Alors que se profilent les prochaines élections, une coalition d'élus républicains et démocrates repart à la charge avec un projet de loi censé lutter contre l'exploitation sexuelle des enfants sur Internet. Mais selon ses nombreux opposants, il pourrait être contre-productif, affaiblir le chiffrement et aboutir à des sur-censures.
Le projet de loi EARN IT (pour « Eliminating Abusive and Rampant Neglect of Interactive Technologies ») Act est de retour au Congrès américain.
En 2020, ce texte bipartisan, porté par une quinzaine d'élus républicains et démocrates, visait à « encourager l'industrie des technologies à prendre au sérieux l'exploitation sexuelle des enfants en ligne ». Il avait déjà été vertement critiqué au motif qu'il rendrait illégal le chiffrement de bout en bout, avant d'être finalement abandonné face à une opposition écrasante.
Riana Pfefferkorn, chercheuse et directrice associée chargée des questions de surveillance et de cybersécurité au Stanford Center for Internet and Society, qui a déjà beaucoup écrit à ce sujet, estime que sa version revue et corrigée est « encore plus dangereuse aujourd'hui » :
« En décourageant les fournisseurs d'utiliser le chiffrement pour protéger la vie privée et la sécurité des utilisateurs (y compris les enfants), tout en les encourageant simultanément à sur-censurer le discours parfaitement légal de leurs utilisateurs, EARN IT ferait beaucoup de tort aux internautes innocents qui n'ont violé aucune loi. »
Elle estime au surplus que « la loi EARN IT ne ferait pas grand-chose pour protéger les enfants victimes d'abus sexuels – au contraire, elle risque de rendre encore plus difficiles la recherche et la condamnation des contrevenants ».
Le chiffrement présumé coupable et circonstance aggravante
À l'en croire, le nouveau projet de loi « est une quasi-réplique » du texte de 2020. Le seul véritable changement reposerait sur l'évolution des éléments de langage au sujet du chiffrement : « il décourage les fournisseurs d'offrir du chiffrement en les exposant à la responsabilité de le faire (...) et en permettant que le recours au chiffrement soit utilisé contre eux au tribunal » :
« Par exemple, les messages WhatsApp sont chiffrés de bout en bout (E2EE) et WhatsApp ne dispose pas des informations nécessaires pour les déchiffrer. En vertu du projet de loi EARN IT, ces fonctionnalités pourraient être utilisées comme preuve pour étayer le fait que WhatsApp aurait fait preuve de négligence ou d'imprudence dans la transmission de matériel pédopornographique (CSAM) sur son service en violation de la loi.
De plus, si WhatsApp était condamnée dans une affaire criminelle de CSAM, le tribunal pourrait potentiellement envisager le chiffrement de WhatsApp pendant l'évaluation des facteurs aggravants lors de la détermination de la peine. »
En conséquence, « le résultat prévisible est que EARN IT découragera le chiffrement », et « pourrait effrayer les fournisseurs et les amener à modifier, affaiblir ou supprimer leur recours au chiffrement afin d'éviter toute responsabilité ».
Une responsabilité considérablement accrue
Dans une analyse en trois volets publiée sur Techdirt, Mike Masnick, le fondateur du blog Techdirt (et inventeur de l'expression « Effet Streisand »), estime lui aussi que l'EARN IT Act « risque d'exacerber le problème de l'exploitation des enfants en ligne, et non de l'améliorer » :
« Il dit que si vous faites quoi que ce soit, vous pourriez faire face à une responsabilité légale paralysante. Cela rend en fait les entreprises moins disposées à faire tout ce qu'elles pourraient pour essayer de rechercher, supprimer et signaler le CSAM [child sex abuse material, ndlr], en raison de la responsabilité considérablement accrue qui vient avec l'admission qu'il y aurait du CSAM à rechercher et à traiter sur votre plate-forme. »
Les fournisseurs seraient « moins en mesure de travailler avec les forces de l'ordre », dès qu'ils seraient menacés d'« une responsabilité massive s'ils commettent une erreur ».
Soulignant à juste titre que, « comme pour 2020, 2022 est une année électorale, et dans une année électorale, certains politiciens veulent vraiment faire la une des journaux sur la façon dont ils "protègent les enfants" », Mike Masnick tire à boulets rouges sur l'EARN IT Act :
« C'est un projet de loi très, très mauvais et dangereux – et ce, avant même que nous n'abordions la question du chiffrement –, et les très nombreux sénateurs qui l'appuient pour des coups de pied et des gros titres devraient avoir honte d'eux-mêmes ! »
Un risque de sur-(auto)censure
Riana Pfefferkorn estime au surplus qu'« EARN IT nuirait à la parole, à la confidentialité et à la sécurité en ligne sans atteindre son objectif de sécurité des enfants ».
En menaçant les entreprises technologiques d'une exposition importante à des litiges pour avoir fait un travail imparfait de lutte contre le CSAM, EARN IT « conduira les entreprises à censurer avec zèle de nombreux discours d'utilisateurs parfaitement légaux, juste au cas où quelque chose pourrait potentiellement être considéré comme du CSAM », voire fermer une partie ou la totalité de leurs services.
