Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pédocriminalité : vers une validation en urgence de l’usine à gaz pour surveiller les messageries

Peeping cops

Pédocriminalité : vers une validation en urgence de l’usine à gaz pour surveiller les messageries

Le groupe de travail des polices européennes a multiplié les réunions (sept en trois mois) pour finaliser les « questions techniques » liées à la proposition de règlement « établissant des règles pour prévenir et combattre les abus sexuels concernant les enfants ». Il a poussé à son adoption la semaine prochaine, avant la fin de la présidence belge du Conseil de l'UE le 30 juin.

Le 12 juin à 17h34

La présidence du Conseil de l'UE veut faire adopter la proposition de règlement européen de surveillance des contenus pédosexuels, révèle l'ex-eurodéputé pirate allemand Patrick Breyer, en pointe contre l'adoption de ce texte. Il est surnommé #ChatControl parce qu'il vise à scanner l'ensemble des images partagées par les utilisateurs de messageries (cf nos actus).

D'après ses informations, le COREPER II (pour Comité des représentants permanents, l'organisme de l'Union européenne qui prépare les travaux du Conseil de l'Union européenne), composé des représentants permanents de chacun des États membres, devrait adopter le projet de « compromis » récemment proposé par la Belgique, qui préside le Conseil de l'Union européenne jusqu'au 30 juin.

Sept réunions en 96 jours

Un rapport (.pdf) sur l'état d'avancement des travaux, daté du 7 juin dernier, souligne que sous la présidence belge, le groupe de travail « Law Enforcement Working Party - Police » (LEWP-P) a consacré « beaucoup de temps et d'efforts » à l'examen de nouvelles approches de la proposition de règlement « établissant des règles pour prévenir et combattre les abus sexuels concernant les enfants ». Même chose -pour la rédaction des textes de compromis, en y consacrant rien moins que sept réunions entre le 1er mars et le 4 juin.

La présidence s'y serait efforcée de « répondre aux préoccupations exprimées par certaines délégations en ce qui concerne la proportionnalité et le ciblage des ordres de détection et la cybersécurité ». Elle a notamment proposé « deux éléments constitutifs interdépendants » :

  1. l'amélioration de l'évaluation et de la catégorisation des risques des services, classés dans trois catégories : « risque élevé », « risque moyen » ou « risque faible », afin de « rendre les injonctions de détection plus ciblées »,
  2. la protection de la cybersécurité et des données chiffrées, « tout en maintenant les services utilisant le chiffrement de bout en bout dans le champ d'application des injonctions de détection ».

Une « surveillance de masse » du chiffrement de bout en bout

La présidence belge a, en effet, proposé de maintenir les services utilisant le chiffrement de bout en bout (E2EE) dans le champ d'application des injonctions de détection adressées aux services à haut risque. « À condition que cela n'oblige pas les fournisseurs à créer un accès aux données chiffrées de bout en bout », et que les technologies utilisées pour la détection « soient examinées en ce qui concerne leur efficacité, leur impact sur les droits fondamentaux et les risques pour la cybersécurité ».

La proposition belge de « compromis » prévoit dès lors un mécanisme scannant l'ensemble des photos et vidéos avant qu'elles ne soient envoyées dans les messageries, au moment où les utilisateurs vont les chercher dans la galerie de leurs terminaux, ou lorsqu'ils s'en serviront pour enregistrer des images à la volée.

Le « compromis » belge prévoit également que les utilisateurs « consentent » à cette surveillance : ils auront certes la possibilité de la refuser, mais ne pourront dès lors plus partager photos, vidéos et URL (les contenus audio ont aussi été exclus).

Un « consentement » contraint, et donc a priori contraire au RGPD, qui entraînera ce que l'ONG EDRi qualifie de « surveillance de masse », en violation du droit de correspondance protégé par la CEDH et la Charte des droits fondamentaux de l'UE.

