Le Royaume-Uni veut obliger les propriétaires de services de chat à intégrer des portes dérobées qui détruisent le chiffrement. Bien que le pays utilise des sophismes pour y parvenir, une législation passée peut être lourde de conséquences.
Pensez aux enfants, ou Think of the children, a sa propre page Wikipédia. Il s’agit d’une technique d’argumentation qui exploite l’émotion. En écartant les faits et en mettant en avant la vulnérabilité des enfants, la partie adverse tente de faire passer un message. Après tout, qui est opposé à la protection des enfants ? L’argument est généralement utilisé pour de mauvaises raisons par des parties qui savent très bien ce qu’elles font. Elles veulent donc rallier à leur cause un public moins bien informé.
La bonne documentation entourant l’argument Think of the Children et sa moquerie fréquente dans les Simpsons n’empêchent pas le Royaume-Uni de rédiger la loi dite de sécurité en ligne (« Online Safety »). Pour cela, les services de messagerie doivent intégrer des portes dérobées dans le chiffrement afin que le gouvernement puisse lire les messages. Simplement, ne les appelez pas failles, mais mécanismes de détection de l’exploitation sexuelle des enfants.
De bout en quoi ?
Au Royaume-Uni, les législateurs se battent depuis un certain temps déjà contre le chiffrement de bout en bout offert par des services tels que WhatsApp et Signal. Les agences d’espionnage, dont le GCHQ britannique, souhaitent lire ce que les gens s’envoient entre eux, mais ce n’est pas si simple. Avec le chiffrement de bout en bout, un message est chiffré depuis le moment où il quitte votre téléphone jusqu’à ce que le destinataire l’ait en main.
Les clés de déchiffrement ne sont connues que par les deux parties communicantes. Ce qui se trouve sur les serveurs de WhatsApp et Signal est donc illisible pour les services de messagerie, qui ne peuvent pas transmettre les données de contenu aux gouvernements sans effort. Les métadonnées (qui envoie à qui, à quelle fréquence et quand) ne sont pas chiffrées. WhatsApp et Signal utilisent tous deux le protocole open-source Signal pour le chiffrement de bout en bout. On sait donc presque certainement qu’il est infaillible.
Lire avant le chiffrement
C’est un problème pour les services d’espionnage et de police, bien sûr : comment peuvent-ils lire ce que les méchants criminels s’envoient entre eux ? Nous devons donc penser aux enfants. Au Royaume-Uni, les législateurs ont compris que le chiffrement de bout en bout est permanent. Ils proposent donc une alternative dans la loi d’Online Safety
Et si les applications de messagerie analysaient toutes vos communications à la recherche de quelques mots clés avant de les chiffrer sur votre appareil ? Si vous tapez ces mots dans vos messages, ils seront transmis intégralement aux autorités. Si vous n’avez pas tapé de gros mots, votre message sera chiffré. Évidemment, le scanner sera initialement calibré pour traiter exclusivement les cas d’abus des enfants. Vous ne soutenez pas l’abus des enfants, n’est-ce pas ?
Vous ne soutenez pas l’abus des enfants, n’est-ce pas ?
Cette approche est presque trop fabuleuse pour être vrai. Le Royaume-Uni veut faire voter une loi exigeant que les services de messagerie intègrent un scanner IA qui lit tous vos messages et contacte ensuite les autorités de manière proactive. Le chiffrement de bout en bout est inutile quand des parties externes peuvent lire le chiffrement avant la réception. Le Royaume-Uni veut imposer une amende de plus de 21 millions de dollars à des entreprises comme Meta et Signal qui ne construisent pas de porte dérobée. S’ils veulent continuer d’opérer au Royaume-Uni, ils doivent obéir.
(Ne) craignez (rien)
Le public doit accepter, car il ne sera vraiment utilisé que pour lutter contre les abus envers les enfants. C’est promis. Heureusement, le cabinet du Premier ministre démissionnaire Boris Johnson a trébuché et peu de choses bougent. Si ce projet de loi était adopté, l’impact serait désastreux.
D’abord, il y a le problème technique. En dehors de son objectif, une porte dérobée est une faiblesse. Il laisse le chiffrement de bout en bout exposé. Même si la porte dérobée est verrouillée, on ne peut pas garantir un mauvais usage. Une seule fuite zero day suffit pour que votre historique de chat soit disponible sur le dark web. La sécurité basée sur la confiance n’est pas sûre, ce qui explique précisément pourquoi (en théorie) le chiffrement de bout en bout mathématiquement inviolable est si important.
Si le Royaume-Uni réussit à s’imposer, la faille fonctionnelle sera présente dans toutes les applications de chat et la vulnérabilité sera également présente. Cela réduit également la barrière pour les autres gouvernements qui souhaiteraient suivre les traces du Royaume-Uni.
« Function creep »
Cela nous amène à un problème pratique : le « Function creep ». Cela indique le phénomène par lequel l’information est utilisée à des fins autres que celles prévues à l’origine. Le Royaume-Uni a accès aux chats par des portes dérobées et peut faire hurler les sonnettes d’alarme avec des mots clés concernant les abus sur les enfants, mais pourquoi pas le terrorisme aussi ? C’est un argument logique quand la fonction est déjà en place ; qui est donc pro-terrorisme ?
Malheureusement, il est plus que jamais facile de décrire le problème. Tout le monde est contre les abus des enfants, et personne n’est pour le terrorisme. Mais qu’en est-il de l’avortement ? En raison de cette porte dérobée, il est tout à fait réaliste que les États américains utilisent ce mécanisme pour lire les messages de chat concernant d’autres crimes. Au Texas, il est illégal d’aider une personne à se faire avorter. En théorie, vous êtes donc en danger si vous en informez un voisin via WhatsApp. Aujourd’hui, il est parfaitement sûr de le faire. Si le Royaume-Uni arrive à ses fins, on ira dans une direction où cette sécurité sera compromise.
Bien connu
Voilà l’essentiel du problème. Par définition, un droit n’est pas définitivement acquis et les portes dérobées ne disparaissent pas. La fonction creep garantit une augmentation de leur taille au bout d’un certain temps. La seule garantie de confidentialité est un bon chiffrement. Nous ne prendrions pas la défense des pédophiles ou des terroristes, mais celle du bon sens et de la compréhension technique.
La seule garantie de confidentialité est un bon chiffrement.
Il est important de suivre ce qui se passe au Royaume-Uni afin d’éviter collectivement que nos applications de messagerie ne soient bloquées. La sécurité en ligne implique la confidentialité en ligne. Un avenir dans lequel les applications contiennent les mécanismes nécessaires pour permettre à des tiers de les lire à l’avance fera plus de mal que de bien. Le monde des affaires a un rôle important à jouer à cet égard.
Il faut que les organisations qui utilisent le chiffrement de bout en bout ou qui créent des applications utilisant cette technologie continuent à expliquer de manière proactive pourquoi ce chiffrement est important pour tout le monde. Sinon, le discours risque d’être détourné et une technologie essentielle d’être soudainement présentée comme un outil pour les pédophiles. En effet, n’oublions pas les enfants, et garantissons leur droit à la vie privée à l’avenir également.