Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Europol milite pour un chiffrement de bout en bout « flexible »

Here we go again

Europol milite pour un chiffrement de bout en bout « flexible »

Réunis à Londres récemment, les chefs de police de toute l’Europe se sont prononcés officiellement contre le chiffrement de bout en bout (E2EE, End to End Encryption) généralisé. Selon Europol, le danger s’est déplacé de la rue vers la maison et les entreprises technologiques n’ont pas conscience des risques.

Le 22 avril à 17h00

Le chiffrement de bout en bout fait régulièrement l’objet de frondes. Le discours est toujours le même : il rend plus complexe le travail des forces de l’ordre, ralentirait la lutte contre la pédocriminalité, bloquerait les enquêtes et permettrait à des groupes criminels de prospérer en se mettant à l’abris des regards.

Plusieurs gouvernements – y compris en France (ici et ) ou ailleurs en Europe – ont affiché leur intention initiale d’affaiblir ce type de chiffrement, notamment dans l’idée d’y inclure des portes dérobées. Le raisonnement était simple : laisser les forces de l’ordre libres de faire leur travail en employant ces portes quand il le faut, si besoin avec un mandat dûment délivré par un juge.

Jusqu’à présent, tous ces projets – notamment au Royaume-Uni et plusieurs fois aux États-Unis (ici et ) – ont échoué, en se brisant sur un ou plusieurs écueils (nous y reviendrons). Cette fois cependant, il ne s’agit pas d’un seul État, mais d’Europol et d’une réunion ayant rassemblé 32 pays.

Une déclaration, deux camps

À l’occasion du sommet réuni à Londres le 18 avril, les chefs de police ont publié une déclaration commune hier, 21 avril. Ils y évoquent un partenariat menacé avec les entreprises technologiques, car les deux piliers qui le composent seraient fragilisés : l’accès légal et l’identification proactive des menaces par les entreprises.

Dans le premier cas, il s’agit de la capacité des sociétés à répondre rapidement aux demandes faites par les enquêteurs, en fournissant les données désirées. Dans le second, on parle de la détection des activités criminelles par différentes technologies. Est mise en avant « la détection des utilisateurs qui ont un intérêt sexuel pour les enfants, échangent des images d'abus et cherchent à commettre des délits sexuels de contact ».

Si la pédocriminalité est mise au premier plan, le communiqué cite également la traite humaine, le trafic de stupéfiants, les meurtres et toutes les formes de criminalité économique.

Or, tout serait remis en question par le chiffrement de bout en bout. « Les entreprises ne seront pas en mesure de répondre efficacement à une autorité légale. Elles ne pourront pas non plus identifier ou signaler les activités illégales sur leurs plateformes. Par conséquent, nous ne serons tout simplement pas en mesure d'assurer la sécurité du public », préviennent les forces de l’ordre.

Europol souhaite « une certaine flexibilité »

Le chiffrement de bout en bout aurait permis l’émergence de nouveaux espaces hors de portée des enquêteurs et des entreprises technologiques, en créant un solide anonymat. « Nous savons, grâce aux protections offertes par le darkweb, avec quelle rapidité et quelle ampleur les criminels exploitent cet anonymat », ajoute Europol.

Souhaitant pouvoir débattre de manière dépassionnée du sujet, l’agence européenne n’accepte pas « qu’il y ait un choix binaire entre la cybersécurité ou la vie privée d’une part, et la sécurité publique d’autre part. L'absolutisme, d'un côté comme de l'autre, n'est pas utile ».

La suite du plaidoyer peut se deviner aisément : « Nous pensons que des solutions techniques existent ; elles nécessitent simplement une certaine flexibilité de la part de l'industrie et des gouvernements. Nous reconnaissons que les solutions seront différentes pour chaque capacité et qu'elles varieront également d'une plate-forme à l'autre ».

« Nos maisons deviennent plus dangereuses que nos rues, car la criminalité se déplace en ligne. Pour assurer la sécurité de notre société et de nos concitoyens, nous devons sécuriser cet environnement numérique. Les entreprises technologiques ont une responsabilité sociale dans le développement d'un environnement plus sûr où les forces de l'ordre et la justice peuvent faire leur travail. Si la police perd la possibilité de recueillir des preuves, notre société ne sera pas en mesure de protéger les personnes contre la criminalité », a ajouté Catherine De Bolle, directrice d’Europol.

Mais en dépit d’une volonté de discussion constructive, ce sont bien les gouvernements qui sont interpelés pour « prendre des mesures contre le déploiement du chiffrement de bout en bout ».