Comme elle l'avait déjà souligné, les membres du Congrès (y compris les principaux sponsors d'EARN IT) ont de plus la fâcheuse tendance de déplorer que les entreprises technologiques ne fassent pas assez pour protéger la vie privée des utilisateurs, puis de se fâcher pour avoir utilisé un chiffrement fort destiné, précisément, à renforcer leur confidentialité.
Le sénateur (démocrate) Richard Blumenthal, l'un des signataires et principaux défenseurs du projet de loi, avait ainsi vertement protesté contre la faiblesse du chiffrement de bout en bout de Zoom.
Millions of Americans are now using @zoom_us to attend school, seek medical help, & socialize with their friends. Privacy & cybersecurity risks shouldn’t be added to their list of worries. I'm calling for answers from Zoom on how it handles our private data. https://t.co/CEg1P3T3S1 pic.twitter.com/Vl9XyvxZjb
— Richard Blumenthal (@SenBlumenthal) March 31, 2020
De plus, poursuit-elle, le projet de loi « menace la vie privée en ligne en poussant les entreprises technologiques à surveiller leurs utilisateurs encore plus qu'elles ne le font déjà ».
L'analyse des éléments de langage fourni par ses défenseurs « montre clairement que l'arrière-pensée du projet de loi est d'inciter les fournisseurs à scanner toutes les données des utilisateurs sur leurs services sous peine de responsabilité pénale ».
Le projet relèverait aussi d'une instrumentalisation politique, et populiste, sur fond d'enjeux électoraux :
« Cette horrible législation, si elle est adoptée, sera saluée comme une victoire bipartisane qui montre que le Congrès peut toujours se réunir de l'autre côté de l'allée pour faire avancer les choses. Apparemment, porter atteinte aux droits des Américains en ligne tout en rendant plus difficiles les poursuites contre le CSAM est une chose sur laquelle les deux partis peuvent s'entendre, même en année électorale. »
Des ONG vent debout
L'Internet Society, qui partage ces mêmes analyses, rappelle qu'elle s'était fermement opposée aux principes fondamentaux du projet de loi lorsqu'il a été présenté pour la première fois, et qu'elle s'y oppose encore fermement aujourd'hui.
L'ACLU qualifie pour sa part le texte de « porte dérobée » pour ce qui est des services de chiffrement, « mettant en péril la sécurité de chaque individu ».
Le Center for Democraty and Technology (CDT) estime lui aussi que ce projet de loi « peint une cible sur le dos des fournisseurs qui offrent des services de chiffrement de bout en bout [et] augmente les risques pour la sécurité en ligne des enfants et des adultes ».
Pour l'EFF, la nouvelle loi EARN IT « ouvrirait la voie à un nouveau système de surveillance massif, géré par des entreprises privées », qui supprimerait en outre « certaines des caractéristiques de confidentialité et de sécurité les plus importantes de la technologie utilisée par les gens du monde entier ».
Commentaires (8)
#1
Question au congrès américains : Est-ce que le chiffrement qui vous a empêché de mettre fin au trafic d’Epstein ? Non, parce que les pédos, terroriste et nazis, ça suffit un peu. Diversifiez-vous mille sabords !
Sinon, tachons nous également de rester attentif chez nous, les idées stupides des américains ayant tendance à bien fonctionner chez nos dirigeants sur ces thématiques.
Vive DeltaChat !
#1.1
Je ne connaissais pas DeltaChat, merci :)
#2
Juste pour être sûr, on parle bien uniquement de chiffrement côté fournisseur de service, et pas d’abolir TLS ou autre ?
#2.1
Chiffrement de client à client comme signal, jitsi, element.io. donc quand les serveurs ne connaissent pas ce qui transite.
Tls c’est du chiffrement entre un client et un serveur. Client et serveur connaissent l’intégralité du message.
#3
Doit-on conclure que la politique est une chose trop sérieuse pour la confier à des politiciens ?
#3.1
Doit-on conclure que la politique est une chose trop sérieuse pour la confier à d’autres hehehe
#3.2
Nous sommes tous l’autre d’un autre.
#4
Hmmmm… c’est un gros raccourci… en pratique, TLS est avant tout un protocole de poignée de main et de négociation de chiffrement, avec un contrôle d’identité. L’utiliser en mode point à point est tout à fait faisable. D’ailleurs, Jitsi utilise le DTLS qui est une variante du protocole adaptée au transit de données via UDP.
Le “client-serveur” n’est qu’une variation sur le thème du point à point, et dans un contexte de sécurité normal, il n’y a pas de composant intermédiaire entre les deux points qui accède au contenu déchiffré.
Maintenant, si on remplace “serveur” par “relai participant au chiffrement” (on peut aussi avoir un relai “idiot”), et qu’on fait du point à point à point, là, c’est différent.