Le projet de loi sur la sécurité en ligne (Online Safety Bill) britannique, en cours d'élaboration depuis 2021 et bientôt devant la Chambre des lords, veut imposer aux messageries chiffrées de prendre des mesures de lutte contre les contenus illicites.
Dans un billet de blog, la présidente de Signal, Meredith Whittaker, estime que « l'état actuel du projet de loi sur la sécurité en ligne au Royaume-Uni met gravement en péril l'avenir de la vie privée et de l'expression ». Face à cette loi, pour elle, les messageries chiffrées qui ne voudraient pas être interdites dans le pays n'auraient d'autres choix que de mettre en place une backdoor accessible aux autorités britanniques ou de vérifier avant chiffrement que toutes les données qui seront partagées par leurs utilisateurs n'enfreignent pas la loi.
Et pour Signal, il n'en est pas question : « Comme en Iran, nous continuerons à faire tout ce qui est en notre pouvoir pour que les Britanniques aient accès à Signal et aux communications privées. Mais nous n'affaiblirons ni ne compromettrons les promesses de protection de la vie privée et de sécurité que nous faisons aux citoyens du Royaume-Uni et du monde entier », conclut-elle.
De son côté, le président de WhatsApp, Will Cathcart, a expliqué au journal britannique Independent que « si le gouvernement obligeait l'entreprise à affaiblir cette sécurité [le chiffrement de bout en bout, ndlr], WhatsApp refuserait, ce qui ouvrirait la possibilité d'une interdiction totale de l'application dans le pays ».
« Notre expérience dans le monde est que cela ne s'est produit qu'avec des gouvernements qui essayaient de réprimer la capacité de leurs citoyens à communiquer librement », rajoute-t-il.
Commentaires (37)
#1
Ah encore et toujours ce fantasme d’une porte dérobée sélective…
#2
J’ai du mal à comprendre, Signal ou WhatsApp ne peuvent techniquement pas intercepter le contenu qui transitent dans leur tuyau, c’est justement le principe de ces VPN. Comment pourraient-ils être responsable de quoi que ce soit ?
C’est exactement le principe d’un facteur : si tu te fais livrer 3kg de drogue par la poste, ce n’est pas le facteur qu’on va mettre en prison :)
#2.1
Ils ne les accusent pas d’être responsables en ce sens. Mais le service permet ces échangss protégés. Alors que La Poste, le gouvernement peut vérifier ton courrier avant.
Et du coup, le gouvernement veut interdire l’utilisation du service.
#2.2
Rien à voir avec les VPN ici, on parle de messageries sécurisées, car chiffrées de bout en bout sans que le fournisseur du service n’ai connaissance de la clé, et donc une impossibilité technique de lire les messages.
D’où la demande d’ouvrir un accès par le fournisseur du service, réduisant à néant par la même occasion la sécurité “by design” du service.
L’usage d’un VPN ne changerait rien, le message transite forcément à un moment par les serveurs du fournisseur de messagerie, et si il y a un accès possible au contenu du message, la sécurité n’est plus assurée.
#2.3
Et si le facteur empêche sciemment à la police / aux douanes le pouvoir de contrôler la nature du colis livré?
#3
Que je comprenne bien: le Royaume Uni n’accuse pas Signal ou Whatsapp d’avoir une backdoor, mais exigent un moyen de surveiller les échanges, donc pour perdurer au RU, Signal ou Whatsapp devront avoir une backdoor.
Après, je les comprends. L’entrée du tel mobile perso au bureau est un vecteur de propagation de données confidentielles, que ce soit volontaire par envie de nuire ou involontaire pas méconnaissance du fonctionnement et des usages.
Exemple: quand on voit que des étudiants peuvent rendre une copie sur tiktok sous prétexte qu’il n’arrivent pas à faire un photo nette, on voit le niveau qu’on doit gérer. (Oui, j’ai des utilisateurs qui font une capture d’écran d’un PDF pour l’imprimer et le rescanner pour le signer).
Du point de vue sécurité informatique, le tel portable perso est juste un trou noir à données sensibles.
#3.1
Je n’affirme pas que Signal ou WA ont une porte dérobée, mais qu’il leur est imposé d’en implémenter une sous des prétextes souvent fallacieux et la porte ouverte à toutes sortes d’abus sécuritaires ensuite…
Et je ne vois pas bien ce que vient faire le BYOD dans ce débat
#4
Quelles que soient les systèmes qu’on colle sur une infra, quels que soient les efforts que l’on déploie sur les SI, tant que des applis / appareils échappent à la surveillance, on ne peut rien garantir sur les fuites de données.
