutait « catégoriquement » les « fausses informations » comprenant « de nombreuses erreurs », à commencer par le fait que l'outil proposé pourrait « filtrer toutes les connexions de n’importe quel site web ou application », ou encore qu'il pourra « dans le futur monitorer et sauvegarder toutes les données » des internautes mauriciens.

Réitérant que « les communications privées sont inviolables de par la Constitution », l’ICTA précisait « encore une fois que ce ne sont que les données relatives aux réseaux sociaux publics qui pourraient transiter par l’outil technologique que le régulateur se propose d’utiliser » :

« Tout le reste du trafic Internet n’est absolument pas concerné par cette proposition. De ce fait, contrairement à ce qui est dit, à aucun moment l’ICTA n’aura accès aux mots de passe, login, et autres données privées des internautes ».

Elle concluait son communiqué en rappelant que « l’objectif de la proposition et de la consultation élargie a pour objectif de trouver la meilleure solution possible aux nombreux abus, dérapages et « fake news » sur les réseaux sociaux à caractère public uniquement ».

Mais également qu'« il sera également nécessaire d’établir des cadres légaux et techniques pour garantir que cet outil soit utilisé d’une manière qui respecte la Constitution et les droits des citoyens », laissant donc également, et paradoxalement, entrevoir que ces derniers pourraient donc pâtir de ces futurs « cadres légaux et techniques » encore indéterminés.

Elle vient en outre de publier une vidéo, en créole mauricien, censée dénoncer ce qu'elle présente comme 7 contre-vérités : 

 

Les défenseurs des libertés pas (du tout) convaincus

De fait, ce démenti n'a pas du tout convaincu la cinquantaine d'ONG de défense des libertés, dont Access Now, RSF, l'Electronic Frontier Foundation, le Committee to Protect Journalists, Global Voices et Wikimedia France qui ont, ce mercredi 12 mai, appelé Maurice à abandonner son projet.

Elles estiment en effet que « dans sa forme actuelle, ce projet potentiellement dangereux menace la vie privée et la liberté d'expression des habitants de Maurice ».

« Les amendements proposés dans le document de consultation de l'Autorité des technologies de l'information et de la communication de Maurice vandaliseraient la vie privée et porteraient atteinte à la liberté d'expression pour les années à venir », a déclaré Bridget Andere, chargée de politique africaine chez Access Now .

La coalition soulève une série de problèmes :

  • L'ensemble d'outils techniques nécessitant l'interception, le décryptage et l'archivage de tout le trafic Internet – y compris le trafic des réseaux sociaux – cassera le chiffrement et, avec lui, la confidentialité et la sécurité des communications des utilisateurs. De plus, cela permettrait aux autorités de fermer facilement des sites Web et des services entiers ;
  • Le décryptage et l'archivage obligatoires de tout le trafic des réseaux sociaux constituent une atteinte à la vie privée, à la liberté d'expression et à d'autres droits, et ne sauraient entraîner les utilisateurs qui ne consentent pas à cette proposition à se voir refuser l'accès aux services en ligne, ce qui équivaudrait à une censure arbitraire et illégale ;
  • Un organe administratif tel que le Comité national d'éthique numérique ne devrait pas avoir l'autorité finale, ses décisions devraient être soumises à un contrôle juridictionnel afin de faire respecter l'état de droit et contribuer à garantir leur indépendance globale ;
  • Les pouvoirs discrétionnaires proposés par le Comité national d'éthique numérique quant au contenu « illégal et préjudiciable » constituent des menaces importantes pour la liberté d'expression, la vie privée et la sécurité ;
  • Le type de réglementation « où les agences gouvernementales, plutôt que les autorités judiciaires, deviennent les arbitres de l'expression légale » est en contradiction avec la procédure régulière et ne permet que des possibilités extrêmement limitées de faire appel des renvois.

