Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »

Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »

Pedo barred

25

Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »

L'European Digital Rights (EDRi), qui fédère une cinquantaine d'ONG de défense des droits humains à l'ère numérique, a compilé une impressionnante liste d'arguments s'opposant à ce qu'elle qualifie de « projet de loi européen le plus critiqué de tous les temps ».

La proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants est l' « une des lois européennes sur l'internet les plus controversées et les plus malavisées » auxquelles ait jamais été confronté l'EDRi, qui a compilé un nombre impressionnant d'avis et rappports d'experts à ce sujet :

« Un nombre sans précédent de parties prenantes se sont inquiétées du fait qu'en dépit de ses objectifs importants, les mesures proposées dans le projet de règlement européen sur les abus sexuels commis sur des enfants sont fondamentalement incompatibles avec les droits de l'homme, les droits fondamentaux et la jurisprudence de l'UE. »

EDRi relève bien évidemment que « toutes les parties prenantes conviennent de l'importance de l'objectif de protection des enfants ». Pour autant, « toutes les évaluations juridiques et techniques formelles ont conclu que les mesures proposées pourraient constituer des violations disproportionnées de la vie privée, des données personnelles et de la liberté d'expression, et s'appuyer sur des mesures techniquement irréalisables ou dangereuses. »

La publication de cette compilation d'arguments est d'autant plus opportune qu'Apple vient tout juste d'expliquer avoir finalement renoncé à détecter les contenus pédocriminels afin d'éviter tout risque de « surveillance de masse », et que la Grande-Bretagne vient de son côté de renoncer à son propre projet de surveillance proactive des messageries chiffrées initialement destiné, tout comme la proposition européenne, à identifier les contenus pédosexuels, parce que cela s'avère « techniquement impossible ».

Quand les autorités se tirent une balle dans le pied...

EDRi commence son recensement en soulignant, ironiquement, que l'analyse d’impact de la Commission européenne reconnaît elle-même qu’il n’existe pas de méthodes offrant de bons niveaux de confidentialité, de sécurité et de faisabilité, et que son propre comité de surveillance réglementaire a pour sa part prévenu que la proposition pourrait s'apparenter à une surveillance généralisée, et donc illégale.

L'avis officiel du service juridique du Conseil de l'UE a, lui aussi, mis en garde contre un « risque sérieux » de surveillance généralisée, sapant le chiffrement, et violant l'essence même du droit à la vie privée.

Le Contrôleur européen de la protection des données et le Comité européen de la protection des données ont tous deux averti que la proposition porterait gravement atteinte à des personnes innocentes, sans que rien ne prouve qu'elle protégera les enfants.

... qui mettra en difficulté survivants d'abus, procureurs et policiers

EDRi relève également que plusieurs survivants d'abus sexuels sur mineurs se sont eux aussi prononcés contre le projet de règlement, au motif qu'il n'a pas fait montre de preuves de son efficacité, mais risque a contrario d'entraîner des faux positifs. De plus, en s'attaquant au chiffrement des communications, il pourrait décourager des victimes de témoigner ou d'aller rechercher de l'aide, tout en les exposant à des risques de chantage et de fraude.

Des experts de la protection des droits des enfants alertent de leur côté au sujet des risques de criminalisation du sexting entre adolescents consentants. Des procureurs allemands estiment que le règlement ne les aiderait pas à lutter contre la pédocriminalité, car il ne s'attaque pas aux problèmes réels auxquels ils sont confrontés. 

Des policiers spécialisés dans la protection de l'enfance craignent pour leur part d'être submergés de faux positifs et fausses alarmes, et de ne pas être en mesure de pouvoir traiter le volume de signalements qui leur seraient transmis.

Le FBI a d'ailleurs averti les membres du Parlement européen de la commission LIBE qu'il « ne dispose pas de ressources suffisantes pour traiter tous les cas de CSAM qu'ils détectent et qu'ils doivent donner la priorité à certains d'entre eux » et que, « de ce point de vue, la surveillance de masse des communications n'entraînerait pas une amélioration de l'application de la loi ».