Et actuellement, c’est un problème:
Pour tout le monde car nous sommes responsables des données
Pour les dirigeants car ils craignent l’espionnage généralisé
Pour les forces de l’ordre/les renseignements car ils n’ont pas de moyen de surveiller/intercepter certains réseaux
Pour les gouvernements car il semble régner un climat général de défiance, et on se méfie aussi de nos alliés.
#4.1
Euh, ça ne concerne pas le monde de l’entreprise (que tu peux contrôler si tu veux ou peux) mais de toutes les personnes d’un pays utilisant ces services. Et en Angleterre, le terme “lutte contre les contenus illicites” est très, très large. On se rappelle de l’époque pour certains lorsque les UK avait demandé à avoir accès à la messagerie de Blackberry.
#4.2
Tu restes quand même hors sujet. Il s’agit de détecter des contenus illicites.
Ceux listés dans l’article en lien sont : for terrorist or child sexual abuse material, toujours les mêmes prétextes pour affaiblir les communications privées protégées.
#4.3
pour ça que je connais peu de boîtes qui proposent le BYOD mais qui préfèrent fournir son matériel ;)
#5
Comme tu le dis: prétexte?
Les deux thèmes jouent sur les cordes de la peur et de la morale, mais une fois en place il sera difficile de s’apercevoir des dérives. Donc si les thèmes sont légitimes, on a toujours une forte impression qu’il y a une arrière pensée.
Sans compter qu’une backdoor pourrait être détournée par des pirates (je crois peu à la backdoor institutionnelle qui reste sécurisée)
Ya pas que le BYOD. Si le tel de la boîte ne le fait pas, ou si la boîte n’a pas filé de tel, on passe par le sien (et j’en suis: j’utilise Firefox sur le tel uniquement pour la messagerie du boulot car si j’utilise chrome il va me faire installer un truc qui fait rentrer mon tel perso dans la flotte de l’entreprise)
#6
Tu réalises que c’était exactement ce que Vekin disait quand tu l’as cité en #3 ?
#7
Sinon, le fait que ça soit la Grande Bretagne (seule) qui essaie d’imposer cela est plutôt un avantage. Les différentes messageries hésiteront moins à les envoyer balader et partir du pays que si c’était par exemple l’UE qui imposait une telle mesure.
Cela fera un précédent qui sera favorable à la protection de la vie privée.
#8
Le problème c’est que du coté de l’Europe ça essaie.
https://www.nextinpact.com/article/71104/la-commission-europeenne-veut-surveiller-integralite-web-mails-et-messageries-chiffrees
Et dans certains pays
https://www.nextinpact.com/lebrief/48261/chiffrement-bout-en-bout-belgique-voudrait-pouvoir-installer-porte-derobee
https://www.nextinpact.com/article/49762/le-congres-americain-sattaque-encore-au-chiffrement-bout-en-bout
https://www.nextinpact.com/lebrief/44146/les-five-eyes-linde-et-japon-demandent-a-passer-a-travers-chiffrement-bout-en-bout
Il va falloir faire attention au député européen pour lequel on vote :(
#8.1
Le problème est que la variante européenne , si elle devait aboutir sans se faire censurer par ceuj, déforcerait massivement les droits fondamentaux face aux appétits sécuritaires.
Cela peut sembler dramatique au premiers abord, mais on est vraiment face à une boîte de pandore qui, une fois ouverte, créerait un précédent qui serait invoqué à chaque fois qu’un état de l’U.E. ou l’U.E. elle-même voudrait faire prévaloir la lutte contre une catégorie de crime de droit commun sur un ou plusieurs droits fondamentaux de l’ensemble de la population.
#9
Doit-on tirer des conclusions pour telegram par exemple ( qui d’ailleurs était pas mal utilisé par nos élite)
#9.1
Sauf erreur, par défaut, Telegram n’est PAS chiffré de bout-en-bout systématiquement.
#9.2
C’est toujours le cas, en 1 vs 1 il faut basculer sur le mode “conversation secrète” et pas de chiffrement de bout en bout pour les conversations de groupe et la version bureau de l’appli.
