Connexion
Abonnez-vous

Une lettre ouverte contre les sept projets de loi anti-chiffrement

Une lettre ouverte contre les sept projets de loi anti-chiffrement

Le 04 mai 2023 à 05h01

Plus d'une quarantaine d'organisations (dont l'Internet Society, Mozilla, Proton, Nextcloud, Tor Project et Tutanota) viennent de signer, à l'occasion de la journée mondiale de la liberté de la presse, une lettre ouverte aux dirigeants du monde entier pour défendre le droit à la vie privée, et donc au chiffrement, garant de la liberté d'expression.

« Les attaques gouvernementales contre les services chiffrés menacent la vie privée et mettent les utilisateurs en danger », avancent les signataires : « cela peut sembler être un problème lointain auquel sont principalement confrontés les pays autoritaires, mais la menace est tout aussi réelle et frappe aux portes des nations démocratiques ». 

De nombreux pays de l'UE, les États-Unis, le Royaume-Uni, le Canada et l'Australie voudraient en effet « obliger les messageries chiffrées à mettre en place des portes dérobées ou à bloquer l'accès à des outils et services chiffrés tels que Tor, Signal ou Tutanota », dont dépendent de nombreux journalistes, lanceurs d'alerte et militants.

La lettre ouverte mentionne ainsi plusieurs « initiatives inquiétantes » telles que le projet Online Safety Bill au Royaume-Uni, le Lawful Access to Encrypted Data Act et le EARN IT Act aux États-Unis, l’India's Directions 20(3)/2022 – CERT-In, le projet de loi C26 au Canada, la Surveillance Legislation Amendment Act en Australie ainsi que les règles proposées pour prévenir et combattre les abus sexuels sur les enfants dans l'UE, qui veulent forcer les messageries chiffrées à affaiblir la sécurité de leurs utilisateurs et à donner aux forces de l'ordre l'accès aux informations des utilisateurs sur demande. 

Des services tels que Signal, Tutanota et Threema ont d’ores et déjà annoncé qu'ils n'affaibliraient pas leur chiffrement pour se conformer à de telles stipulations, obligeant probablement des pays comme le Royaume-Uni à bloquer l'accès à ces services, ce qui le placerait « au même niveau que les systèmes autocratiques comme la Russie et l’Iran », relèvent les signataires : 

« Aujourd'hui, Journée mondiale de la liberté de la presse, nous exhortons les dirigeants démocratiques à ne pas suivre la voie des gouvernements autoritaires comme la Russie et l'Iran, qui limitent activement l'accès de leurs citoyens aux messageries chiffrées. C'est essentiel pour garantir la sécurité en ligne, le développement libre et sécurisé de l'identité, l'autodétermination, la liberté d'expression, la liberté de la presse et d'autres droits qui sont au cœur de la démocratie. »

Le 04 mai 2023 à 05h01

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et écrire une lettre ouverte aux développeurs pour que le chiffrement/déchiffrement d’un message soit fait en local par les applications en utilisant un standard ouvert, et pas de façon opaque par les “messageries chiffrées” qui promettent du E2EE (parfois partiel) ?



non ? ca serait bien pourtant.

votre avatar

C’est pas ce que fait Signal ?

votre avatar

On notera le silence assourdissant de Meta

votre avatar

T’as pas besoin de chiffrer ! C’est le sens de l’histoire….

votre avatar

“une lettre ouverte aux dirigeants du monde entier pour défendre le droit à la vie privée”



Non pertinent, vu les intérêts défendus par les “dirigeants du monde entier”.



Prétexte putaclic : Lutter contre le terrorisme, la pédophilie… (si vous êtes contre vous êtes un salaud).
Objectif réel : Surveiller et contrôler la population pour conserver le pouvoir et en profiter.



Le principe fondamental de la politique :
youtube.com YouTube

votre avatar

+1
Et avec certains on est pas loin d’une lettre ouverte « réduisons l’usage des énergies fossile pour sauver les bébés phoque ».



Mais p dites leurs qu’il y a un max de fric à se faire avec les énergies renouvelables, les bébés phoques ils et elles s’en foutent totalement !

votre avatar

pierreonthenet a dit:


C’est pas ce que fait Signal ?


Hmm, non. Signal ca reste une messagerie (=service d’envoi/réception) qui chiffre/déchiffre à ta place.



Moi je parle plus d’un truc genre PGP, c-a-d un standard qui définit ce qu’est un “message chiffré” indépendamment du service qui fait l’envoi/réception.



Un peu comme si tout le monde décrétait soudainement que:




  1. un émail (le message) c’est forcément un fichier 7z chiffré AES-256.

  2. les messageries ne peuvent envoyer/recevoir que des fichiers 7z chiffré AES-256.

votre avatar

Je ne comprends pas bien.
Signal, c’est une appli, mais c’est aussi un protocole libre : si tout le monde se met à utiliser Signal, on n’aurait pas ce que tu indiques plus haut ?
C’est un peu ce qu’il s’est passé avec HTTPS, avec l’arrivée de LetsEncrypt : tous les sites ont pu utiliser le TLS (protocole ouvert), donc ça s’est démocratisé.