Un consensus scientifique, universitaire, humanitaire et juridique

EDRi rappelle que 465 scientifiques et universitaires, experts en cybersécurité et questions de confidentialité, estiment que les mesures proposées sont dangereuses et intenables, et que 47 ONG de défense des droits humains à l'ère numérique appellent au rejet de la proposition de règlement, au vu des problèmes qu'il pose, et qu'il n'a pas été démontré qu'il pourrait atteindre les objectifs poursuivis.

Des chercheuses féministes expertes ont de leur côté qualifié la proposition de « paternaliste », et passant à côté des violences sexistes. De nombreux cryptographes y voient en outre une « guerre contre le chiffrement de bout en bout », en sus d'un risque de « surveillance de masse », d'autant plus absurde qu'elle serait inefficace, tout en entraînant de forts risques d'abus et d'erreurs.

Plusieurs juristes, dont un ancien conseiller principal du Haut-Commissariat des Nations Unies aux droits de l'homme, estiment que la proposition repose sur une logique erronée qui porterait atteinte aux droits procéduraux et à la présomption d'innocence, et qu'elle serait très probablement incompatible avec la jurisprudence de l'UE, avec une « forte probabilité d'annulation » par la CJUE.

« Traiter tout le monde comme un criminel potentiel » ?

EDRi relève en outre que plusieurs gouvernements et parlements nationaux se sont eux aussi prononcés contre la proposition de règlement. Les gouvernements de l'Estonie, de la Finlande, de Malte, de l'Italie et des Pays-Bas ont ainsi « tous soulevés de graves problèmes » à son sujet.

Paweł Lewandowski, sous-secrétaire d'État polonais à la chancellerie du Premier ministre, a par exemple expliqué à Euractiv que « ce règlement n'est pas du tout nécessaire », au vu des autres réglementations concernant la sécurité sur Internet, tout en soulignant qu'aucun des États de l'ancien bloc soviétique ne donnerait un tel blanc seing à ce type de surveillance indifférenciée.

Pour lui, le seul cas où une personne devrait être surveillée est celui où « le tribunal l'ordonne, et non les procureurs », et qu'elle ne devrait être autorisée qu'après la collecte de preuves, au motif que « nous ne pouvons pas traiter tout le monde comme un criminel potentiel ».

L'ensemble des partis du Parlement autrichien ont par ailleurs voté contre la proposition de règlement, « à moins qu'il ne puisse garantir la protection du cryptage, ne contienne aucune obligation générale de surveillance et respecte les droits de l'homme ».

Le service juridique du Parlement allemand qualifie pour sa part les mesures proposées de « surveillance généralisée » en violation de la Charte des droits fondamentaux, et les gouvernements autrichien et allemand se sont engagés à protéger totalement le chiffrement de bout en bout contre ce règlement.

Les députés du Parlement néerlandais ont de leur côté adopté une motion demandant à leur gouvernement de ne pas autoriser la mise en place de cette proposition au motif qu'elle affecterait le chiffrement de bout en bout et donc le droit à la confidentialité des communications.

Au printemps dernier, la commission de la justice du Parlement irlandais déplorait une « numérisation aveugle des communications numériques, menaçant la sécurité, la vie privée et la liberté d'expression de tous » qui ne pourrait qu' « inonder » les autorités de faux positifs, aux dépens tant des policiers que des enfants maltraités.

Même le Sénat français s'est fendu d'une résolution !

Le Sénat français, de son côté, a adopté une résolution évoquant « les graves atteintes aux droits fondamentaux susceptibles d’être posées par de telles entorses au chiffrement » et appelant à la « suppression des dispositions relatives à la recherche indifférenciée de contenus pédopornographiques » au motif que les recherches de contenus indifférenciées envisagées par la proposition sont « techniquement impossibles » sur des ensembles de contenus chiffrés de bout en bout :

« pour y procéder, les fournisseurs de services de communications interpersonnelles cryptés devraient donc renoncer, partiellement ou totalement, au cryptage des contenus, au détriment de la confidentialité des communications et au risque de créer des failles de sécurité dommageables. »

Les sénateurs constataient par ailleurs l’ « insuffisante maturité » des outils de détection automatique des contenus à caractère pédopornographiques, et a fortiori des contenus de « pédopiégeage » (consistant à se faire passer pour un mineur afin d'attirer des pédophiles), ce qui « risque donc de générer un nombre important de "faux positifs" et en conséquence, de voir portés à la connaissance des autorités de contrôle et des autorités répressives de nombreux contenus légaux. »

La résolution déplorait en outre que les garanties procédurales prévues par la proposition « ne sont pas suffisantes pour préserver les utilisateurs d’un risque de surveillance généralisée et permanente de leurs communications ».

