La coalition policière avance que le déploiement du chiffrement de bout en bout (E2EE) sur des messageries telles que Messenger et Instagram empêcherait les autorités d'identifier les prédateurs sexuels. Ce que conteste Meta, qui continue de préparer son déploiement sur Messenger cette année, plus tard pour Instagram.
La Virtual Global Taskforce (VGT) « exhorte les entreprises technologiques à repenser leurs plans de chiffrement, qui mettent les enfants en danger face aux agresseurs en ligne » et « aboutissent à se voiler la face sur les abus sexuels commis sur des enfants (CSA) sur leurs plateformes, ou qui réduisent leur capacité à identifier les CSA et à assurer la sécurité des enfants ».
VGT, qui réunit 15 organisations policières (dont Interpol, Europol, le FBI et les polices britanniques et néerlandaises – mais pas la police nationale), explique avoir été créée « en réponse directe à l'augmentation du nombre de délinquants ciblant des enfants dans le monde entier par le biais d'interactions sociales en ligne, et se rendant à l'étranger pour commettre des abus sexuels à leur contact ».
« Il ne fait aucun doute que le chiffrement joue un rôle important dans la protection de la vie privée, mais cela doit être mis en balance avec l'importance de la protection des enfants en ligne », précise son communiqué :
« Le National Center for Missing and Exploited Children (NCMEC) a reçu 29,3 millions de rapports de suspicion de CSA en 2021, soit une augmentation de 35 % par rapport à 2020. Sur ces 29,3 millions, plus de 29,1 millions de signalements provenaient de fournisseurs de services électroniques. »
META est le principal rapporteur des cas d'abus sexuels d'enfants
Le VGT souligne que « META est actuellement le principal rapporteur des cas d'abus sexuels d'enfants détectés auprès du NCMEC », mais également qu'il « n'a encore vu aucune indication de la part de META que tout nouveau système de sécurité mis en œuvre après le déploiement de l'E2EE correspondra ou améliorera efficacement ses méthodes de détection actuelles ». Elle ne mentionne pas le cas de WhatsApp.
Ars Technica relève que si le chiffrement de bout en bout est d'ores et déjà disponible en option dans Facebook Messenger et Instagram, cette déclaration des forces de l'ordre « a probablement été motivée par le projet de Meta d'activer la fonction de sécurité par défaut dans Facebook Messenger dans le courant de l'année ».
Suite au scandale Cambridge Analytica, Mark Zuckerberg avait en effet annoncé que l’ensemble des services passerait au chiffrement de bout en bout. Initialement prévue pour 2022, la bascule avait d'abord été repoussée à 2023, et expérimentée en 2022.
Les gens veulent des conversations privées, sûres et sécurisées
La dernière mise à jour de Meta concernant ses progrès en matière de chiffrement, qui date de janvier, précise qu' « au cours des prochains mois, de plus en plus de personnes continueront à voir certains de leurs chats progressivement mis à niveau avec une couche supplémentaire de protection fournie par le chiffrement de bout en bout », et que « nous progressons vers cet objectif au cours de l'année 2023 » :
« Nous savons que les gens veulent un espace pour se connecter et qu'ils veulent savoir que ces conversations sont privées, sûres et sécurisées. C'est pourquoi nous avons passé du temps à constituer une équipe d'ingénieurs, de cryptologues, de concepteurs et d'experts en politique talentueux qui se sont tous engagés à déployer le chiffrement de bout en bout par défaut sur Messenger. »
« La mise en place d'un service chiffré de bout en bout, sécurisé et résilient, pour les milliards de messages qui sont envoyés chaque jour sur Messenger, nécessite des tests minutieux », précisait la mise à jour.