La preuve par les RFC

Mozilla et Google viennent par ailleurs de répondre à l'ICTA, estimant eux aussi que « les changements proposés porteraient un préjudice disproportionné à la sécurité des utilisateurs mauriciens sur Internet et devraient être abandonnés : la sécurité et la vie privée des individus sur Internet sont fondamentales et ne doivent pas être traitées comme étant facultatives » :

« Cette action brutale et disproportionnée permettra au gouvernement de décrypter, lire et stocker tout ce qu'un utilisateur tape ou publie sur Internet, y compris d'intercepter leurs informations de compte, leurs mots de passe et leurs messages privés ».

A contrario, « elle sapera la confiance dans l'infrastructure de sécurité fondamentale qui sert actuellement de base à la sécurité d'au moins 80 % des sites web qui utilisent HTTPS, y compris ceux qui effectuent du commerce électronique et d'autres transactions financières critiques, tout en ne faisant rien pour répondre aux préoccupations légitimes de modération du contenu dans les langues locales ».

De plus, relèvent-ils dans leur réponse à l'ICTA, l'approche proposée par l'Autorité « ne fonctionnera pas avec les appareils mobiles qui limitent l'utilisation des certificats conçus pour l'interception ». De même, ce type d'interception « n'est pas compatible avec l'utilisation et le déploiement de technologies telles que le DNS over HTTPS (DoH), le RPKI et le TLS Encrypted Client Hello, qui sont toutes essentielles pour renforcer la sécurité et la confidentialité sur Internet ».

Ils renvoient en outre l'ICTA au RFC 7754 du Conseil de l'architecture Internet (IAB) consacré aux considérations techniques liées aux services de blocage et de filtrage de l'Internet, qui « met en évidence les nombreux défis techniques de l'approche proposée par l'Autorité Internet, ainsi que les impacts intentionnels et les limites de leur efficacité ».

Le précédent kazakh

« Nous sommes d'accord avec la déclaration de l'Autorité selon laquelle "le cadre statutaire proposé interférera sans aucun doute avec les droits et libertés fondamentaux du peuple mauricien, en particulier son droit à la vie privée, à la confidentialité et à la liberté d'expression" », concluent-ils de façon somme toute ironique, et exhortent dès lors l'Autorité « à ne pas poursuivre cette approche ».

Les deux fournisseurs de navigateurs avaient déjà pris des mesures pour empêcher le gouvernement kazakh d’intercepter le trafic Internet de ses citoyens avec un projet similaire, en 2019, et 2020, en bloquant le certificat que les autorités voulaient obliger les internautes à installer dans leurs navigateurs afin de pouvoir effectuer ce type d'attaque dite de l'homme du milieu (HDM, ou MITM, pour man-in-the-middle attack, en VO).

« Maurice a beau être l’un des pays africains salués comme des modèles de démocratie et de respect des droits humains », relève pour sa part RSF, « le manque d’indépendance de l’organe de régulation ne contribue pas à l’émergence d’un journalisme de qualité ».

De plus, des amendements à la loi sur l’information et les télécommunications adoptés en 2018 « renforcent fortement les sanctions prévues en cas d’abus sur internet (et) permettent de sanctionner de peines de prison les auteurs de contenus en ligne "contrariants" ou "dérangeants" », les poursuites pouvant aboutir à une condamnation allant jusqu’à 10 ans de prison.

Un outil pour le moins flou

Dans un communiqué publié ce jeudi, l'ICTA « souhaite faire le point à ce sujet », et indique avoir d'ores et déjà reçu 1 569 réponses à ce jour, émanant d'« une majorité de citoyens Mauriciens, mais aussi des professionnels du secteur des TIC, des associations et ONGs diverses locales, des leaders ou mouvements religieux, des associations internationales liés à ce secteur ou à la défense de la liberté d’expression, ou encore des multinationales telles que Google » :

« Pour l’ICTA, le fait que des compagnies aussi importantes que Google ou Mozilla se soient exprimées sur cette question prouve qu’il s’agit d’une problématique internationale, qui ne touche pas uniquement Maurice ».

