La coalition policière avance que le déploiement du chiffrement de bout en bout (E2EE) sur des messageries telles que Messenger et Instagram empêcherait les autorités d'identifier les prédateurs sexuels. Ce que conteste Meta, qui continue de préparer son déploiement sur Messenger cette année, plus tard pour Instagram.
La Virtual Global Taskforce (VGT) « exhorte les entreprises technologiques à repenser leurs plans de chiffrement, qui mettent les enfants en danger face aux agresseurs en ligne » et « aboutissent à se voiler la face sur les abus sexuels commis sur des enfants (CSA) sur leurs plateformes, ou qui réduisent leur capacité à identifier les CSA et à assurer la sécurité des enfants ».
VGT, qui réunit 15 organisations policières (dont Interpol, Europol, le FBI et les polices britanniques et néerlandaises – mais pas la police nationale), explique avoir été créée « en réponse directe à l'augmentation du nombre de délinquants ciblant des enfants dans le monde entier par le biais d'interactions sociales en ligne, et se rendant à l'étranger pour commettre des abus sexuels à leur contact ».
« Il ne fait aucun doute que le chiffrement joue un rôle important dans la protection de la vie privée, mais cela doit être mis en balance avec l'importance de la protection des enfants en ligne », précise son communiqué :
« Le National Center for Missing and Exploited Children (NCMEC) a reçu 29,3 millions de rapports de suspicion de CSA en 2021, soit une augmentation de 35 % par rapport à 2020. Sur ces 29,3 millions, plus de 29,1 millions de signalements provenaient de fournisseurs de services électroniques. »
META est le principal rapporteur des cas d'abus sexuels d'enfants
Le VGT souligne que « META est actuellement le principal rapporteur des cas d'abus sexuels d'enfants détectés auprès du NCMEC », mais également qu'il « n'a encore vu aucune indication de la part de META que tout nouveau système de sécurité mis en œuvre après le déploiement de l'E2EE correspondra ou améliorera efficacement ses méthodes de détection actuelles ». Elle ne mentionne pas le cas de WhatsApp.
Ars Technica relève que si le chiffrement de bout en bout est d'ores et déjà disponible en option dans Facebook Messenger et Instagram, cette déclaration des forces de l'ordre « a probablement été motivée par le projet de Meta d'activer la fonction de sécurité par défaut dans Facebook Messenger dans le courant de l'année ».
Suite au scandale Cambridge Analytica, Mark Zuckerberg avait en effet annoncé que l’ensemble des services passerait au chiffrement de bout en bout. Initialement prévue pour 2022, la bascule avait d'abord été repoussée à 2023, et expérimentée en 2022.
Les gens veulent des conversations privées, sûres et sécurisées
La dernière mise à jour de Meta concernant ses progrès en matière de chiffrement, qui date de janvier, précise qu' « au cours des prochains mois, de plus en plus de personnes continueront à voir certains de leurs chats progressivement mis à niveau avec une couche supplémentaire de protection fournie par le chiffrement de bout en bout », et que « nous progressons vers cet objectif au cours de l'année 2023 » :
« Nous savons que les gens veulent un espace pour se connecter et qu'ils veulent savoir que ces conversations sont privées, sûres et sécurisées. C'est pourquoi nous avons passé du temps à constituer une équipe d'ingénieurs, de cryptologues, de concepteurs et d'experts en politique talentueux qui se sont tous engagés à déployer le chiffrement de bout en bout par défaut sur Messenger. »
« La mise en place d'un service chiffré de bout en bout, sécurisé et résilient, pour les milliards de messages qui sont envoyés chaque jour sur Messenger, nécessite des tests minutieux », précisait la mise à jour.
Contactée par Ars Technica, Meta répond à la Virtual Global Taskforce que « la plupart des Américains utilisent déjà des applications qui utilisent le chiffrement pour transférer de l'argent en toute sécurité, parler à des médecins et communiquer en privé » :
« Nous pensons que les gens ne veulent pas que nous lisions leurs messages privés, c'est pourquoi nous avons développé des mesures de sécurité qui préviennent, détectent et nous permettent de prendre des mesures contre cet abus odieux, tout en préservant la confidentialité et la sécurité en ligne. »
Un porte-parole de Meta précise que le déploiement du chiffrement de bout en bout « par défaut » dans Facebook Messenger « est toujours en bonne voie pour être achevé cette année », que cette fonctionnalité sur Instagram « pourrait ne pas avoir lieu en 2023 », mais également que « nous restons déterminés à travailler avec les forces de l'ordre et les experts en sécurité pour garantir que nos plateformes sont sûres pour les jeunes ».