Elle relevait également, « avec gravité, sur la base de l’avis conjoint du Comité européen de la protection des données et du Contrôleur européen de la protection des données », qu’en raison du manque de clarté de ses dispositions et de son large champ d’application, la proposition de règlement « risquerait de faire des exceptions posées au principe de confidentialité des communications une règle » et, dès lors, de « constituer la base d’une surveillance généralisée et indifférenciée de l’ensemble des contenus des communications électroniques » de tous leurs utilisateurs dans l’Union européenne et dans l’Espace économique européen.

Rendre, a contrario, le chiffrement obligatoire

Au Parlement européen, 14 eurodéputés de la commission parlementaire chef de file (libertés civiles, ou LIBE), issus de 4 groupes politiques, demandent le rejet du projet de règlement, au motif qu'il pourrait « violer l'essence même du droit à la vie privée », et qu'il n'est pas compatible avec les lois de l'UE en matière de droits humains.

Constatant qu'il n'est pas possible d'analyser le contenu des messages chiffrés sans compromettre fondamentalement l'objectif du chiffrement, et sans introduire de dangereuses failles de sécurité, les eurodéputés socialistes ont, a contrario, proposé que l'utilisation du chiffrement de bout en bout ne soit pas seulement « encouragée », mais dans certains cas rendue « obligatoire conformément aux principes de sécurité et de respect de la vie privée par défaut », reconnaissant expressément que le chiffrement profite également aux enfants.

Des amendements ont également été déposés afin de protéger le chiffrement contre les mesures « qui le sapent ou le contournent » ou qui découragent son utilisation, en vue d'exclure totalement les communications chiffrées des règles de détection et d'exclure tout affaiblissement du chiffrement, et pour s'opposer au fait que la loi puisse conduire au développement ou à l'utilisation de portes dérobées. 

De nombreux eurodéputés de la commission IMCO (marchés intérieurs) ont eux aussi critiqué le champ d'application de la proposition, qui « réduirait à néant la vie privée, la sécurité et la liberté d'expression de tous les internautes », résume EDRi.

L'eurodéputé David Lega (PPE), co-président de l'intergroupe du Parlement européen sur les droits de l'enfant, s'est lui aussi exprimé contre la proposition de règlement qui, « dans sa forme actuelle, présente des lacunes majeures ».

Un taux de faux positifs bien trop important

Microsoft, dont le logiciel PhotoDNA de détection des images pédosexuelles fait autorité, a de son côté recommandé de ne pas s'appuyer sur le taux de précision de 88 % avancé par la Commission européenne dans son étude d'impact.

Microsoft explique en effet que ce chiffre ne se rapporte qu'à « une seule technique en langue anglaise formée sur un petit ensemble de données de cas connus de sollicitation dans des communications textuelles historiques », et ne sert qu'à « signaler une sollicitation potentielle » en vue d'un examen dans le cadre d'un processus de modération plus large.

LinkedIn, qui utilise PhotoDNA, a de son côté constaté un taux de faux positif de 59 % : sur les 8 millions de fichiers scannés au moyen de technologies de reconnaissance des empreintes numériques (hachage) 75 avaient été automatiquement suspectées de relever de la catégorie CSAM, mais seuls 31 l'étaient vraiment.