Dans une FAQ associée, l'ICTA précise que l’une de ses prérogatives est de « réguler et réduire tout contenu nuisible sur Internet ou d’autres services de télécommunication », mais également que « les citoyens se tournent automatiquement vers le régulateur lorsqu’ils sont victimes d’abus sur Internet ou pour signaler des contenus nuisibles ».

Or, « Maurice étant un petit pays, nous n’avons pas la même force de négociation avec les réseaux sociaux que les grandes nations », et « le problème est que les procédures prennent énormément de temps, et certaines publications violentes, incendiaires voire criminelles peuvent rester visibles pendant des semaines ou des mois ».

Pour autant, la description que donne l'ICTA de sa proposition reste pour le moins floue, et l'on peine à comprendre comment elle pourrait ainsi se substituer à Facebook : « Il s’agit d’un outil technologique nous permettant de bloquer et d’archiver une page sur le site d’un réseau social après réception d'une plainte sans avoir à bloquer le site complètement » :

« Nous n'activerons l’archivage avec l’outil qu'après avoir reçu une plainte, et la page incriminée serait bloquée seulement dans les cas où le contenu en question aura été jugé illégal et dangereux selon les lois en vigueurs ».

13

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les défenseurs des libertés pas (du tout) convaincus

La preuve par les RFC

Le précédent kazakh

Un outil pour le moins flou

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (13)


Les autorités locales dorment sur leurs deux oreilles… elles. :D



(reply:1873637:Ami-Kuns)




Je l’avais déjà faite la semaine dernière, mais l’ajout des “bornes des limites” m’a fait marrer



(quote:1873525:Idiogène)
Les autorités locales dorment sur leurs deux oreilles… elles. :D




Ce qui est techniquement … impossible … sauf si on a subi une opération aux effets quelque peu … disgracieux. :D


C’est supermEn nous indique le pigiste. :byebye:



Ce qui me semble pour le moins suspect, en effet, j’aurais plutôt pensé au mythique dodo.
Il y avait ainsi le Warrant Dodo ou l’attaque dite du DITM… comme sous-titre pour parler (c’est rare) de l’Isle de France. :fumer:


Si j’ai bien compris ils veulent ne déchiffrer que ce qui est public. C’est de la sorcellerie.


Il y a un autre danger, qui me semble, n’a pas été mentionné : L’ouverture aux quatres vents des données déchiffrées.



En faisant l’hypothèse que Maurice applique leur idée de MiTM, les données déchiffrées devront être stockées quelque part. Et là il y a deux problèmes majeurs : Il va en falloir de l’espace de stockage surtout s’il ça inclue les vidéos envoyé sur les réseaux sociaux, les images… (Est-ce qu’ils feront les demandent pour ne pas payer la CopiePrivée ? :pastaper: ). Mais surtout il va falloir protéger ce lac de données des appétits extérieurs : Entre les attaques Ddos pour en signe de désapprobation, l’attaque de groupes pirates pour récupérer des données sensibles (bancaires, médicales…) et les agences d’espionnage mondiales… Et j’ai du mal à avoir comment ils vont faire pour que ça ne soit pas ouvert aux quatres vents sans investir massivement dans la sécurité ou le délégué à des gens spécialisés (vraiment spécialisé hein par des déa[a-z]+? et cie).


Je trouve que le procès fait à Maurice est un peu sévère. Les réseaux sociaux sont des espaces d’expressions démocratique et il ne faut absolument pas les museler bien entendu. Mais force est de constater que certains utilisateurs n’apportent rien au débat démocratique voir même ont un discours totalement destructif (e.g. complotistes, extrémistes, anti-vacs, propagandistes, harceleurs…). Or face à l’inaction de ces réseaux sociaux à réguler de façon adaptée la libre expression de leurs usagers, l’Etat doit intervenir. C’est son rôle !



Malheureusement pour ce dernier, Internet étant totalement décentralisé, toute initiative politique/législative qui aurait pour ambition de réguler les contenus est systématiquement vouée à l’échec. Plus encore lorsque cette initiative impose une solution technique de façons coercitive. Ces ONGs critiquent la proposition de Maurice mais sont elles aussi bien en peine de trouver une solution au problème de fond :/


Bref, de la liberté d’expression ou l’on peut ne peux pas aborder les sujets qui fâchent et ou l’état décide de ce que l’on peut dire ou pas. Mais mais… ce n’est justement pas ça la liberté d’expression!