Pourquoi maintenant ?

Ce n’est pas la première fois que les forces de l’ordre dans le monde s’expriment sur le chiffrement de bout en bout. Régulièrement, elles pointent les difficultés croissantes à mener des enquêtes à bout, à mesure que le chiffrement progresse.

On se souvient par exemple des affrontements tendus entre Apple et le FBI après la tuerie de San Bernardino. Le Bureau avait exigé d’Apple qu’elle perce dans ses propres défenses et se préparait à porter l’affaire devant les tribunaux. Il avait finalement utilisé une faille pour contourner la difficulté. La vapeur avait été renversée, Apple exigeant de connaître les détails pour colmater la vulnérabilité.

Mais si Europol remet cette crainte en avant, c’est à cause de Meta. Lorsque l’entreprise, qui s’appelait alors Facebook, avait promis d’intégrer du chiffrement de bout en bout dans tous ses produits, beaucoup ont adopté une position « qui vivra verra ». Meta était clairement en retard dans son projet, mais lorsqu’il est devenu clair qu’il allait être mené à bien, une coalition de forces de l’ordre (qui regroupait notamment Interpol, Europol et le FBI) a demandé officiellement à la société d’arrêter.

Or, depuis quelques mois, Meta a bel et bien commencé à instaurer le chiffrement de bout en bout dans Messenger, actuellement la messagerie la plus utilisée au monde. Instagram doit y passer dans l’année également. WhatsApp n’est pas évoqué car la messagerie a basculé sur ce mode de fonctionnement il y a des années, lorsque le service a adopté le protocole Signal. Aujourd’hui, face au DMA, Meta réclame même des autres services qu’ils utilisent du chiffrement de bout en bout pour prétendre à l’interopérabilité.

Dans son communiqué, Europol ne s’en cache pas : « La déclaration, publiée aujourd'hui et soutenue par Europol et les chefs de police européens, intervient alors que le chiffrement de bout en bout a commencé à être déployé sur la plateforme de messagerie de Meta ».

Meta, très grand fournisseur de données

La semaine précédente, la National Crime Agency britannique avait déjà publié un communiqué en réponse au déploiement du chiffrement de bout en bout dans Messenger et Instagram. L’agence y annonçait sa grande déception, ainsi que sa crainte de voir une énorme source d’informations se tarir.

La NCA s’attend en effet à ce que disparaisse l’écrasante majorité des rapports sur la détection de maltraitance des enfants, à hauteur de 92 % pour Facebook et de 85 % pour Instagram.

Selon l’agence, c’est d’autant plus regrettable que Meta participait activement dans ce domaine de lutte. L’entreprise n’avait-elle pas indiqué qu’elle mettrait en place des solutions de remplacement ? Si, mais les « mesures de sécurité alternatives mises au point par l'entreprise et reposant sur les seules métadonnées ne produiront que rarement, voire jamais, des preuves suffisantes pour obtenir un mandat de perquisition », indique la NCA. « Cela signifie qu'en pratique, les volumes seront si importants qu'ils n'auront probablement que très peu de valeur ».

Selon l’agence, 1 200 enfants sont protégés actuellement chaque mois et 800 suspects sont arrêtés.

La pensée magique

La déclaration d’Europol ne manquera pas d’interpeler et de tenter à nouveau les gouvernements qui aimeraient affaiblir le chiffrement de bout en bout.

Comment s’y prendraient-ils ? Essentiellement de deux manières : soit en utilisant des algorithmes comportant des portes dérobées ou des mécanismes d’interception, soit en limitant la taille et la complexité des clés. Les moyens pour ces deux méthodes existent, la faisabilité technique n’a jamais fait débat.

Le problème se situe ailleurs : il est impossible d’introduire une faiblesse dans un mécanisme de chiffrement tout en garantissant que seules les forces de l’ordre pourront en profiter. On parle ici de protocoles présents dans des messageries utilisées par des milliards de personnes et exposés à Internet. Une porte dérobée aura beau être bien cachée, elle finira tôt ou tard par être trouvée par un tiers. Croire le contraire relève de la pensée magique.

Les failles de sécurité – puisque c’est bien de cela que l’on parle – font l’objet d’un trafic intense. Des sociétés comme Zerodium sont prêtes à dépenser des millions de dollars pour les acheter et les revendre. Un marché gris s’est développé autour de cette activité. Même le FBI en a profité face à Apple.