La Computer & communications industry association (CCIA Europe) et huit associations industrielles européennes (ACT, CISPE Cloud, DOT Europe, eco, EuroISPA, FiCom, ISPA Austria et ITI), représentant les intérêts de nombreuses Big Tech dont Google, Meta, Microsoft ou Mozilla, ont pour leur part publié une déclaration commune estimant notamment que « les injonctions de détection, en raison de leurs graves conséquences, devraient être une mesure de dernier recours », mais également être conformes au DSA qui « interdit les obligations générales de surveillance par les prestataires d'hébergement ».

La déclaration commune souligne au surplus qu'une atteinte au chiffrement « aurait un impact sérieux sur l'infrastructure technique de l'internet » et « entraverait les efforts visant à créer un internet qui renforce la confiance, la vie privée des utilisateurs et la liberté d'expression ».

Le Haut Commissaire des Nations Unies aux droits de l'homme (OHCHR), tout comme plusieurs associations de journalistes et d'avocats, ainsi que 134 ONG représentant un large éventail de défenseurs des droits humains et numériques, des droits des enfants et des femmes, ont eux aussi appelé l'UE à rejeter la proposition de règlement, conclut EDRi :

« Lorsque l'on remet fondamentalement en cause le fonctionnement de l'internet, on le rend moins sûr pour tout le monde. S'il est adopté, ce règlement transformera l'internet en un espace dangereux pour la vie privée, la sécurité et la liberté d'expression de chacun. Cela inclut les enfants que cette loi vise pourtant à protéger. »

Commentaires (25)



“Lorsque l’on remet fondamentalement en cause le fonctionnement de l’internet, on le rend moins sûr pour tout le monde. S’il est adopté, ce règlement transformera l’internet en un espace dangereux pour la vie privée, la sécurité et la liberté d’expression de chacun.”




Certes ce projet de loi est techniquement aberrant, sans parler de la masse colossale d’information collectée qu’on ne serait même pas en mesure de traiter efficacement.



De là à dire que la crypto est un fondement d’Internet… Faut pas abuser. On ne risquait pas nos vies dans les années 2000 quand on surfait sur un internet sans crypto.


Tu mettais pas trop ta vie privé comme aujourd’hui. Les mœurs ont trop changés pour se passer de la crypto…


Très bon article, merci beaucoup ! Par contre, qui a pondu ce projet de loi ? Tout le monde à l’air contre, même la France, c’est dire…


ça vient de l’organisme eurosceptique à qui on a donné le monopole de l’initiative législative…



Plus précisément c’est la personne en charge de l’intérieur et des frontière et qui fait mettre les enfants migrants dans des camps dans des conditions douteuses… et qui nous fait une loi totalement liberticie ‘pour les enfants’ … j’ai nommé Ylva danslemur Johansson


Je me suis posé la même question.



Le mieux que j’aie trouvé c’est




Author: European Commission, Directorate-General for Migration and Home Affairs




La comissaire responsable du Directorate-General for Migration and Home Affairs serait Ylva Johansson, elle serait du parti social démocrate



Après il faut creuser plus loin.



Ce qui sera intéressant si on en arrive là, c’est de voir qui soutien la loi et qui va voter pour.



De là à dire que la crypto est un fondement d’Internet… Faut pas abuser. On ne risquait pas nos vies dans les années 2000 quand on surfait sur un internet sans crypto.




En 2000 le net se limitait le plus souvent à de la consultation de sites statique. Aujourd’hui n’importe quelle connexion à un site de fait via https. On peux donc dire que si, la crypto est maintenant le fondement de internet.



Hugues1337 a dit:


Tu mettais pas trop ta vie privé comme aujourd’hui. Les mœurs ont trop changés pour se passer de la crypto…



scandinave a dit:


En 2000 le net se limitait le plus souvent à de la consultation de sites statique. Aujourd’hui n’importe quelle connexion à un site de fait via https. On peux donc dire que si, la crypto est maintenant le fondement de internet.




https ne protège que le canal de transmission des données jusqu’au site web. Ca ne garantit pas l’anonymat du posteur, ni la confidentialité des données postées. Si je poste des trucs personnels sur Twitter/X.com, peu importe que ce soit via http ou https.



Tout ce projet/article est à propos du chiffrement E2E entre deux utilisateurs. Et, je suis désolé de le dire, le chiffrement E2E entre deux clients n’a jamais été un fondement d’internet.