Des « questions techniques » et une « usine à gaz »

Le texte ne précise pas, cela dit, comment seraient identifiées puis scannées les URL partagées par les utilisateurs. Rien non plus sur les informations qui seront envoyées aux personnes dont les images ou URL auraient été identifiées CSAM (pour « child sexual abuse material »). Rien aussi sur les procédures qu'elles pourraient mettre en œuvre pour contester ce type de signalement, au regard du risque particulièrement élevé de « faux positifs ».

Comme nous le relevions dans notre précédent article sur cette « usine à gaz », il n'évoque pas non plus les mesures qui pourraient être prises pour ne pas alerter les utilisateurs dont les contenus relèveraient véritablement de CSAM ou « les activités constituant la sollicitation d'enfants ("grooming") ». Un pédophile découvrant que les images ou URL qu'il prévoyait d'envoyer ont été bloquées pourrait en effet être tenté d'effacer les autres traces susceptibles de l'incriminer.

Le courrier n'en relève pas moins que, lors de la réunion du LEWP-P du 4 juin 2024, la présidence a noté qu'il n'était « pas nécessaire de poursuivre l'examen au niveau technique, étant donné que toutes les questions techniques avaient été traitées de manière exhaustive ». Elle n’a pour autant pas rendu publics les détails de la mise en œuvre de ces « questions techniques » :

« La présidence est déterminée à parvenir à un compromis et a l'intention, à la suite de la présentation de l'état d'avancement des travaux lors de la session du Conseil du 13 juin 2024, de publier un texte de compromis et d'inviter ensuite le Comité des représentants permanents à approuver un mandat de négociation partiel. »

Alexandre Archambault, avocat spécialiste du droit du numérique, relève que le texte devra ensuite être validé par le Parlement, tout en déplorant un mode opératoire « en catimini », à l'image de celui qui avait présidé à l'adoption du blocage des contenus sans juge.

Le courrier rappelle que la présidence belge avait aussi tenu à préciser que la détection ne devrait pas s'appliquer aux comptes utilisés par l'État à des fins de sécurité nationale, de maintien de l'ordre ou à des fins militaires. Mais sans que l'on comprenne non plus comment, techniquement, cela serait possible, sauf à créer une liste des personnes à ne pas surveiller, ironise Alexandre Archambault.

MàJ à 18h49 avec la remarque d'Alexandre Archambault sur la liste des personnes à ne pas surveiller.

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
L’Europe ressemble de plus en plus à un rêve totalitaire occupé à se refermer sur nous tous.
votre avatar
Tu es complotiste, 1000pts de moins
votre avatar
A priori il n'y a pas de complot, hein, ils avancent à visage découvert avec leurs intentions. Il suffit de voir les interactions d’Europol dans ce dossier... Si la cour Européenne de Justice ne censure pas un règlement pareil, ce sera la porte à tous les abus, également pour les autres droits fondamentaux.
votre avatar
Blague belge ! :eeek2: :nimp:

Scan intégral du terminal (phone/ordi/tablette/etc.)
Cool la proportionalité.
Et les faux positifs, si j'ai les photos de mes gamins à la plage, qui ne regardent que moi.

Et je ne parle même pas des photos que les ados s'envoient.
votre avatar
Tu reçois une photo pedo pour te nuire, avant tu supprimais la photo, avec cette loi tu vas serrer les fesses qu'on te réveille pas à 6h le lendemain.
votre avatar
Toi, t'as mal lu la news :windu:

En bref, ne t'inquiète pas.

"un mécanisme scannant l'ensemble des photos et vidéos avant qu'elles ne soient envoyées dans les messageries, au moment où les utilisateurs vont les chercher dans la galerie de leurs terminaux, ou lorsqu'ils s'en serviront pour enregistrer des images à la volée."

Tu pourras donc toujours recevoir des photos pédophiles depuis tes amis n'habitant pas l'Europe. Car c'est uniquement à l'envoi que c'est scanné, pas à la réception.
votre avatar
Ah j'avais pas fait attention à ce détail, merci.
Il reste les photos de famille qu'il faudra filtrer avant envoie. Et même, je me souviens de ces comptes gmail qui ont été supprimé pendant le COVID, les docteurs demandant des photos pour un diag' distant, et bim. Next en avait parlé je crois.
votre avatar
En tant que Belge, vous avez mon autorisation pour coller des baffes à l'élite politique en charge du dossier...
votre avatar
En tant que pédophile de longue date, zuuuuutttt, ah je suis piégé, je ne vais plus pouvoir envoyer de photos à mes amis via mon smartphone. Franchement, ils sont trop fort.
Heureusement, je pourrais toujours stocker ma collection sur mon smartphone sans les envoyer en cochant la case "je suis pédophile, mais je ne veux pas allez en prison, alors je ne partage pas mes photos".

