À l'occasion de débats sur une proposition de Règlement européen à propos de la lutte contre les abus sexuels sur les enfants, des responsables européens, et au premier chef ceux de l'Espagne, mettent de nouveau en question l'utilisation du chiffrement de bout en bout.
Un document, transmis à Wired par une source qui n'était pas autorisée à le divulguer, révèle que l'Espagne voudrait interdire le chiffrement de bout en bout (E2EE), au motif qu'il est « impératif que nous ayons accès aux données ».
Le document, une enquête du Conseil européen sur les opinions des pays membres concernant la réglementation en matière de chiffrement, présente leurs opinions sur la manière d'élaborer le projet très controversé visant à mettre fin à la diffusion de matériel pédopornographique en Europe.
Surnommé #ChatControl par ses opposants, cette proposition de Règlement européen et du Conseil « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » obligerait les plateformes et les messageries chiffrées à surveiller les messages privés de leurs utilisateurs.
Daté du 12 avril 2023, le document contient les points de vue des membres du groupe de travail « Police Law Enforcement Working Party », un groupe du Conseil de l'Union européenne qui s'intéresse aux points de vue des forces de l'ordre sur la législation.
Une série de questions vise notamment à savoir s'ils considèrent le chiffrement de bout en bout comme une entrave à leur travail de lutte contre les abus sexuels sur les enfants (CSAM, pour « child sexual abuse material »), et s'ils seraient favorables à l'ajout d'une formulation à la loi disposant que le chiffrement ne doit pas être affaibli.
Sur les 20 pays de l'UE représentés dans le document (dont la France ne fait pas partie), la majorité s'est déclarée en faveur d'une certaine forme d'analyse des messages chiffrés, la position de l'Espagne apparaissant comme la plus extrême :
« Idéalement, à notre avis, il serait souhaitable d'empêcher légalement les fournisseurs de services basés dans l'UE de mettre en œuvre le chiffrement de bout en bout. »
15 des 20 pays soutiennent le projet de #Chatcontrol
Sur les 20 pays mentionnés dans le document, 15 ont exprimé leur soutien à l'idée de scanner les communications chiffrées de bout en bout à la recherche de CSAM.
« Il est de la plus haute importance de formuler clairement dans le règlement que le chiffrement de bout en bout n'est pas une raison pour ne pas signaler le CSAM », expliquent les représentants de la Croatie.
« Les ordres de détection doivent nécessairement s'appliquer aux réseaux chiffrés », abondent ceux de la Slovénie. « Nous ne voulons pas que le chiffrement E2EE devienne un "refuge" pour les acteurs malveillants », ajoutent ceux de la Roumanie.
Les représentants de Chypre indiquent qu'il est « nécessaire » que les autorités chargées de l'application de la loi aient la possibilité d'accéder aux communications chiffrées pour enquêter sur les délits d'abus sexuels en ligne et que « l'impact de ce règlement est significatif car il créera un précédent pour d'autres secteurs à l'avenir ».
« De nouvelles méthodes d'interception et d'accès aux données sont nécessaires » pour aider les forces de l'ordre, plussoient les représentants hongrois.
Une proposition techniquement impossible, sauf à casser le chiffrement
Ceux du Danemark et de l'Irlande soutiennent l'analyse des messageries chiffrées à la recherche de matériel pédopornographique, tout en approuvant l'inclusion dans la loi d'une formulation qui protègerait le chiffrement de bout en bout.
Or, souligne Wired, les cryptographes et les experts en cybersécurité n'ont de cesse de répéter, depuis des années, qu'il est techniquement impossible d'analyser les messages chiffrés à la recherche de contenus illégaux sans altérer ou briser les fonctions de sécurité offertes par le chiffrement :
« Si les forces de l'ordre disposent d'un moyen de déchiffrer les messages, des pirates informatiques ou des personnes travaillant pour le compte de gouvernements pourraient exploiter les mêmes capacités. »
Les représentants des Pays-Bas déclarent pour leur part que cela serait possible grâce à une analyse effectuée « sur l'appareil » lui-même avant que le matériel illégal ne soit chiffré et envoyé. « Il existe des technologies qui peuvent permettre la détection automatique des CSAM tout en laissant intact le chiffrement de bout en bout », écrivent-ils dans le document.
L'Allemagne, la Finlande, l'Italie et l'Estonie défendent le chiffrement
Wired relève également que « de nombreuses nations semblent vouloir soutenir fermement le chiffrement de bout en bout ». Les représentants de l'Italie estiment ainsi que la proposition serait disproportionnée : « Il s'agirait d'un contrôle généralisé de toute la correspondance chiffrée envoyée sur le web ».
Ceux de l'Estonie avertissent que si l'UE rendait obligatoire l'analyse des messages chiffrés de bout en bout, les entreprises devraient soit revoir la conception de leurs systèmes afin de pouvoir décrypter les données, soit cesser d'offrir leurs services dans l'UE.
Dans une lettre ouverte, sept messageries sécurisées (Element, Session, Signal, Threema, Viber, WhatsApp et Wire) ont ainsi récemment souligné que ce type de projets anti-chiffrement, qui tendent à s'accumuler (on en dénombrerait au moins sept), pourrait détruire le chiffrement de bout en bout, et les pousser à cesser leurs activités dans les pays concernés.
- Une lettre ouverte contre les sept projets de loi anti-chiffrement
- Une coalition policière internationale appelle Meta à ne pas étendre le chiffrement de bout en bout
Les représentants finlandais ont demandé à la Commission européenne de fournir davantage d'informations sur les technologies permettant de lutter contre les abus sexuels commis sur des enfants sans mettre en péril la sécurité en ligne, mais également averti leurs homologues que la proposition pourrait être contraire à la constitution finlandaise.
Une position conforme à l'analyse du service juridique du Conseil de l'Union européenne, qui estime que le projet de surveillance des messageries chiffrées, afin de lutter contre le partage de contenus pédocriminels, serait disproportionné, conduirait à une surveillance généralisée, et serait probablement jugé illégal par les instances de l'UE.
Les représentants de l'Allemagne, un pays qui s'est fermement opposé à la proposition, relève Wired, ont pour leur part déclaré que le projet de loi devait explicitement stipuler qu'aucune technologie ne serait utilisée pour perturber, contourner ou modifier le chiffrement : « Cela signifie que le projet de texte doit être révisé avant que l'Allemagne ne puisse l'accepter ».
La France ne faisant pas partie de ce groupe de travail, sa position reste encore à éclaircir.
Commentaires (40)
#1
Mer ils sont fous!
#2
Pour moi ça montre aussi que les états ne pensent qu’en terme “d’entreprise” : Pour eux , un tel service ne peux exister que dans le contexte juridique d’une “entreprise” , immatriculé & vérifiée.
Mais par exemple, signal c’est un projet github : https://github.com/signalapp tout autant qu’une entreprise https://www.signal.org .
=> Du coup comment on “cesse d’offrir des services dans l’EU” dans ce cas ?
Ce serait aux états de prendre eux-même des mesures pour bloquer des serveurs tiers (situés parfois au sein de l’UE, mais aussi souvent en dehors).
Sur le fond, le problème est surtout qu’a partir du moment où l’on “interdit” le chiffrement de bout en bout à tout le monde, on admets implicitement 2 choses :
A la lumière des évènements récents je trouve que c’est quand même beaucoup demander.
Moi je vois plutôt une dérive vers le fait que la simple utilisation d’une appli qui utilises le chiffrement de bout en bout sera considéré comme une circonstance aggravante & une présomption de culpabilité lors d’une enquête quel qu’en soit le sujet.
(Dans le contexte d’une tension grandissante entre les jeunes écologistes “désobéissants civils” et les vieux boomers accrochés à leurs habitudes, ça risque d’être de plus en plus problématique)
#2.1
J’ai mieux, comment tu bloques des serveurs qui n’existent pas ?
Par exemple si tu utilisent la messagerie décentralisé Cwtch ?
Pour l’instant je suis sur Olvid parce que c’est Français (et que Cwtch a des inconvenients du genre : c’est en direct donc tu ne peux pas envoyer de message à quelqu’un de déconnecté) mais je pense qu’il va falloir que je passe sur du chiffré full décentralisé.
#3
Et si ca passe, il y aura forcément un moment où ca se retournera contre eux. Avec en réponse : “qui aurait pu prédire ce retournement?”
#3.1
[quote] La France ne faisant pas partie de ce groupe de travail, sa position reste encore à éclaircir.[/quote]
Clairement, on connait la position du gouvernement “le chiffrement c’est mal toussa”, on connait la position de l’ANSSI “le chiffrement c’est bien”
On sait qui parle au final, et qui dirige qui entre les deux, la devinette va pas être très longue hélas.
Y’a quelques années, en France, c’était pratiquement les seuls qui avaient le droit d’en utiliser d’ailleurs, outre les entreprises du milieu de la défense et quelques rares exceptions.
Les personnes lambda n’y avaient pas accès “trop dangereux”.
Souvenirs souvenirs …
#4
Surtout, il me semble que certains membres du gouvernement (parlementaires, ministres, … en France en tout cas) utilisaient Telegram (ou un service analogue) pour la discussion, qui est chiffré de bout en bout.
Si c’est ce service qui a été choisi, c’était pour la sécurité. Il en aurait été de même si Telegram avait une porte dérobée “officielle”, telle que souhaité par certains pays européens ?
Mieux, les services promus par l’Etat français comme Tchap disposent-ils également de ce genre de porte dérobée ?
Bien que je comprenne qu’ils puissent ne pas en avoir, ce serait pas une différence de traitement vis-à-vis du citoyen lambda ? On considère d’office que l’agent qui s’en sert est nécessairement au-dessus de tout soupçon ?
#5
Ce qui se passe, c’est surtout une attaque sur les droits humains: les états et la commission poussent juste pour faire péter le principe de proportionnalité.
Si le règlement dit “chatcontrol” devait passer la barre de la CEUJ , on aurai non seulement une violation massive des droits fondamentaux de tous les citoyens de l’U.E. avec la fin effective du secret de la correspondance, mais aussi un précédent réutilisable ad nauseam pour justifier les législations commettant d’autres atteintes massives aux droits fondamentaux, que ce soit au niveau européen ou national.
On est peut-être occupés à regarder les dernières pelletés de terre ensevelir le cercueil de l’Europe des droits humains qu’on nous avait vendu dans les années 90-2000.
#6
Dans une lettre ouverte, sept messageries sécurisées (Element, Session, Signal, Threema, Viber, WhatsApp et Wire)
Teams et Zoom proposent aussi le chiffrement de bout en bout, je pense qu’il y en a d’autres.
Les chefs d’états doivent utiliser une solution avec chiffrement de bout en bout
#7
Ah, le retour de la réglementation du chiffrement. Les plus jeunes n’ont pas connu cette époque où ssh était interdit ; on avait la magnifique version ssf pour la France.
#8
Tous ces sujets m’énervent parce qu’ils sont discutés au sein des parlements par des personnes qui utilisent encore “le mulot et la biscotte” . Quand ils vont découvrir caramail et compagnies ils vont avoir un choc !
Beaucoup de personne proclament haut et fort qu’ils n’ont rien à cacher et que par conséquent… lisez dans ma vie comme dans un livre ouvert. Même si c’est le fisc, la police ?
Je vais pousser un cri : crotte.
Je vais ressortir mon papier, mes enveloppes et envoyer mes messages aux petites annonces.
Est-ce que ce n’est une violation des autres règlements qui nous protègeraient ?
#9
Est-ce qu’on peut espérer qu’un jour, peut-être, ce serpent de mer arrêtera de revenir encore et encore…?
#9.1
Non, parce que le temps que ça monte au cerveau et que la modification soit votée puis appliquée, ceux qui sont visées par le texte (visons large : pédophiles, terroristes, violation du droit d’auteur) auront déjà changé de méthodologie au moins 3 fois.
Mais au moins, les Etats pourront surveiller les correspondances de Mamie Jeannine qui partage la recette secrète de sa tarte, et ça c’est cool.
#9.2
Non, il y a des applications concrètes pour ce genre de surveillance de masse:
…
Et selon le degré de banqueroute morale des pays:
Avec le réchauffement climatique, on est en route pour une période de crises inédite dans l’histoire de l’humanité, et il est maintenant évident que la réponse de nos états va plutôt se rediriger vers les effets plutôt que les causes, et une partie de ces effets anticipés nécessite, aux yeux de nos dirigeants actuels, de gonfler l’appareil sécuritaire quitte à écarter certains droits fondamentaux.
#9.3
Je parlais d’un usage “démocratique”.
L’interdiction du chiffrement de bout en bout est une évidence pour les pays ayant des pratiques démocratique discutables.
#9.4
Dans le contexte actuel, les pays ayant ou désireux d’avoir des pratiques démocratiques discutables sont une écrasante majorité…
#9.5
Je pensais plus à la Chine, par exemple.
#9.6
Pas besoin d’aller si loin… les pratiques démocratiques discutables s’invitent largement chez nous (en U.E.) maintenant…
#10
du coup, on n’a pas le droit de joindre un fichier 7z chiffré AES ?
Ca se passe comment ? Y aura du Deep Packet Inspection sur les trames SMTP ?
#11
On a maintenant la liste des méchants pays Européens qui veulent casser le chiffrement et celle de ceux qui l’ont déjà cassé et préfèrent laisser croire aux citoyen qu’ils sont soucieux de leurs vie privée.
#12
Sur la base des réflexions en cours, Je pense qu’il est grand temps de penser à interdire les couteaux et de mandater un cabinet de conseil pour voir s’il ne serait pas pertinent de faire de même avec les fourchettes !
#13
On peut donc considérer qu’ils sont au moins 15 en Europe …
#14
Avant propos. L’horreur des abus sur enfants est criminel (et déjà considéré comme) et doit être combatu et poursuivi.
Mainenant, il faut un peu arreté de cette excuse pour violer encore plus le droit au secret des correspondances. (Qui est lui aussi protégé par la Loi :
Certains dirigeants oublient un peu qu’en matière de droit il y a aussi un principe de propotionalité entre les moyens et le but.
#15
Ah ah ! Dans les années 1970, une anecdote rapportée par Yves Stourdzé dans son ouvrage posthume Pour une poignée d’électron (Fayard, 1987), en France, lors du plan téléphone où l’objectif était que le téléphone se répande dans tous les foyers, des élus (sénateurs ou députés) s’inquiétaient de ce que ça allait permettre aux Français de s’échanger facilement des trucs pornos.
Des décennies après on retrouve le même type de pieuse préoccupation mise au goût du jour (attention, je ne suis pas en train de dire que la pédopornographie c’est bien ou d’en minimiser les dégâts, c’est quelque chose qu’il convient de combattre) parce que, évidemment, il ne s’agit pas du tout, mais alors pas du tout d’avoir les moyens de pouvoir surveiller la population au cas où.
Asimov a écrit quelque part que les gouvernements haïssaient tout système de communication qu’ils ne peuvent pas contrôler. Ça se vérifie toujours, hélas.
#16
Au delà de l’intérêt et de la démarche, largement discutable (en terme de réponse proportionnée à un problème bien réel qui n’a pas attendu les NTC pour exister), je m’interroge sur la faisabilité technique. Internet étant ce qu’il est, comment serait-il possible d’empêcher concrètement un échange chiffré de bout en bout ? Sauf à analyser en temps réel tout les flux de données transitant par L’UE, en supposant qu’on puisse détecter instantanément toute donnée chiffrée, la seule solution serait d’instaurer une gigantesque blacklist européenne blanquant tout échange depuis ou vers les dites IP / serveur ? J’ai bon ? Même avec l’ip v6, on serait rapidement dépourvu non ?
#16.1
Tant qu’on se paluche avec les questions de faisabilité technique, on ne se concentre pas sur l’atteinte à nos droits. Faisable ou infaisable, on s’en fout, le problème est que nos dirigeants s’attaquent à nos droits fondamentaux qui sont supposés être des fondements de l’U.E. .
#16.2
Là, au niveau de l’article, je ne suis pas sûr qu’on parle des dirigeants, qui ont quand même une responsabilité devant leur peuple électeur, mais plutôt de fonctionnaires de police qui demandent un maximum de contrôle sur la population, avec une certaine facilité.
C’est le rôle de la population de les renvoyer à leur métier: ce n’est pas en écoutant tout le monde que l’on se renseigne, mais en infiltrant les réseaux, en posant des pièges pour les délinquants.
#17
C’est comme attaqué un moustique avec du napalm. Le chiffrement de bout en bout est bien plus utile et important qu’il n’est utilisé pour des actions délictuelles. Toujours le même épouvantail.
#18
Tous nos politicards, et je parle tous courants confondus, seraient ravis d’avoir la clé de chez nous “pour notre bien”. Je ne peux pas m’empêcher de m’étonner de voir ce genre de mesures votées sous couvert de justifications ouvertement mensongères alors que la peau de chagrin que sont devenues nos vies privées continue de se réduire dans l’indifférence de tous ceux qui jouent à l’autruche !
#18.1
Je pense que le “tout courant confondus” est erroné, on voit bien lors des votes que certains partis sont plus sensibles à la question des droits humains ou de la vie privée que d’autres, et on voit lors des votes qui défend quelle vision de la société.
Prétendre qu’ils sont tous pareils et que tout le monde est indifférent est totalement faux. Maintenant le problème est que de nombreux électeurs préfèrent avoir de la merde dans les yeux et soit ne pas voter du tout en se disant ‘tous pareils, tous pourris’, ou voter complètement à l’opposé de leurs intérêts parcequ’ils se font laver le cerveau par les chaînes de télé des milliardaires ou aux ordres du pouvoir en place.
#19
+1
Je suis pas certain que la plupart des politiciens & des élus comprennent quoique ce soit à tout ça.
C’est là où le choix de ces représantants est important d’ailleurs, s’assurer que ce soit pas le dernier qui a parlé qui a raison.
Là à mon sens (mais c’était aussi le cas aux USA après la tuerie de San Bernadino) c’est la police qui essaie de se simplifier la vie , sans égards pour la vie privée des gens et la nécessaire existance de la constestation sociale et politique.
#20
Pédopornographie:
sésame/mot magique pour essayer de faire plier toute loi ou règlementation qui visent encore à protéger la vie privée des citoyens
Apple a bien essayé mais s’est pris une grosse rouste dans la face, quel dommage, pity…
).
Sinon pour tous ceux qui n’avaient pas vu le truc :
Bienvenu dans 1984 v2.0
(mais en mode shadow undercover …) 
#21
Mais pour lutter contre la pédopornographie, il faudrait avant tout que les pédopornographes avérés soient lourdement condamnés quand ils se sont fait attraper.
Il suffit de voir qu’un triple condamné comme le fils De La Charrière n’écope que d’une peine aménagée (bracelet).
Mais vous simples quidams, irez au frigo et serez fichés S si vous refusez de donner votre ADN ou vos clés de chiffrement de tél, ordis, etc. quand on vous aura arrêté en marge d’une manif…
#21.1
Les prisons débordent déjà et l’effet dissuasif sur les autres dans ce genre de comportements, je n’y crois guère, ça les amène juste à prendre encore plus de précautions pour se cacher.
#22
Je doute que beaucoup de gens l’utilisaient. Pour ma part ça a toujours été SSH (j’ai commencé à utiliser Linux en 1998).
#23
Des trucs pornos par téléphone ?? Comment ça ?
#23.1
Il n’y a pas que l’image : des propos salaces, voire plus. Au début des années 1990, il y a même eu des services téléphoniques de pornographie tarifé, à la grande époque des numéros de téléphone surtaxés où il y avait foultitude de services divers.
#23.2
Effectivement, le “téléphone rose”, mais je me demande quel en était le développement dans les années 70, ça me semble plutôt un développement dans les années 80 et 90.
Je réagissais au propos du commentateur qui parlait d’un bouquin mentionnant des élus qui se seraient inquiétés de ça, ça devait être quelques gugusses et loin d’être une inquiétude répandue parmi les élus.
#24
Jamais entendu ça. Tu te fais un délire tout seul.
Évidemment.
Quelle chaîne de télé serait aux ordres du pouvoir en place en France ?
Faut être sérieux, ça fait bien longtemps que ce n’est plus cas.
D’ailleurs vu le vote extrémistes (RN + LFI en tête) qui monte ces dernières années, le lavage de cerveau (s’il y en a), c’est pas vraiment en faveur du pouvoir en place. Déjà on a CNews côté RN, et quelque part les chaînes d’info continue dans leur ensemble favorise aussi les extrêmes, en montant en épingle les mouvements protestataires et pas les plus gentils. De manière plus soft, une radio comme France Inter est très tendre avec les excès côté LFI depuis 2022, je peux le dire vu que je l’écoute tous les matins et que ce n’est pas mon sentiment isolé.
#25
Dans certains milieux professionnels, tu es bien obligé de respecter la législation. Personnellement, je l’ai utilisé parce que je n’avais pas le choix. Et finalement, en 1999 la sécurité de ssf n’était pas si mauvaise en comparaison des nombreux système où rlogin et telnet continuaient d’exister.
#26