Internet dans le sens “mot fourre tout pour désigner tous les usages quotidiens de l’Internet”:
Le panel de ces usages a explosé, et maintenant toutes les (méta)informations sur nos vies en tant qu’individus, familles, cercles sociaux, sociétés et civilisation circulent dessus. Cela fait évidemment l’objets d’abus immondes, en masse, et à grande échelle. Le chiffrement de bout en bout est la meilleure protection technique contre cela. En cela il doit devenir, devient, et doit rester un fondement de l’Internet. Beaucoup de ces nouveaux usages ont des besoins inhérents d’authentification des parties (mêmes fondements que le chiffrement) et de confidentialité (chiffrement).



Techniquement:
Le fondement de l’Internet ce sont les protocoles du même nom. Ceux qui les conçoivent ont conscience de ce qui précède depuis des années. Des décennies, même, à ce stade. Depuis qu’il a été utilisé pour faire du commerce. C’est pour ça que la sécurité et en particulier le chiffrement font partie des fondements d’IPv6 (l’Internet de maintenant). Une partie de ce qui a été développé pour IPv6 (IPSec) en ce sens a été rétroporté sur IPv4 (l’Internet d’hier).



Alors oui, quel que soit l’angle sous lequel on regarde la situation, le chiffrement de bout en bout fait partie des fondements de l’Internet. (Edit : typos)


Pédophile, terrorisme, narco-trafique… le triangle des prétextes pour faire passer des lois qui détruisent les libertés.



Qui peut encore être assez stupide pour tomber dans le panneau ? Ça a tellement été utilisé et réutilisé…



Goldoark a dit:


Pédophile, terrorisme, narco-trafique… le triangle des prétextes pour faire passer des lois qui détruisent les libertés.



Qui peut encore être assez stupide pour tomber dans le panneau ? Ça a tellement été utilisé et réutilisé…




A peu près tout l’univers étoilé, moins 12 personnes, malheureusement. De toute façon, ça n’a même pas besoin d’être crédible en soi pour passer.


Ba le mieux qu’ils ai à faire c’est que les éditeurs injectent des backdoors volontairement à l’insu des autorités entre 2 MAJ, sans que qui que ce soit sache quand. Ils récupérent des données issues de listes de personnes suspectes établis par les autorités. Ils referment tout, analyse, et s’il y a matière liée aux accusations, il transmettent.



C’est ce qui s’est déjà passé chez Facebook mais ça a coûté pas mal de sous je crois.



DetunizedGravity a dit:


Alors oui, quel que soit l’angle sous lequel on regarde la situation, le chiffrement de bout en bout fait partie des fondements de l’Internet. (Edit : typos)




Pour moi ca fait au mieux partie des fondements des applications de messagerie de la génération alpha (ceux nées aux 21ème siècle)



L’anonymat/confidentialité entre deux clients ca a toujours été un effort fourni par les applications qui utilisent les protocoles fondamentaux d’internet. Et pas directement fourni par les protocoles fondamentaux d’internet. Malheureusement.



Le protocole historique d’Internet pour s’échanger des messages entre deux clients, c’est SMTP. Et même en 2023, c’est toujours pas anonyme et confidentiel. :/


Le chiffrement de la donnée reste une problématique qui a été travaillée depuis longtemps, le DES d’IBM date du début des années 1970 (ainsi sur le HSM). C’est surtout le développement de SSL/TLS avec sa première publication en 1995 qui a beaucoup accéléré les choses (HTTPS a été spécifié pour ainsi dire en même temps). Mais pour le coup, la sécurisation de l’échange restait bien une chose déjà considérée à l’époque.



DES, c’était une demande du gouvernement US au début des années 1970.



Quant à SMTP, au même titre que HTTP il est étendu pour supporter SSL/TLS (STARTTLS).



SebGF a dit:


Le chiffrement de la donnée reste une problématique qui a été travaillée depuis longtemps, le DES d’IBM date du début des années 1970 (ainsi sur le HSM). C’est surtout le développement de SSL/TLS avec sa première publication en 1995 qui a beaucoup accéléré les choses (HTTPS a été spécifié pour ainsi dire en même temps). Mais pour le coup, la sécurisation de l’échange restait bien une chose déjà considérée à l’époque.