Mais on ne peut pas (en tant que dev) forcer les utilisateurs à utiliser notre protocole/logiciel.
Ou alors, il faut que tous les acteurs majoritaires se mettent d’accord pour abandonner un ancien protocole au profit d’un autre (comme feu SSL, remplacé par TLS suite à la décision des navigateurs).

votre avatar

Moi je dis ça comme ça, mais écrire une lettre ouverte quand justement tu es pour le chiffrement, c’est un peu antinomique. :D

votre avatar

pierreonthenet a dit:


Je ne comprends pas bien. Signal, c’est une appli, mais c’est aussi un protocole libre : si tout le monde se met à utiliser Signal, on n’aurait pas ce que tu indiques plus haut ? C’est un peu ce qu’il s’est passé avec HTTPS, avec l’arrivée de LetsEncrypt : tous les sites ont pu utiliser le TLS (protocole ouvert), donc ça s’est démocratisé.


Très bon parallèle… parlons de l’envoi d’un document texte par HTTP



Méthode 1: tu envoies un contenu en clair (text/plain) à travers une connexion sécurisée (https).



HTTP/1.1 200 OK
Content-Type: text/plain
Content-Length: 50

Ce message ne peut être lu que par le destinataire


Méthode 2: tu envoies un contenu chiffré (application/pgp-encrypted) à travers une connexion standard (http).



HTTP/1.0 200 OK
Content-Type: application/pgp-encrypted
Content-Length: 68

Vl5ePD1BcipEeGdSLmdVZFJdKGsoKlhpOVhnVjdHMzc+eCIpP1l7aChvImJHSStpbTJE


La lettre ouverte parle de la méthode 1: c’est chaque service (=chaque messagerie) qui doit s’occuper de chiffrer ses messages.



Moi je parle de la méthode 2: c’est à l’utilisateur (=l’appli d’écriture) de chiffrer chaque message écrit.

votre avatar

Hum très pratique si chaque utilisateur utilisé la méthode qu’il veut. Et on envois au destinataire un message crypté pour savoir quel méthode on va utiliser?

votre avatar

OK, ce dont tu me parle, ça me fait penser à MSN+ qui permettait de chiffrer le contenu de la conversation. Ça ne me rajeunit pas.
Du coup, ça a été fait, mais c’est moins sécurisé, car il faut, comme le dit @the_frogkiller, se mettre d’accord sur le protocole ET la clé de chiffrement. C’est assez improbable que les utilisateurs fassent ça.



Je crois que je comprend mieux ton point de vue : en gros, c’est un peu comme si ici, au moment d’envoyer le commentaire, le PC convertissait mon texte en clair par du texte chiffré via un protocole connu de TOUS les PC du monde, déchiffré par une clé partagée aux “bonnes personnes”. C’est intéressant, mais très (trop ?) complexe à mettre en place, je penses.



Par contre, si aujourd’hui le législateur ne prend peut-être en compte que le cas 1, il lui suffira d’un amendement pour interdire l’utilisation du 2…

votre avatar

the_frogkiller a dit:


Hum très pratique si chaque utilisateur utilisé la méthode qu’il veut. Et on envois au destinataire un message crypté pour savoir quel méthode on va utiliser?


Evidement ca doit faire partie des entêtes en clair du message, avant le payload chiffré. D’où la nécessité d’avoir un standard ouvert et interopérable pour la définition de ce qu’est un message chiffré.



Ce qui permet entre-autre de router le message chiffré à travers plusieurs messageries. Ce qui n’est pas possible avec les services de messagerie chiffrée actuels qui sont des circuit fermés.




pierreonthenet a dit:


Par contre, si aujourd’hui le législateur ne prend peut-être en compte que le cas 1, il lui suffira d’un amendement pour interdire l’utilisation du 2…


C’est de toutes façons plus résistant que de s’en remettre à des services de messagerie qui sont gérés par des sociétés privées, et donc devant obéir à des lois/règlements. D’où la lettre ouverte pour prier le gouvernement de ne pas faire le forcing sur les sociétés.



Et puis ca serait dur pour un gouvt de réguler ce que les gens ont le droit d’écrire dans un message. A part du Deep Packet Inspection, je ne vois pas comment ca pourrait être mis en oeuvre.

votre avatar

Le FBI et la NSA ont déjà accès à tous les services USA, il leur faut encore une loi en plus ? C’est pour pouvoir virer Tik-Tok plus légalement ?

votre avatar

sytoka a dit:


Le FBI et la NSA ont déjà accès à tous les services USA, il leur faut encore une loi en plus ? C’est pour pouvoir virer Tik-Tok plus légalement ?


Il y a eu des affaires où le FBI n’a pas pu avoir accès à des iPhones car la clef d’accès n’est pas connue d’Apple. Ils ont alors tenté de forcer Apple a le faire ou d’installer une porte dérobée.

Une lettre ouverte contre les sept projets de loi anti-chiffrement

Fermer