D’un point de vue juridique, si une loi devait entériner l’affaiblissement des protocoles de sécurité au bénéfice des forces de l’ordre, l’imbroglio serait colossal. Un nombre croissant de lois et règlements imposent en effet de sécuriser leurs produits. Et ce ne sont pas la loi SREN en France ou la directive NIS 2 en Europe qui vont enrayer cette marche. Pour les grandes entreprises technologiques, l’obligation de sécuriser leurs produits serait incompatible avec celle d’introduire des faiblesses pour les forces de l’ordre.

Pour preuve du caractère ambivalent du sujet, rappelons que l’ENISA, l’agence européenne de sécurité des réseaux et de l’information, avait mis en garde dès 2016 les membres de l’Union qui seraient tentés par un affaiblissement du chiffrement. Les différents cadres juridiques nationaux s’affronteraient pour des services à la portée mondiale. À moins que la totalité des pays se mettent d’accord pour un affaiblissement, voire une suppression du chiffrement de bout en bout. Auquel cas la sécurité des échanges ferait un vaste bond en arrière.

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
En gros, ils sont contre
votre avatar
Comme d'hab, on agite les habituels chiffons rouges pour pouvoir surveiller tout le monde, tout le temps :cartonrouge:
votre avatar
Je vais citer un grand philosophe à ce sujet :
Et pourquoi pas une laisse dans le cul ?
biiip John Spartan, vous avez une amende d'un demi-crédit pour infraction au code de moralité du langage
votre avatar
Ca en devient lassant d'entendre continuellement les mêmes salades. C'est peut-être l'objectif d'ailleurs, qu'on se lasse pour que les mesures passent en douce.
Je suis assez content que Next soit très limpide dans son article : non. c'est juste pas possible. Oui c'est binaire.
votre avatar
Même si une tel loi venait à passer, il y aurait un sacré méli-mélo avec d'autres textes sur la sécurisation. Donc, rien de nouveaux pour nos politiques qui sont dépassées par les nouvelles technologies (et je soupçonne aussi leurs conseillers). Le seul point bon pour eux, c'est que ce genre de sujet n’intéresse pas grand monde, donc mis à part les gens qui s'en soucie ça ne fera pas grand bruits sur les mass medias.

Pour le particulier, rappelons nous qu'une très grande majorité de la population sont des Michus (y compris des gens qui bossent dans l'IT). Donc pas de changement pour eux. Pour la minorité de geek, cypherpunks et co, des applications utilisant du chiffrement feront rapidement leur apparition avec la quasi-impossibilité pour le gouvernement français d'empêcher son installation (contournement DNS, APK...).

En fait, le seul truc drôle serait que ça passe, que l'affaiblissement se fasse (backdoor ou autres) est que des conséquences économiques se fassent sentir très rapidement.
Je suis sur que si ces inepties touchent concrètement aux portes-feuilles, ils légiféreront immédiatement pour ne jamais le refaire. Et ces discours de charlants (car oui, c'est du même niveau que Didier) disparaîtront une bonne fois pour toute.
votre avatar
Ben c'est là qu'est l' (un des ) os. Le porte-feuille de qui sera touché ?Si c'est une augmentation sensible des escroqueries, usurpations d'identité, etc... monsieur et madame michu verront leur assurance (bancaire par exemple) augmenter mais je pense que comme d'autre sujets, le legislateur n'en aura rien à cirer.

Pour qu'il prenne ses responsabilités il faudra que ça touche les entreprises avec des trucs plus sensibles ou coûteux. Et tu auras peut-être une différenciation entre le B2B qui aurait le droit à un vrai chiffrement et les Michus qui devront servilement être espionables à merci.
votre avatar
En vrai ? Enormément de boîtes même les sensibles. Quid des managers qui échangent via What's App ? Des consultants qui parlent avec leur collègue ou demande un avis sur ses canaux ? Qui des externes qui parlent entre-eux ? Veux-tu que je te parle des militaires aussi ?
Car oui, si What's App n'est pas censé être autorisé pour des raisons de sécurité, en pratique très peu de gens respectent cette règle car c'est plus rapide et efficace qu'un email pour échanger rapidement de l'information (voir échanger de l'info sensible car MS, Office et NSA...)

Bref, oui il y aurait des dommages collatéraux via l'espionnage économique. Alors certes les ricains le font déjà avec MS, mais qudi si les Chinois, les Russes, Les coréens... et j'en passe le font parce qu'on aura remplacer le chiffrement de bout en bout par du 3DES (ok, j'exagère mais l'idée est là). L'impact économique sera là. Vicieux, mais bien présent. Après suffira-t-il pour faire bouger les lignes ? Je ne sais pas.
votre avatar
(car oui, c'est du même niveau que Didier)
C'est pas gentil pour les Labradors :francais:
votre avatar
Les organisations criminelles mettront en place leurs propres solutions de communication chiffrée. Elles en ont les moyens financiers et les algorithmes sont connus et librement accessibles.

