Photo de rc.xyz NFT gallery sur Unsplash La présidente de la fondation Signal Meredith Whittaker se prononce contre le projet envisagé en Europe pour surveiller les messageries et repérer les contenus pédocriminels. Elle fustige une solution qui ne serait qu'un seul renommage de l'« analyse côté client » qui « ne garantit pas une prévention efficace de la criminalité et n'empêche pas la surveillance ».
Alors que l'Union européenne envisage de valider en urgence l’usine à gaz pour surveiller les messageries, Meredith Whittaker s'oppose vivement à cette solution nommée "modération de l'envoi de fichier" [upload moderation, en anglais] par ses défenseurs. « La "modération de l'envoi de fichier" compromet le chiffrement de bout en bout » affirme-t-elle dans une déclaration au nom de la fondation Signal (.pdf).
La présidente de la fondation s'insurge : « le chiffrement de bout en bout est la technologie dont nous disposons pour garantir la protection de la vie privée à une époque où l'État et les entreprises exercent une surveillance sans précédent. Et le dangereux désir de le compromettre ne semble jamais s'éteindre ».
Meredith Whittaker n'avait jusque-là fait que des déclarations de principes d'opposition à cette proposition de modération.
Avis d'experte
Dans ce texte, elle prend sa casquette de chercheuse (tout en signant en tant que Présidente de la fondation Signal) et affirme que « depuis des décennies, les experts sont formels : il n'existe aucun moyen de préserver l'intégrité du chiffrement de bout en bout tout en exposant les contenus chiffrés à la surveillance ».
Alors que la présidence du Conseil de l'UE veut maintenant faire adopter la proposition de règlement européen de surveillance des contenus pédosexuels, la présidente de la fondation Signal rappelle que le Parlement européen avait pourtant exclu le chiffrement de bout en bout de la surveillance de masse en fin d'année dernière.
Un renommage rhétorique
Pour Meredith Whittaker, la solution de "modération de l'envoi de fichier" n'est qu'un renommage de celle nommée jusqu'à maintenant « analyse côté client ».
Et la responsable de la fondation, qui est aussi chercheuse en informatique, renvoie vers l'article scientifique « Bugs in our pockets: the risks of client-side scanning » publié en janvier dernier dans la revue Journal of Cybersecurity. Les auteurs y expliquent que « l'analyse côté client ne garantit pas une prévention efficace de la criminalité et n'empêche pas la surveillance ».
« Il est impossible de mettre en œuvre de telles propositions dans le contexte de communications chiffrées de bout en bout sans saper fondamentalement le chiffrement et créer une vulnérabilité dangereuse dans le cœur de l'infrastructure qui aurait des répercussions mondiales bien au-delà de l'Europe » affirme-t-elle.
Elle ajoute qu' « au lieu d'accepter cette réalité mathématique fondamentale, certains pays européens continuent à jouer à des jeux rhétoriques. Ils sont revenus à la charge avec la même idée sous une nouvelle étiquette ».
Pas de solution sans compromission du chiffrement de bout en bout
« Certains prétendent que la "modération de l'envoi de fichier" ne nuit pas au chiffrement car elle intervient avant que votre message ou votre vidéo ne soit chiffré. C'est faux », explique-t-elle.
La chercheuse détaille un peu plus : « soyons donc très clairs, une fois de plus : l'obligation de scanner en masse les communications privées sape fondamentalement le chiffrement. Un point c'est tout. Que ce soit en altérant, par exemple, la génération de nombres aléatoires d'un algorithme de chiffrement, en mettant en œuvre un système de dépôt de clés ou en forçant les communications à passer par un système de surveillance avant d'être chiffrées, il s'agit d'une porte dérobée ».
La responsable de la fondation Signal rejette finalement toutes les propositions de « surveillance de masse » du chiffrement de bout en bout :
« Nous pouvons appeler cela une porte dérobée, une porte d'entrée ou la "modération du téléchargement". Mais quel que soit le nom qu'on lui donne, chacune de ces approches crée une vulnérabilité qui peut être exploitée par des pirates informatiques et des États-nations hostiles, en supprimant la protection des mathématiques incassables et en la remplaçant par une vulnérabilité très importante ».
En conclusion, Meredith Whittaker revient à un discours plus politique : « casser le chiffrement de bout en bout, en particulier à une époque aussi instable sur le plan géopolitique, est une proposition désastreuse ».
Commentaires (15)
#1
C'est toujours la lutte (nécessaire et souhaitable il est vrai) contre la pédocriminalité qui sert de prétexte à ce genre de loi/directive, sans que cela "tape juste" car les vrais pédocriminels utilisent d'autres canaux que des messageries grand public. Le vrai but, non affiché par les législateurs, c'est bien d'instaurer une surveillance de masse de la population générale.
#1.1
Au final au lieu de s'en prendre directement au criminel. Ont préfère "la facilité" en espionnant tout le monde.
Pas oublier non plus que les criminels n'est pas idiot. Dès qu'il va voir cela mis en place, il va aller vers d'autres solutions non concernées par la mesure ici présent. Donc au final c'est le citoyen lambda qui prend sous de fausses excuses à chaque fois.
Historique des modifications :
Posté le 17/06/2024 à 16h28
Tu as tout à faire raison. De plus tous ses gens haut placer qui prennent des décisions sans réfléchir une seconde mettent en danger des lanceurs d'alerte et d'autres encore.
Au final au lieu de s'en prendre directement au criminel. Ont préfère "la facilité" en espionnant tout le monde.
Pas oublier non plus que les criminels n'est pas idiot. Dès qu'il va voir cela mis en place, il va aller vers d'autres solutions non concernées par la mesure ici présent. Donc au final c'est le citoyen lambda qui prend sous de fausses excuses à chaque fois.
#1.2
Quand un petit ministre trou de balle dit ça en France, je me dis que c'est effectivement de l'incompétence. Un abruti à qui on a donné un os a ronger et qui se prend pour le Superman anti-pédophile.
Mais quand ça se passe au niveau Europeen, c'est manifestement une méthode détourner de réduction des droits fondamentaux. J'imagine que ces gens à ce niveau ont des conseillés techniques. Là on ne parle pas d'avis personnel sur du social basé s'il faut aider ou pas tel ou tel population, mais bel et bien un problème de logique, qui a une et une seule solution.
#1.3
#1.4
#2
#2.1
#2.2
#2.3
#2.4
une chose est certaine: si ce truc passe, tous (sauf le pourcent de geeks) les gens qui utilisent des messageries chiffrées de bout en bout sans presque s'en rendre compte continueront d'utiliser les mêmes messageries de façon non chiffrée, tout simplement parce qu'ils s'en balek. ils ne veulent surtout pas savoir comment ça fonctionne, et au pire ils accepteront le fait accompli parce qu'il faut protéger les enfants.
rêvez pas, la messe est dite.
#2.5
#3
#4
Mais dans quelle mesure des voix comme la sienne ou celle d'Alexandre Archambault sont-elles entendues par ces instances européennes ? Surtout dans une phase aussi "tardive" (puisqu'ils veulent le faire acter/voter rapidement, le planning semble arrêté, limite la décision entérinée et le vote plus qu'un enregistrement
#5
Offrir un clair connu n'est en effet dans un tel contexte pas l'idée du siècle!
#6
Et ensuite il y a les cas de faux positifsdont les règles ne sont pas déterminées... (l'exemple classique de l'assistante maternelle qui note une rougeur et en fait une photo pour montrer aux parents ou à un médecin...)