Plus sérieusement, c'est tout simplement ridicule.

Techniquement:
- S'il y a un "contrôle des images via une IA" lors de l'ajout de photo à un message, alors ça passera forcement via l'API photo. Bon bah il suffira que les vilaines appli passent par l'API fichier en intégrant une galerie...
- Il se passe quoi si on envoi un zip avec la photo dedans... je suis un méchant pédophile, parce que je contourne la sécurité inviolable rédigée par des Bisounours débiles payés avec mes impôts pour pondre des kilomètres de conneries à la minute.

*"S'il vous plaît, messieurs les pédophiles, auriez vous l'obligeance:
- d'utiliser un smartphone compatible avec l'analyse d'image via IA
- d'utiliser les applications officielles certifiées par l'Europe scannant vos photos
- de cocher la case nous autorisant à scanner vos photos (c'est important, svp)
- d'envoyer des photos pédophiles à vos contacts pédophiles
- facultatif: pourriez vous aussi, svp, nous donner l'accès à vos contact, cela nous aiderait beaucoup
- merci infiniment"*

Sérieux, y a que des lèches cul au parlement? une bande de "oui, oui, vous avez raison maître"... Y a personne pour leur dire qu'ils sont complètement cons?

Quand je me dis que ces TdC sont payés par mes impôts, ça me donne envi de voter RN...
votre avatar
Assez d'accord sur le constat : c'est assez ridicule, tant d'un point de vue légal que technique.
Pas d'accord sur la solution proposée. C'est tomber dans le même piège qu'eux : c'est pas parce qu'une solution paraît simple qu'elle est valable.
votre avatar
Malheureusement on oublie un détail critique, au moins quand il s'agit des smartphones et de certains ordinateurs : le manque de choix.

Si tu as un smartphone Android, au mieux tu peux espérer installer LineageOS si tu s'en sors bien mais la quasi-totalité des usagers ne le fera pas. Si tu as un iPhone, tu n'as que iOS et si tu as un ordinateur Apple tu n'as que MacOS.

Dès lors, l'Europe peut exiger de Alphabet et Apple de blacklister toute application de messagerie qui ne joue pas le jeu. PlayProtect et son équivalent Apple existent déjà, et il y a déjà eu des désinstallations forcées d'apps dans l'histoire... Donc si pendant un temps des QKSMS et K-9 Mail et autres permettront de contourner, ça fonctionnera jusqu'à leur blacklistage. Certes ce sera contournable en multipliant les forks, jusqu'à ce que l'Europe fournisse une whitelist à respecter à la place.

On peut aussi imaginer qu'avec la généralisation des NPUs que Windows sera équipé pour vérifier le contenu que l'on expédie par webmail. Ce n'est pas comme si c'était compliqué, ça existe déjà (Recall, après un ajustement ça fera le job) ! Une fenêtre du navigateur pour demander l'autorisation et c'est parti. C'est juste une question de quelques années.

Bref, je n'ai pas l'impression que ce soit tant une usine à gaz que cela, c'est très faisable et c'est bien le problème.

Au final on crie à la montée de l'extrème-droite en Europe et notamment en France, mais on n'en avait pas besoin en fait, on avait juste besoin de la Belgique. Déjà que je ne les aimais pas tellement, ce sera pire dans quelques jours :censored: Je propose une bonne l'invasion pour régler définitivement le problème :devil:
votre avatar
Tu peux installer des apk sur Android, et avec le side loading Apple, tu pourras aussi charger des applis sans passer par le store.