Au final c'est bien le citoyen lambda qui sera espionné.
votre avatar
C'est déjà le cas. Il y a déjà eu un réseau qui a été dissous incluant des serveurs/VPN /portables pour des échanges discrets
votre avatar
En fait, j'ai l'impression qu'ils visent plutôt les échanges entre criminels et victimes, qui du coup se font sur des plateformes grand public. Ou entre victimes et criminels qui n'ont pas réellement conscience de l'être genre affaires de harcèlement plus courantes.

C'est donc bien les citoyens qui sont visés, en qualité de victimes à protéger ou de criminels qui s'ignorent. Ca part toujours d'une idée louable mais le problème ce sont toujours les dérives possibles de la part de trop d'acteurs différents.

Parce qu'effectivement ce serait idiot de penser pouvoir capter les échanges entre criminels en légiférant.
votre avatar
Je ne vois pas ce qui te fait penser qu'il s'agit des échanges avec les victimes.

Le seul exemple concret est comme d'habitude la maltraitance des enfants, la pédocriminalité. Dans ces cas là, il ne s'agit bien sûr pas d'échange avec les victimes.

Et sont aussi cité
la traite humaine, le trafic de stupéfiants, les meurtres et toutes les formes de criminalité économique.
Là encore, ça m'étonnerait que ça soit des échanges avec les victimes qui soient visés.
Parce qu'effectivement ce serait idiot de penser pouvoir capter les échanges entre criminels en légiférant.
Et pourtant l'article dit bien que pour l'agence britannique la détection de maltraitance des enfants se fait à hauteur de 92 % pour Facebook et de 85 % pour Instagram. Les idiots ne sont pas ceux que l'on croit.
votre avatar
Parce que comme je l'ai dit, je ne pense pas que les criminels habituels échangent sur des messageries grand public. Et qu'ils iraient donc dessus pour échanger avec des victimes (je pense aux escroqueries, aux harcèlements). C'est ma supposition, après s'il y a des criminels assez idiots pour échanger entre eux dessus, ben tant pis pour eux, mais j'ai du mal à imaginer que ce soit la majorité.

Quant à la phrase qui mentionne des pourcentages de détection, y a aucun détail donné sur la nature des crimes (maltraitance des enfants c'est vague, ça me fait plus penser aux parents qui battent leurs gamins qu'à autre chose) ni la référence de ces chiffres (92 % de quoi ? Et qui mènent à quoi ?). Peut-être que la source en dit plus mais je me suis arrêté à l'article et en l'état cette phrase ne semble rien vouloir dire.
votre avatar
Tu as raison d'être sûr de toi même quand on remet en cause tes affirmations, ça irait contre ce que tu penses.

Je ne sais pas trop ce que tu entends par "criminels habituels", mais là dedans, comme tu parles ensuite d’escroquerie et de harcèlement, on n'est pas sur de la grande criminalité. Pour l'escroquerie, elle peut commencer par du phishing par mail qui n'est pas vraiment un moyen sécurisé pour communiquer, ce qui n'empêche pas des tas d'escrocs d'en faire et le harcèlement est rarement fait pas des anonymes : s'il est fait par messagerie de RS, le RS donnera toutes les informations à la police permettant de les retrouver, donc chiffrement ou pas, ça ne changera rien. Les criminels habituels n'utilisent pas de chiffrement, ce qui n'est pas le cas de la grande criminalité comme NXI s'en est fait l'écho (téléphones sécurisés vendus très cher, etc.).

Tu a raison de ne pas avoir été voir la source alors que tu penses que l'article n'est pas assez précis. Tu y aurais vu que l'on y dit :
Today our role in protecting children from sexual abuse and exploitation just got harder.
For years Meta has supported law enforcement by identifying and reporting instances of child sexual abuse to the National Center for Missing and Exploited Children in the US, as they are obliged to do under US law.
juste avant de parler de sauver 1200 enfants par mois.