Le chiffrement n'empêche pas d'identifier les pédocriminels
Dans son communiqué, le VGT mentionne un « cas d'école » s'étant déroulé en Grande-Bretagne, qui « n'aurait pas été possible si Facebook n'avait pas eu accès au contenu des messages », et qui illustrerait donc « l'impact que pourrait avoir la mise en œuvre de l'E2EE ».
David Wilson, qualifié de « pédophile le plus prolifique de la Grande-Bretagne », a été condamné à 25 ans de prison en 2021 pour avoir abusé 51 garçons de 4 à 14 ans entre 2016 et 2020. Il avait en effet contacté via Facebook « des milliers d'enfants, préparant des centaines de victimes à l'aide de faux profils en ligne » :
« En se faisant passer pour une adolescente, il manipulait ses victimes pour qu'elles envoient des images sexuellement explicites d'elles-mêmes et, dans certains cas, les faisait chanter pour qu'elles abusent de leurs frères et sœurs et de leurs amis. Certaines victimes ont été tellement traumatisées qu'elles ont dit vouloir mettre fin à leurs jours. »
Or, cette enquête n'aurait été rendue possible que parce que les forces de l'ordre ont pu accéder aux preuves contenues « dans plus de 250 000 messages envoyés par l'intermédiaire de Facebook » :
« Dans un environnement E2EE, il est très peu probable que cette affaire ait été détectée. »
Meta, qui conteste auprès d'Ars Technica cette présentation, explique en effet avoir transmis aux autorités des informations à son sujet « en utilisant des informations publiques et privées » :
« Nous avons développé des systèmes de détection utilisant des signaux comportementaux et d'autres activités de compte qui ne dépendent pas du contenu des messages privés pour identifier des acteurs malveillants comme David Wilson. Il est trompeur et inexact de dire que le chiffrement nous aurait empêché d'identifier et de signaler aux autorités des comptes tels que celui de David Wilson. »
L'État de droit doit primer sur la sécurité nationale
« Depuis 2018 environ, le principal récit des organismes d'application de la loi et de renseignement est que le chiffrement de bout en bout dans les messageries telles que WhatsApp rend la vie trop facile aux prédateurs sexuels, tandis que l'introduction du chiffrement de bout en bout dans Facebook Messenger poserait prétendument un risque supplémentaire pour les enfants », avait expliqué en 2022 Ross Anderson, expert en sécurité et professeur à l'Université de Cambridge :
« La surveillance généralisée, sans mandat ni soupçon, est contraire à la législation sur les droits de l'homme, tout comme la torture. Les arguments en sa faveur doivent être traités avec une grande méfiance et ne peuvent être admis pour des raisons utilitaires. Les agences chargées de défendre l'ordre international devraient défendre les droits fondamentaux de leurs propres citoyens, y compris les droits des enfants, plutôt que de chercher à les affaiblir. L'État de droit doit primer sur la "sécurité nationale". »
Ross Anderson relevait en outre que « l'idée même que nous puissions remplacer les policiers, les travailleurs sociaux et les enseignants en ordonnant à Facebook de surveiller de plus près nos enfants et nos petits-enfants ne tient pas la route. Les enfants ont quitté Facebook il y a des années pour Instagram ; ils se dirigent maintenant vers Snapchat, TikTok et un assortiment de plateformes de jeux ».
Le Royaume-Uni pourrait casser le chiffrement de bout en bout
Dans une lettre ouverte, sept messageries sécurisées (Element, Session, Signal, Threema, Viber, WhatsApp et Wire) soulignent que le projet de loi britannique Online Safety Bill sur la sécurité en ligne pourrait détruire le chiffrement de bout en bout :
« Tel qu'il est actuellement rédigé, le projet de loi pourrait casser le chiffrement de bout en bout, ouvrant la porte à une surveillance routinière, générale et aveugle des messages personnels d'amis, de membres de la famille, d'employés, de cadres, de journalistes, de militants des droits de l'homme et même des politiciens eux-mêmes, ce qui compromet fondamentalement la capacité de chacun à communiquer en toute sécurité. »
Les signataires rappellent qu'ils ne sont pas les seuls à partager leurs inquiétudes, et que les Nations Unies ont averti que les efforts du gouvernement britannique pour imposer des exigences dérogatoires constituent « un changement de paradigme qui soulève une série de problèmes graves aux conséquences potentiellement désastreuses » :
« Les fournisseurs mondiaux de produits et de services cryptés de bout en bout ne peuvent pas affaiblir la sécurité de leurs produits et services pour satisfaire des gouvernements particuliers. Il ne peut y avoir un "internet britannique" ou une version du chiffrement de bout en bout spécifique au Royaume-Uni. »
Signal et WhatsApp ont d'ailleurs déjà déclaré qu'ils cesseraient leurs activités au Royaume-Uni plutôt que de compromettre la sécurité de leurs utilisateurs dans le monde entier.