Si le texte passe, il sera simplement inapplicable. Les constructeurs ne maintiennent pas les OS, ça veut dire que pendant quasiment 10 ans, t'auras des gens fliqués et d'autres non. Et un pédophile, c'est pas forcément un neuneu, il va pas utiliser un tel fliqué...
votre avatar
J'ai installé Yet Another Call Blocker depuis F-Droid sur un Android 8.0, version qui doit dater de 2018. Ça n'empêche pas PlayProtect de pester car cette application est maintenant considéré dangereuse par Alphabet depuis environ 4 mois.

Qui plus est, Alphabet est capable d'effacer des applications sur les devices des usagers peu importe leur provenance, ce qui est d'ailleurs spécifié dans les Conditions d'utilisation de Google Play :
Afin de vous protéger contre les logiciels malveillants tiers, les URL présentant un risque et d'autres problèmes de sécurité, Google peut recevoir des informations concernant votre Appareil, par exemple au sujet [...] des applications installées sur votre Appareil depuis Google Play ou d'autres sources. Nous pouvons vous avertir si nous considérons qu'une URL ou une application est dangereuse, et nous pouvons également la désinstaller ou bloquer son installation sur votre Appareil si sa dangerosité pour les appareils, les données ou les utilisateurs est avérée.[...]

Il suffit de dire que les applications de messagerie non-homologuées sont dangereuses et ça passera. Vraiment je ne vois pas l'inapplicabilité de ce texte, les outils les plus critiques pour son exécution existent déjà.

Oui, il est bien spécifié que « Vous pouvez désactiver certaines de ces protections dans les paramètres de votre Appareil » ce que j'ai fait pour faire taire ce PlayProtect pénible, mais je doute que ça empêche Alphabet d'effacer une application pour autant.

La seule façon serait d'installer LineageOS SANS les services Google. Les plus déterminés le feront, ils seront suspects par défaut et leur faible nombre réduira la charge de travail pour les services de renseignement. Les usagers normaux eux se laisseront contrôler automatiquement peu importe les futures extensions à d'autres « causes », et ce sera ça en moins à surveiller.
votre avatar
Un dumbphone avec kaiOS, utilisable par beaucoup et sans bidouille
votre avatar
Windows est le 2eme meilleurs choix avant linux pour un mac Intel et la famille bsd passe très bien aussi
votre avatar
Yep.
Un/plusieurs OS libres pour les smartphones va commencer à devenir une urgence.
votre avatar
Android, (plus précisement AOSP) est sous licence Apache 2.0... Sur les smartphones, le problème ne vient pas de l'OS, mais des drivers et autres firmwares.
votre avatar
Techniquement, SailfishOS n’est pas assez libre, mais ça reste ce qui s’en rapproche le plus dans ce qui rentre dans la catégorie des « utilisables au quotidien ». Les autres alternatives sont apparemment trop buggées pour pouvoir être utilisées comme téléphone unique.
votre avatar
Il existe https://iode.tech/ et https://e.foundation/fr/ comme versions AOSP viables
votre avatar
Le temps de lancer l'invasion, vous aurez un gouvernement du même bord que ceux qui se sont occupé du dossier chez nous... ça ne va pas changer grand-chose du coup.
votre avatar
Je suis d'accord avec tout, sauf la dernière phrase : les DE RN sont les premiers à voter ce genre de lois qui répriment les libertés. Surtout si ce sont des lois profondément débiles et malfoutues, comme tu l'as bien montré.
votre avatar
Ta liste me rappelle une image sur le premier virus belge de l'histoire de l'informatique:
Virus Belge

Sinon, je suis globalement d'accord avec toi.
votre avatar
Qui croit que ce texte est dédié à la lutte contre la pédocriminalité ?

Il m’apparaît plutôt destiné à surveiller tous les échanges privés et chiffrés de bout en bout.
votre avatar
Bien entendu. C'est en fait un prétexte pour affaiblir la confidentialité de la correspondance pour ensuite pouvoir tout analyser. L'Europe attaque directement la sphère privée, c'est le coup d'envoi de la déconstruction des droits fondamentaux au nom de la lutte contre les crimes de droit commun.