Pour moi, il y a surtout eu des efforts pour sécuriser les échanges entre le client et le serveur. Mais pas entre deux clients.



Surement au motif que les grands acteurs du web n’avaient (et n’ont toujours) pas d’intérêt à laisser les utilisateurs s’échanger directement des données sans servir d’intermédiaire… et sans valoriser les données qui transitent.



Avec ces projets de loi, on voit que les états n’y ont pas non plus d’intérêt.



Un grand merci aux communautés du libre/open-source d’avoir élevé le chiffrement de bout-en-bout au rang de nécessité lorsqu’il s’agit d’échange entre deux clients.



(quote:2151681:127.0.0.1)
Pour moi, il y a surtout eu des efforts pour sécuriser les échanges entre le client et le serveur. Mais pas entre deux clients.



Surement au motif que les grands acteurs du web n’avaient (et n’ont toujours) pas d’intérêt à laisser les utilisateurs s’échanger directement des données sans servir d’intermédiaire… et sans valoriser les données qui transitent.




Je pense que le problème est beaucoup plus simple que ça : sécuriser l’échange entre un client et un serveur, c’est, aujourd’hui, facile. Sécuriser l’échange entre deux clients, c’est autrement plus complexe.



En effet, pour échanger de manière sécurisée, il faut échanger des clés de chiffrement. Mais l’échange seul ne suffit pas, puisque reste sensible aux attaques de l’homme du milieu.



Il faut donc, en plus de procéder à l’échange de clés de chiffrement, procéder à la vérification de l’entité (serveur ou client) avec qui on discute. Et aujourd’hui, la solution la plus répandue, c’est l’usage d’un tiers de confiance, via les certificats.



Ce mécanisme fonctionne très bien pour les communications client/serveur, car elles sont à “sens unique”, dans le sens où c’est toujours le client qui va initier la connexion à un serveur. Seul le serveur à besoin de disposer d’un certificat signé par une autorité de certification pour que le serveur puisse prouver au client que c’est bien lui.



Dans une communication client/client chiffrée de bout en bout, cela reste compliqué à mettre en place. Pour une plateforme donnée, c’est jouable, car c’est la plateforme qui va servir de tiers de confiance et qui s’assurer que les clients qui se connectent sont bien ceux qu’ils prétendent être.



Par contre, faire une communication client/client chiffrée de bout en bout sur un système décentralisé comme les e-mails, c’est une véritable plaie. Il faut soit passer par un tiers de confiance (mais dans ce cas, les deux extrémités doivent générer un certificat ou équivalent), soit procéder à un échange de clé autrement (similaire à PGP). Les deux solutions sont très lourdes pour le commun des mortels.



Sans compter le problème de conservation/renouvellement des clés. Car oui, la perte d’une clé peut signifier tout simplement la perte de tous les messages chiffrés via cette clé !


J’ajouterai à ça l’entre deux, où le protocole de communication chiffre la donnée malgré un tuyau en clair sans recourir à un échange de clés. C’est une méthode relativement faible, mais c’est par exemple un des moyens de chiffrement du flux pour la connexion à une DB Oracle pour éviter de faire un échange de certificats entre le client et le serveur. C’est le client Oracle qui gère le chiffrement des requêtes et le déchiffrement des données reçues par le serveur.



Après, il y a aussi un détail qu’on oublie dans le chiffrement type TLS avec certificat : pendant longtemps, ces certificats ont coûté (et c’est toujours le cas) une blinde. On pouvait (et peut) évidemment faire de l’auto-signé, mais ça n’était viable que pour un cas d’usage privé sinon on retombait dans le travers de l’échange de clés. Sans un Let’s Encrypt, je doute qu’on serait en quasi full HTTPS sur le Web de nos jours. C’est d’ailleurs sur ça que repose les certificats gratuits de la plupart des hébergeurs Web que je connais.