Quand au procès un peu sévère je suis d’accord sur le fond. Nous ne sommes pas mieux en France, avec nos coup de boutoirs répétés contre la liberté d’expression sur les internets.


guimoploup

Bref, de la liberté d’expression ou l’on peut ne peux pas aborder les sujets qui fâchent et ou l’état décide de ce que l’on peut dire ou pas. Mais mais… ce n’est justement pas ça la liberté d’expression!



Quand au procès un peu sévère je suis d’accord sur le fond. Nous ne sommes pas mieux en France, avec nos coup de boutoirs répétés contre la liberté d’expression sur les internets.


Alors attention, le verbe “réguler” que j’ai employé n’est pas synonyme de “censurer” ni même “contrôler”. Imposer un unique mode de pensé est la stratégie des lâches, celle de la facilité, celle des dictatures. Ce serait totalement insupportable, je suis bien d’accord ;)



Concrètement “Réguler” signifie ici d’être en mesure d’identifier et sanctionner les personnes - physiques, morales ou étatiques - qui agressent les individus, manipulent les opinions dans leur propre intérêt au détriment de celui du collectif ou encore diffusent de l’information en violation avec les valeurs de nos nations. On ne peut laisser ces acteurs user de la liberté d’expression qui leur est offerte sans qu’il y ait de sanctions en cas d’abus. Le devoir premier de l’état est de protéger la nation et ses citoyens contre toute forme d’agression qu’elle soit intérieure, extérieure, militaire, économique, idéologique ou… numérique.



Néanmoins vous soulevez un point intéressant : Cette régulation est aujourd’hui assurée par les réseaux sociaux eux-mêmes. C’est à dire des acteurs privés, non-choisi démocratiquement qui - par définition - agissent dans leur propre intérêt et non celui de la nation. En quoi cette situation est-elle meilleure ou pire que le même service réalisée par un état ? D’autant que la seule arme que les Facebook et consort ont dans leur arsenal est la censure justement. Pour exemple, je mentionnerais l’affaire de “l’origine du monde” de courbet qui illustre parfaitement ce que ces derniers nous autorisent à dire … ou pas ;)



Très honnêtement ? Je n’ai pas la solution et je doute que celle-ci soit trouvable dans l’état actuel des choses. Donc, laissons les faire avancer le débat en proposant des choses mais restons vigilants à la garantie de nos droits fondamentaux.



Gu0sur20 a dit:



Très honnêtement ? Je n’ai pas la solution et je doute que celle-ci soit trouvable dans l’état actuel des choses. Donc, laissons les faire avancer le débat en proposant des choses mais restons vigilants à la garantie de nos droits fondamentaux.




C’est l’éternelle question de la censure étatique.
La position “liberté d’expression” voulant simplement dire qu’on te laisse dire ce que tu veux , mais que tu es responsable de ces mots et de ces paroles après-coup si nécessaire.
D’autre part un lieu privé (salle de spectacle,…) est souveraine quant au choix des intervenants (liberté d’expression <> obligation d’expression) , d’où les “déboires” de Dieudonné.



A titre personnel je trouve que la censure, c’est ce qu’il reste quand on a pas d’arguments à opposer alors qu’on est en position d’autorité.
La censure, c’est aussi victimiser la personne, et lui fournir un argument d’autorité (regardez, on veux me faire taire, donc j’ai raison). Fallacieux, mais facile.



Alors oui, se battre avec des arguments (cad pas comme à la radio ou la TV avec des invectives) c’est difficile, long, et demande de l’esprit et une attitude convaincante, tout en étant un combat sans cesse renouvelé, sur une ligne délicate consistant à ne jamais empiéter sur la liberté de penser de son auditoire. Mais pour que le mal triomphe, il suffit que le bien ne fasse rien …



C’est pour ça que par exemple , la censure