Et une Union Européenne qui n'a plus de places pour les droits fondamentaux n'a pas à continuer à exister.
votre avatar
Je suis d'accord avec ta dernière phrase.

Si l'Europe devient la justification à la perte de droits fondamentaux, alors elle doit disparaitre.
votre avatar
Ne jamais oublier que l’Europe n’est que l’extension de nos gouvernements. Et je n’ai pas spécialement vu le gouvernement français s’opposer à ces mesures (ni d’ailleurs, de manière triste, aucun des partis principaux se positionner clairement là-dessus). Avant de blâmer l’Europe, il faut nettoyer devant sa porte.
votre avatar
Techniquement tu as raison, mais la politique, c'est toujours du gris, du non-dit, de la magouille.
Avec un texte européen, on nous dira en France que c'est pas de la faute au gvnt, c'est a cause de l'Europe.

Fondamentalement, je suis pro Europe pour peser dans le monde, et car beaucoup de décisions européennes étaient pertinentes et allaient dans le bon sens.
Mais si l'Europe se gangrène de politicards corrompus, c'est une nouvelle force a devoir combattre.

Autrement dit, combattre une décision de merde française, on y arrive encore parfois. Mais combattre une décision de merde française, en adéquation avec une décision européenne, ca risque d'être beaucoup plus compliqué.
votre avatar
Comme d'habitude, ils essaient de pousser ce type de dispositif au motif de lutter contre (rayer la mention inutile) la pédophilie, les néonazis, le trafic de stupéfiants, les terroristes, j'en passe et des meilleures. Et après c'est utilisé pour tout et n'importe quoi. 10 ans après, on a un bon gros scandale car ça a été utilisé par un politique pour se venger de quelqu'un dans une affaire perso, par un gouvernement pour espionner l'opposition ou vendu à un état voyou pour massacrer sa population.

Bref, c'est une fois de plus une boite de Pandore qu'il ne faut surtout pas ouvrir. En plus techniquement, c'est impossible à mettre en place sans backdoor et sans violer le secret des correspondances.

Ca fait partie d'un fantasme techniciste. Certains politiciens incultes sur le numérique pensent que ce type de techno est efficace, pas si chère, maitrisable et autonome. En fait on le sait bien, pour lutter contre les affreux, 80% du taf est fait par du renseignement humain. La techno est juste là pour séparer le bon grain de l'ivraie et accélérer les traitements de données.
votre avatar
L’histoire du père de famille qui remarque des rougeurs importantes sur le sexe (masculin) de son enfant (3-4 ans), ainsi que sur le pubis. Contacte le médecin qui ne peut pas se déplacer rapidement et ainsi que le père.

Le médecin lui demande de lui envoyer quelques photos pour un 1er diagnostic rapide. Il envoie les photos par messagerie instantanée mais les photos sont aussi sauvegardées en automatique sur son Google Photos (comme pour mon téléphone d'ailleurs).

3 jours plus tard, compte Google totalement verrouillé. Des semaines à batailler avec Google, même avec le support du médecin qui a écrit un email à Google pour expliquer et je ne sais même pas s’il a pu récupérer son compte Google au final. Super…

Quand le mieux est l’ennemi du bien… :cartonrouge:
.
votre avatar
complètement dingue. analyse de toutes les photos prises sur les téléphones. Ca va au delà de tout...
votre avatar
Là où l’extrême-droite et la droite dure sont majoritaires, nos droits trépassent.
votre avatar
Tu as oublié l'extrême-gauche, la gauche, le centre et l'extrême-centre.
votre avatar
Qui sont très minoritaires en Europe.
votre avatar
J'arrive pas à savoir si c'est un mauvais ou un jolie troll.
votre avatar
Aucun des deux.
votre avatar
Tout dépend du référentiel qui a beaucoup bougé :
x.com Twitter
x.com Twitter

Pédocriminalité : vers une validation en urgence de l’usine à gaz pour surveiller les messageries

  • Sept réunions en 96 jours

  • Une « surveillance de masse » du chiffrement de bout en bout

  • Des « questions techniques » et une « usine à gaz »

Fermer