Contactée par Ars Technica, Meta répond à la Virtual Global Taskforce que « la plupart des Américains utilisent déjà des applications qui utilisent le chiffrement pour transférer de l'argent en toute sécurité, parler à des médecins et communiquer en privé » :
« Nous pensons que les gens ne veulent pas que nous lisions leurs messages privés, c'est pourquoi nous avons développé des mesures de sécurité qui préviennent, détectent et nous permettent de prendre des mesures contre cet abus odieux, tout en préservant la confidentialité et la sécurité en ligne. »
Un porte-parole de Meta précise que le déploiement du chiffrement de bout en bout « par défaut » dans Facebook Messenger « est toujours en bonne voie pour être achevé cette année », que cette fonctionnalité sur Instagram « pourrait ne pas avoir lieu en 2023 », mais également que « nous restons déterminés à travailler avec les forces de l'ordre et les experts en sécurité pour garantir que nos plateformes sont sûres pour les jeunes ».
Le chiffrement n'empêche pas d'identifier les pédocriminels
Dans son communiqué, le VGT mentionne un « cas d'école » s'étant déroulé en Grande-Bretagne, qui « n'aurait pas été possible si Facebook n'avait pas eu accès au contenu des messages », et qui illustrerait donc « l'impact que pourrait avoir la mise en œuvre de l'E2EE ».
David Wilson, qualifié de « pédophile le plus prolifique de la Grande-Bretagne », a été condamné à 25 ans de prison en 2021 pour avoir abusé 51 garçons de 4 à 14 ans entre 2016 et 2020. Il avait en effet contacté via Facebook « des milliers d'enfants, préparant des centaines de victimes à l'aide de faux profils en ligne » :
« En se faisant passer pour une adolescente, il manipulait ses victimes pour qu'elles envoient des images sexuellement explicites d'elles-mêmes et, dans certains cas, les faisait chanter pour qu'elles abusent de leurs frères et sœurs et de leurs amis. Certaines victimes ont été tellement traumatisées qu'elles ont dit vouloir mettre fin à leurs jours. »
Or, cette enquête n'aurait été rendue possible que parce que les forces de l'ordre ont pu accéder aux preuves contenues « dans plus de 250 000 messages envoyés par l'intermédiaire de Facebook » :
« Dans un environnement E2EE, il est très peu probable que cette affaire ait été détectée. »
Meta, qui conteste auprès d'Ars Technica cette présentation, explique en effet avoir transmis aux autorités des informations à son sujet « en utilisant des informations publiques et privées » :
« Nous avons développé des systèmes de détection utilisant des signaux comportementaux et d'autres activités de compte qui ne dépendent pas du contenu des messages privés pour identifier des acteurs malveillants comme David Wilson. Il est trompeur et inexact de dire que le chiffrement nous aurait empêché d'identifier et de signaler aux autorités des comptes tels que celui de David Wilson. »
L'État de droit doit primer sur la sécurité nationale
« Depuis 2018 environ, le principal récit des organismes d'application de la loi et de renseignement est que le chiffrement de bout en bout dans les messageries telles que WhatsApp rend la vie trop facile aux prédateurs sexuels, tandis que l'introduction du chiffrement de bout en bout dans Facebook Messenger poserait prétendument un risque supplémentaire pour les enfants », avait expliqué en 2022 Ross Anderson, expert en sécurité et professeur à l'Université de Cambridge :
« La surveillance généralisée, sans mandat ni soupçon, est contraire à la législation sur les droits de l'homme, tout comme la torture. Les arguments en sa faveur doivent être traités avec une grande méfiance et ne peuvent être admis pour des raisons utilitaires. Les agences chargées de défendre l'ordre international devraient défendre les droits fondamentaux de leurs propres citoyens, y compris les droits des enfants, plutôt que de chercher à les affaiblir. L'État de droit doit primer sur la "sécurité nationale". »
Ross Anderson relevait en outre que « l'idée même que nous puissions remplacer les policiers, les travailleurs sociaux et les enseignants en ordonnant à Facebook de surveiller de plus près nos enfants et nos petits-enfants ne tient pas la route. Les enfants ont quitté Facebook il y a des années pour Instagram ; ils se dirigent maintenant vers Snapchat, TikTok et un assortiment de plateformes de jeux ».