#9.3
C’est fou quand même. Au moins WA, même si elle est loin d’être parfaite, a du chiffrement de bout en bout pour chaque discussion
#10
Hello, cette loi explique-t-elle à quoi s’expose un citoyen anglais s’il arrivait à se procurer (avec ses proches) whatsapp ou signal sur un store alternatif ? merci
#11
Je n’ai pas lu la loi, normalement l’utilisateur n’est pas ciblé. Mais je suppose que l’application ne sera pas disponible sur les stores généralistes. Je ne sais pas si les store comme F-Droid seront impactés.
Si tu veux lire : https://bills.parliament.uk/publications/49376/documents/2822
#11.1
merci pour ta réponse !
#12
Non, pas si la messagerie est en pair-à-pair.
#12.1
Me semble d’ailleurs que la messagerie cwtch.im est pair à pair et par Tor en plus.
#13
Fascinant de lire ce genre de news pour un pays qui n’exige même pas la carte d’identité obligatoire pour cause de respect des libertés individuelles.
Le Secret de la correspondance entre individus en France est un droit fondamental français inscrits dans le code des Postes et Télécommunications.
#14
Je demandais juste des précisions sur ce qu’il entendait par “fantasme” et , je ne l’ai pas contredit.
#15
Comme le dit (ou plutôt le sous-entend) l’article de wikipedia, la loi prévoit qu’un dépositaire de l’autorité peut lever le secret de la correspondance. Généralement pour la recherche de preuves. Mais ca ne sert à rien de pouvoir lever le secret si ca mène à un document indéchiffrable.
J’attends de voir le débat entre la protection de la vie privée (que tout le monde veut) et la garantie de la sécurité des personnes (que tout le monde veut aussi).
#15.1
“J’attends de voir le débat entre la protection de la vie privée (que tout le monde veut) et la garantie de la sécurité des personnes (que tout le monde veut aussi).”
Et oui tu as bien mis le doigt là où ça fait mal. Et jusqu’ à présent, aucun pays n’a encore trouvé la formule magique / solution miracle pour régler ce problème kafkaïen / schizophrénique.
#16
Peut-être.
Non. En tout cas, pour moi, pas au prix du point précédent.
En plus, les contenus illicites dont parle la loi peuvent n’avoir qu’un rapport lointain avec la sécurité des personnes.
Ils pourraient concerner “seulement” le droit de propriété (intellectuelle).
#17
Penser même que cette directive abominable offre la moindre garantie que ce soit, c’est se fourrer le doigt dans l’œil. Ce texte va créer plus de dégâts qu’il ne va résoudre de problèmes, et la simple quantité de faux positifs générés va rendre l’utilité du texte complètement bancal.
Par contre, ce texte a une utilité certaine pour avancer dans une nouvelle dynamique de piétinement des droits fondamentaux, en déléguant le piétinement de ces droits à des entreprises plutôt qu’aux autorités. Je dis avancer car avec le mécanisme est connu:
En fait, on a en fait déjà vu ça avec la directive droit d’auteur qui s’est attaquée par proxy à la liberté d’expression. Là on attaque, toujours via intermédiaire, le secret de la correspondance, …
… c’est quoi le prochain truc qui va nous tomber dessus? Une directive antiterrorisme obligeant les établissements accueillant du public à disposer à tout moment de l’identité de toute personne présente, créant une obligation implicite de mise en place de la reconnaissance faciale à l’entrée des bars, hôtels, commerces, … ?
#18
Et puis un jour, il y aura un fait divers d’un enfant qui s’est suicidée en laissant un simple mot a propos de harcèlement sur sa messagerie… Et tout sera chiffré, on ne saura jamais qui/quoi. Il y aura un emballement médiatique et une décision a l’emporte-pièce sur le chiffrement des messageries.
#fiction
#18.1
Je ne faisais que nier “que tout le monde veut aussi”. Comme je ne le veux pas, cette affirmation est fausse.
#18.2
Tu veux mon pseudo ?
#19
Et puis un jour, les téléphones des enfants auront des codes de déverrouillage connus des parents … ah bem non en fait, c’est déjà aujourd’hui !
#20
Et c’est justement la raison pour laquelle les parents/autorités se retourneront contre la société de messagerie pour avoir le contenu des messages.
Et que WhatsApp et Signal auront beau jeu de dire “ah bah c’est chiffré, on ne peut rien pour vous”.
#20.1
Quoi ?? J’ai accès au téléphone de mon enfant, j’ai aussi accès à son WhatsApp et tout le contenu de ses messages