Tu as raison de ne pas avoir lu la page en lien parce que que tu aurais vu que Messenger est bien utilisé pour envoyer de la pédopornographie :
Offenders will still use Facebook Messenger to send illegal material
Tu as raison de ne pas avoir cherché la réponse à ta question sur les 92 %, tu y aurais lu que les rapports dont parle l'article de Vincent sont bien liés aux abus sexuels sur les enfants :
The NCA estimates that if Meta continues to roll out end-to-end encryption as planned, it would result in the loss of the vast majority of reports (92% from Facebook and 85% from Instagram) of detected child abuse that are currently disseminated to UK police each year.
Donc, oui, comme je le disais, les gens qui échangent de la pédopornographie sont idiots puisqu'ils le font aujourd'hui par des canaux sans chiffrement, mais tu as raison de ne pas le croire.parce que se rendre compte que les gens sont idiots, c'est déstabilisant.

Mais ce n'est pas parce que je rapporte ce que tu n'es pas allé lire que je suis pour autant favorable aux demandes idiotes des polices d'affaiblir le chiffrement.
votre avatar
Merci pour tes précisions sur le fond, par contre le ton condescendant tout le long, comme quoi je voudrais éviter d'être déstabilisé dans mes soi-disant convictions, tu peux te le garder. J'ai utilisé suffisamment de formulations non certaines et subjectives, sans compter qu'un commentaire est par défaut subjectif, si tu comprends ça comme des affirmations péremptoires, le problème c'est chez toi qu'il est.

Si tu penses que j'ai tort, ce que j'ai visiblement envisagé vu mes formulations, tu peux juste le dire en donnant ton point de vue et avec respect. Si tu es juste là pour m'agresser en me prêtant les certitudes et opinions que tu as décidé toi-même tu peux aller voir ailleurs. Va plutôt chercher celui à qui je répondais à l'origine et qui exprimait une opinion plus tranchée, il est peut-être plus d'humeur pour ça.

Quant à aller lire la source pour clarifier, je ne l'ai pas fait simplement parce que ce sujet ne m'intéresse pas suffisamment pour que j'ai envie de l'approfondir. Je n'avais pas prévu d'aller me plaindre de la précision de l'article, ni que quelqu'un me tomberait dessus pour me demander tout en m'attendant au tournant de lui prouver des affirmations que je n'ai pas faites, quelqu'un à qui par ailleurs je ne dois rien.

C'est quand-même de plus en plus casse-pied de ne plus pouvoir poster dans ces commentaires sans tomber régulièrement sur quelqu'un qui te prend de haut. Y a des sujets sur lesquels je ne poste plus car c'est systématique, mais là vu le sujet et la forme que j'y ai mis je ne m'y attendais pas. Je sais pas moi, détendez-vous un peu les gens, on est là pour échanger et pas pour jouer sa vie. Et arrêtez d'attaquer les personnes en plus de leurs propos.
votre avatar
votre avatar
Je rejoins un des commentaires précédent, les politicards sont hors sol, complètement déconnectés de la vie réelle. Techniquement inapplicable. Est-ce qu'ils ont des équipes d'incompétents, ou bien des équipes compétentes mais ils pensent que tout se résous en empilant des lois toutes plus débiles les une que les autres?

De plus, en quoi les criminels arrêterait d'utiliser RSA+AES? Ça revient au même de passer une loi "Il est interdit d'être méchant parce que c'est pas bien".

Et si je me connecte sur un site en https RSA+AES? Je suis un criminel-pédo-nazi? Franchement, ça me désole de voit que l'argent de mes impôts est dilapidé dans tant de connerie.
votre avatar
C'est l'habitude des politiques de croire que tout peut se jouer à 50 / 50. Ils seraient même capable de demander aux scientifiques de négocier les lois de la physique tellement ils sont hors sol.

Du coup, les gens qui ont les pieds sur terre sont systématiquement catalogués comme psychorigide. Je les enverrai bien sur le front Ukrainien pour se prendre une dose de réalité.
votre avatar
Ce qui est super "drôle" avec ces discours, c'est que si on remplace "E2EE" par "vêtements" ou "rideaux aux fenêtres", tout ces discours fonctionnent pareil.

Yep, c'est plus compliqué pour les flics de faire leurs boulots si on porte des vêtements, et ils veulent un accès privilégié pour pouvoir les retirer. On voit mieux les armes comme ça. Mais c'est pas pour ça que c'est une bonne idée…
votre avatar
Vivons heureux, vivons à poil dans des maisons en verre transparent. Ca me rappelle la série "Nu" sur OCS il y a quelques années.

Europol milite pour un chiffrement de bout en bout « flexible »

  • Une déclaration, deux camps

  • Europol souhaite « une certaine flexibilité »

  • Pourquoi maintenant ?

  • Meta, très grand fournisseur de données

  • La pensée magique

Fermer