Le Royaume-Uni pourrait casser le chiffrement de bout en bout
Dans une lettre ouverte, sept messageries sécurisées (Element, Session, Signal, Threema, Viber, WhatsApp et Wire) soulignent que le projet de loi britannique Online Safety Bill sur la sécurité en ligne pourrait détruire le chiffrement de bout en bout :
« Tel qu'il est actuellement rédigé, le projet de loi pourrait casser le chiffrement de bout en bout, ouvrant la porte à une surveillance routinière, générale et aveugle des messages personnels d'amis, de membres de la famille, d'employés, de cadres, de journalistes, de militants des droits de l'homme et même des politiciens eux-mêmes, ce qui compromet fondamentalement la capacité de chacun à communiquer en toute sécurité. »
Les signataires rappellent qu'ils ne sont pas les seuls à partager leurs inquiétudes, et que les Nations Unies ont averti que les efforts du gouvernement britannique pour imposer des exigences dérogatoires constituent « un changement de paradigme qui soulève une série de problèmes graves aux conséquences potentiellement désastreuses » :
« Les fournisseurs mondiaux de produits et de services cryptés de bout en bout ne peuvent pas affaiblir la sécurité de leurs produits et services pour satisfaire des gouvernements particuliers. Il ne peut y avoir un "internet britannique" ou une version du chiffrement de bout en bout spécifique au Royaume-Uni. »
Signal et WhatsApp ont d'ailleurs déjà déclaré qu'ils cesseraient leurs activités au Royaume-Uni plutôt que de compromettre la sécurité de leurs utilisateurs dans le monde entier.
Commentaires (13)
#1
La pente du “tous suspects, jusqu’à preuve du contraire” est de plus en plus marquée et inquiétante, car derrière l’arbre des pédo-criminels on se doute bien que se cache la forêt des opposants politiques, cible bien plus évident des gouvernements en place, quelque soit leur déclarations.
#2
Le Royaume-Uni, toujours dans une compétition de mauvaises idées dans le numérique, concurrent de l’Australie et sa fameuse “The laws of mathematics are very commendable, but the only law that applies in Australia is the law of Australia”.
#3
#4
L’argument habituel que le chiffrement empêche les enquêtes.
À croire que les enquêtes se résument à la surveillance de communications : c’est un pur mensonge.
Les police & les services de renseignement disposent déjà de tout un arsenal de techniques centrées autour du facteur humain permettant de détecter, tracer & surveiller les cibles de leurs choix.
La seule chose qui explique les ratés quand il y en a est le manque de moyens, qu’ils soient humains ou financiers (amenant soit du recrutement de petits mains, du matériel ou de la logistique).
Il a été démontré, encore & encore, qu’à chaque grand évènement mettant en lumière la défaillance de tels services que les réseaux, voire carrément les suspects, étaient déjà connus, et que c’était bien les moyens manquants qui avaient amené à des arbitrages, menant en fin de compte à l’absence de surveillance appropriée de ces cibles.
C’est tout à fait cela : d’un point de vue policier, considérer tout le monde comme suspect jusqu’à preuve du contraire est leur déformation professionnelle (nécessaire pour les “pas de côté”).
Lorsque l’on parle d’une nation, cette perspective est glaçante. Un État policier est donc bien antinomique avec un État de droit.
Et pourtant… Il y a eu et existe encore tant de porteurs ou de “mous intellectuels indécis” qui se laissent facilement convaincre d’une ribambelle de lois sécuritaires à chaque évènement un peu médiatique. Source : ces dernières 20+ années.
#4.1
Alors je vais jouer un peu l’avocat du diable, mais il est possible que si les services de renseignements sont au courant des attentats avant qu’ils se produisent, c’est peut être en partie grâce a la surveillance des communications?
Bon je remet pas en question le manque de moyen des services de sécurité et autres, et je suis d’accord qu’empêcher d’ajouter de la sécurité pour les utilisateurs c’est un peu con.
Et comme le dis cyp, Meta fait de toute façon une analyse des messages avant et après réception.