Bref, plutôt que des intentions X ou Y, pour moi c’est avant tout le fait que les solutions de chiffrement de données s’adressaient aux entreprises et aux gouvernements (car prohibitives pour un particulier) qui fait qu’on a mis du temps à voir ça se généraliser.



(quote:2151597:127.0.0.1)



De là à dire que la crypto est un fondement d’Internet… Faut pas abuser. On ne risquait pas nos vies dans les années 2000 quand on surfait sur un internet sans crypto.




Le problème n’est pas les fondements d’internet, mais les droits fondamentaux… ici la confidentialité de la correspondance …



On sait depuis plusieurs années que les plateformes comme Google s’abrogent le droit de lire nos courriers privés, et là l’U.E., en son propre nom, demande de généraliser cet abus, non plus à des fins de gain commercial, mais dans le but d’aller à la pèche aux criminels en s’attaquant aux droits de tous.



Un tel texte devrait pouvoir être censuré par la CEUJ à minima pour manquement au niveau de la proportionnalité; mais s’il devait être validé, ce serait la porte ouverte à tous les abus et rapidement il deviendrait possible pour n’importe quel état de l’U.E. d’exiger des mesures similaires pour lutter contre d’autres crimes et infractions…



SebGF a dit:


Après, il y a aussi un détail qu’on oublie dans le chiffrement type TLS avec certificat : pendant longtemps, ces certificats ont coûté (et c’est toujours le cas) une blinde. On pouvait (et peut) évidemment faire de l’auto-signé, mais ça n’était viable que pour un cas d’usage privé sinon on retombait dans le travers de l’échange de clés. Sans un Let’s Encrypt, je doute qu’on serait en quasi full HTTPS sur le Web de nos jours. C’est d’ailleurs sur ça que repose les certificats gratuits de la plupart des hébergeurs Web que je connais.




Notons que les certificats TLS fonctionnent sur base du tiers de confiance… on fait confiance à l’autorité de certification qui a généré le certificat, et du coup par extension on fait confiance au certificat présenté par le site. Dans l’U.E., il y a aussi une évolution du règlement EIDAS en cours pour forcer légalement les navigateurs à faire confiance à des autorités de certification étatiques. Avec une telle obligation, un état d’U.E. pourrait commencer à forger des certificats dans le but d’intercepter le trafic sans que les navigateurs ne puissent bannir l’autorité délinquante.



ragoutoutou a dit:


Notons que les certificats TLS fonctionnent sur base du tiers de confiance… on fait confiance à l’autorité de certification qui a généré le certificat, et du coup par extension on fait confiance au certificat présenté par le site.




Tiens, ca me fait penser à cette news: Android 14 blocks all modification of system certificates, even as root



Extrait:




We’ve come a long way since then, steadily retreating from openness & user control of devices, and shifting towards a far more locked-down vendor-controlled world.



The next step of Android’s evolution is Android 14 (…) In this new release, the restrictions around certificate authority (CA) certificates become significantly tighter, and appear to make it impossible to modify the set of trusted certificates at all, even on fully rooted devices.



ça, ça montre juste que le téléphone sous androïd n’appartient jamais vraiment à son détenteur… ça veut dire aussi que les terminaux android 14 sont impropres à une utilisation dans une entreprise qui a son propre C.A. …


Ou alors la méthode va être différente. Car c’est pas possible qu’ils retirent la possibilité de mettre ses propres certificats. Ca serait perdre la possibilité d’utiliser une PKI pour les applications internes d’une entreprise, ce qui est insensé.


75 avaient été automatiquement suspectées de relever de la catégorie CSAM, mais seuls 31 l’étaient vraiment.



donc ca a quand meme chope 31 pedos ?



(quote:2151672:127.0.0.1)
Le protocole historique d’Internet pour s’échanger des messages entre deux clients, c’est SMTP. Et même en 2023, c’est toujours pas anonyme et confidentiel. :/




4 lettres, oui mais UUCP.



diligiant a dit:


4 lettres, oui mais UUCP.




hmm… UUCP fait davantage partie des outils Unix que de la suite des protocoles internet


Je serai pédophile, je passerai les concours de police, on ne sait jamais :roll:


Fermer