Agrandir / Application Signal sur un téléphone.
Getty Images
L’organisation à but non lucratif responsable de l’application Signal Messenger est prête à quitter le Royaume-Uni si le pays exige que les fournisseurs de communications cryptées modifient leurs produits pour s’assurer que les messages des utilisateurs sont exempts de matériel nocif pour les enfants.
“Nous quitterions absolument n’importe quel pays si le choix était entre rester dans le pays et saper les promesses strictes de confidentialité que nous faisons aux personnes qui comptent sur nous”, a déclaré Meredith Whittaker, PDG de Signal, à Ars. “Le Royaume-Uni ne fait pas exception.”
Les commentaires de Whittaker sont intervenus alors que le Parlement britannique est en train de rédiger une législation connue sous le nom de projet de loi sur la sécurité en ligne. Le projet de loi, présenté par l’ancien Premier ministre Boris Johnson, est une législation radicale qui oblige pratiquement tous les fournisseurs de contenu généré par les utilisateurs à bloquer les contenus pédopornographiques, souvent abrégés en CSAM ou CSA. Les fournisseurs doivent également s’assurer que tout contenu légal accessible aux mineurs, y compris les sujets d’automutilation, est adapté à leur âge.
E2EE dans le collimateur
Les dispositions du projet de loi visent spécifiquement le cryptage de bout en bout, qui est une forme de cryptage qui permet uniquement aux expéditeurs et aux destinataires d’un message d’accéder à la forme lisible par l’homme du contenu. Généralement abrégé en E2EE, il utilise un mécanisme qui empêche même le fournisseur de services de déchiffrer les messages chiffrés. Un E2EE robuste activé par défaut est le principal argument de vente de Signal auprès de ses plus de 100 millions d’utilisateurs. Les autres services offrant E2EE incluent Apple iMessages, WhatsApp, Telegram et Meta’s Messenger, bien que tous ne le fournissent pas par défaut.
Publicité
En vertu d’une disposition du projet de loi sur la sécurité en ligne, les fournisseurs de services ne sont pas autorisés à fournir des informations « cryptées de telle sorte qu’il est impossible pour [UK telecommunications regulator] Ofcom pour le comprendre, ou produit un document qui est crypté de sorte qu’il n’est pas possible pour l’Ofcom de comprendre les informations qu’il contient », et lorsque l’intention est d’empêcher l’agence de surveillance britannique de comprendre ces informations.
Une évaluation d’impact rédigée par le ministère britannique du numérique, de la culture, des médias et des sports indique explicitement que l’E2EE entre dans le champ d’application de la législation. Une section de l’évaluation indique :
Le gouvernement est favorable à un cryptage fort pour protéger la vie privée des utilisateurs, mais il est à craindre qu’un passage à des systèmes cryptés de bout en bout, lorsque les problèmes de sécurité publique ne sont pas pris en compte, érode un certain nombre de méthodologies de sécurité en ligne existantes. Cela pourrait avoir des conséquences importantes sur la capacité des entreprises technologiques à lutter contre le toilettage, le partage de matériel CSA et d’autres comportements nuisibles ou illégaux sur leurs plateformes. Les entreprises devront évaluer régulièrement le risque de préjudice sur leurs services, y compris les risques liés au chiffrement de bout en bout. Ils devraient également évaluer les risques avant toute modification de conception importante, comme le passage au chiffrement de bout en bout. Les prestataires de services devront alors prendre des mesures raisonnablement réalisables pour atténuer les risques qu’ils identifient.
Le projet de loi ne prévoit pas de moyen spécifique pour les fournisseurs de services E2EE de se conformer. Au lieu de cela, il finance cinq organisations pour développer “des moyens innovants par lesquels des images ou des vidéos sexuellement explicites d’enfants peuvent être détectées et traitées dans des environnements cryptés de bout en bout, tout en garantissant le respect de la vie privée des utilisateurs”.