Et si les criminels sont un peu méticuleux, ils utiliseront des applications de messageries qui chiffrent de manière forte les messages et pas messenger, whatsapp et consort,
#5
Même sans ça il peuvent tout simplement demander a Meta puisque de toute façon les message Facebook, WhatsApp & cie sont analysé à la source pour récolter ses fameuse meta qui donne leur nom à l’entreprise depuis qu’elle à compris que les meilleur réseau sociaux sont ceux ou l’utilisateur n’a pas l’impression de partager quoi que ce soit avec le propriétaire du réseau voir même que ça ne semble pas être un réseau social (WhatsApp…).
Évidemment ce genre de de demande ça nécessite de faire un minimum les chose dans les règles et ce n’est peut être du goûts des barbouze et autre cowboy qu’on trouve dans ce genre de service pour eux c’est quand même une facilité en moins.
#6
Pour prendre le cas de Google, il me semble que par défaut le clavier des téléphones Android est gboard. Dans l’absolu, hormis si l’on utilise une rom alternative, il me semble impossible de pouvoir garantir que Google n’utilise pas ses services imposés pour espionner les frappes claviers & les affichages écrans.
#7
C’est tout le problème du mélange des genres que l’on voit aujourd’hui :
Les outils qui sont demandés aujourdhui pour lutter contre de vrai terroristes (armé, bombes, tiers dans les foules & tout) sont aussi utilisés pour lutter contre les citoyens qui contestent activement la politique du gouvernement notamment via un glissement sémentique permettant l’usage de ces outils.
Comment s’assure-t-on, autrement que par la simple confiance aveugle, de la probité et de la raison des agents qui utilisent ces outils et de leurs responsables ?
C’est là toute la question et je ne crois pas qu’elle ait été un jour résolue.
L’un des lien dans l’article montre justement que la police se base sur la sur-confiance dans les outils tiers par les criminels , et en profitent pour hacker les terminaux ce qui rends inopérent toute tentative de chiffrement.
C’est un point intéressant (car du coup ça ne peux pas être généralisé), mais ça montre aussi que la volonté de communiquer de manière réellement privée est considérée comme suspecte par la police en général. Et ca c’est d’autant plus inquiétant lorsque ces gens n’ont plus le respect de leurs adminstrés.
#8
Les messages sont bien accessibles par la victime, donc je ne vois pas en quoi ça change quoi que ce soit…
Que font des enfants de 4ans sur Facebook, si on voulait vraiment faire quelque chose les comptes des mineurs pourraient être supprimé directement ?
[Analogie foireurse] Si un enfant se tue en conduisant sur l’autoroute parce qu’il ne pouvait pas atteindre les pédales en regardant la route, le prb ne vient pas de la voiture :) [/Analogie foireuse]
#9
d’autant que SI on des ‘choses sensibles’ à se raconter
on NE passe pas par ‘Internet’, rien ne vaut l’Ancien Système :
#10
Si il n’est question que d’attraper des délinquants, un policier aura toujours plus de chances d’être efficace avec les bonnes vieilles méthodes d’appât façon pot de miel, qui est efficace même message illisible sur le réseau qu’en tentant d’espionner les messages de tout le monde.
#11
Je pense que le problème n’est pas d’attraper des délinquants : Ca ils savent bien le faire , avec les moyens que tu mentionnes entre autre:
A mon avis le but est de justifier l’espionnage globalisé pour identifier les délinquants potentiels avant qu’ils ne passent à l’acte.
C’est à rapprocher du “fichier des gens honnêtes” de l’époque sarkozy (*) : Ceux qui ne sont pas dedans sont forcément suspect de “quelque chose, on sais pas encore quoi mais on va trouver”.
Ca dépeins aussi une administration qui considère les citoyens comme des menaces qu’il faut surveiller, typique d’un gouvernement qui , au fond, sais ne pas être légitime au yeux du plus grand nombre malgré les discours grandiloquents aux tribunes.
L’abandon de l’éducation civique en élémentaire était une erreur…
(*) Attention : Je crois que c’était l’administration sarko qui était à l’origine de l’idée, pas forcément sarko lui-même)
#12
Same players, plays again…
Interpol ferait mieux de balayer devant son comité directoire on a vu mieux comme crédibilité.
+1, rien n’a changé en 10ans
Pour citer Laurent Chemla: