Discussion :

[Patrick Ruiz]

« Facebook ne doit pas chiffrer ses services de messagerie sans s’assurer qu’il n’y a aucune réduction de la sécurité des utilisateurs »,
D’après des responsables US, UK et australiens

Le procureur général US (Bill Barr) et des représentants du Royaume-Uni et de l’Australie s’apprêtent à publier une lettre ouverte au PDG de Facebook – Marc Zuckerberg. Au menu : la question de la réorientation de Facebook vers le chiffrement et la confidentialité. De façon brossée, ces derniers demandent à Facebook de retarder les plans de chiffrement de bout en bout de ses services de messagerie jusqu'à ce qu'elle puisse garantir que la confidentialité accrue ne réduit pas la sécurité publique.

En fait, ce que les responsables US, UK et australiens demandent à Facebook c’est de ne pas mettre à mal leurs activités de découverte de schèmes illégaux menés par le biais du réseau social, notamment, l’exploitation sexuelle des enfants, le terrorisme et les ingérences dans les élections.

« L'amélioration de la sécurité dans le monde virtuel ne devrait pas nous rendre plus vulnérables dans le monde physique. Les entreprises ne devraient pas concevoir de façon délibérée leurs systèmes de manière à empêcher toute forme d'accès au contenu, ce qui pourrait empêcher d'enquêter sur les crimes », lit-on. La lettre appelle donc Facebook à accorder la priorité à la sécurité publique dans la conception de son chiffrement en permettant aux organismes d'application de la loi d'avoir accès au contenu illégal dans un format gérable. Une ébauche de la lettre, datée du 4 octobre, devrait être publiée en même temps que l'annonce d'un nouvel accord de partage de données entre les services de police des États-Unis et du Royaume-Uni.

Pour refaire la boucle, les autorités US, UK et australiennes requièrent du réseau social qu’il privilégie la sécurité publique en leur donnant un accès privilégié aux contenus des communications sur ses services de messagerie. Il y a seulement que la requête porte en elle les germes de l’argumentaire à même de la rejeter. C’est un avis que plusieurs experts en sécurité ont déjà formulé : l’ouverte d’une porte dérobée ne saurait se faire à l’usage exclusif des forces de l’ordre. En d’autres termes, une porte dérobée mise à disposition des forces de l’ordre le serait tout autant pour des tiers malveillants.

« De nombreuses personnes - y compris les journalistes, les militants des droits de l'homme et ceux qui risquent d'être victimes d'abus de la part de partenaires intimes - utilisent le chiffrement pour rester en sécurité dans le monde physique aussi bien qu'en ligne. Le chiffrement est essentiel pour empêcher les criminels et même les entreprises d'espionner nos conversations privées et pour s'assurer que l'infrastructure de communication sur laquelle nous comptons fonctionne vraiment comme prévu. Qui plus est, les portes dérobées requises par ces gouvernements ne leur seraient pas accessibles de façon exclusive », souligne l’Electronic Frontier Foundation.

Les responsables US, UK et d’Australie ne soutiennent donc pas le chiffrement fort même si la correspondance laisse croire le contraire : « nous supportons le chiffrement fort qui est utilisé par des milliards de personnes chaque jour pour des services tels que la banque, le commerce et les communications. Nous respectons également les promesses faites par les entreprises technologiques de protéger les données des utilisateurs. Les citoyens respectueux des lois s'attendent légitimement à ce que leur vie privée soit protégée. Toutefois, comme vous l'avez reconnu dans votre billet de blog de mars, nous devons veiller à ce que les entreprises technologiques protègent leurs utilisateurs et les autres personnes touchées par les activités en ligne de leurs utilisateurs. Nous devons trouver un moyen de trouver un équilibre entre la nécessité de protéger les données et la sécurité publique et la nécessité pour les organismes d'application de la loi d'avoir accès à l'information dont ils ont besoin pour protéger le public, enquêter sur les crimes et prévenir toute activité criminelle future. Ne pas le faire nuit à la capacité de nos organismes d'application de la loi d'arrêter les criminels. »

Cette correspondance arrive dans un contexte où des enregistrements audio de Zuckerberg s’exprimant sur la question ont fait l’objet de fuite. Le CEO donnait des indications sur l’approche qu’il compte adopter dans le cas d’une tentative de démantèlement de l’entreprise. De façon brossée, il entend faire prévaloir tous les moyens légaux pour empêcher la fragmentation de Facebook voulue par la candidate à l’élection présidentielle de 2020 – la sénatrice Elizabeth Warren. Dans le même ordre d’idée, il a dit être prêt à aller jusqu’au bout de son projet de réorientation de Facebook vers le chiffrement et la confidentialité.

« En fait, je ne serais pas surpris si nous finissions par avoir des réactions similaires à celle d'Elizabeth Warren sur d'autres aspects importants pour le social et que nous essayons de faire bouger comme notre grand effort pour l'introduction du chiffrement des messages de nos applications de messagerie. Avec l’approche de sa mise en œuvre, ce projet constituera un sujet de plus en plus épineux. Les forces de l’ordre ne seront certainement pas ravies de l’apprendre, mais nous pensons que c'est la bonne chose à faire pour protéger davantage la vie privée des gens, alors nous nous positionnerons en défenseurs de ce projet lorsque le moment sera venu », disait-il dans une série de réunions avec des employés.

Sources : Reuters, EFF

Et vous ?

Qu’en pensez-vous ?

L'équilibre entre vie privée en ligne et sécurité tel que requis par les forces de l’ordre est-il possible ?

Voir aussi :

Les sénateurs démocrates exhortent la FTC à agir contre les « pratiques frauduleuses amicales » de Facebook, en donnant suite à la nouvelle plainte
Facebook a menacé de retirer ses investissements de l'Europe et du Canada, si ses demandes n'étaient pas satisfaites
Facebook a payé 20 dollars par mois des mobinautes pour suivre leurs activités sur smartphones, Via l'application VPN Facebook Research
Facebook est un « innovateur en matière de protection de la vie privée », d'après son dirigeant, malgré les scandales dont la firme a dû faire face
Les utilisateurs américains de Facebook quittent le réseau social par millions, selon un sondage d'Edison Research

[defZero]

Qu’en pensez-vous ?

Ces dirigeants devrait être arrêter sur le champs et être conduit à la prison la plus proche.
Plus sérieusement, ils tiennent des raisonnement digne des meilleurs ...dictateurs de la planète.
Quand ils prennent une décisions allant à l'encontre d'une liberté, ils devraient toujours se poser la question comme ça :

Si Hitler/Mussolini/Staline/${insérez_votre dictateur_préférer_ici} avait eu cet outil, qu'est ce qu'il en aurait fait ?

Et si la réponse ne vous plait pas, alors vous savez quoi faire.

L'équilibre entre vie privée en ligne et sécurité tel que requis par les forces de l’ordre est-il possible ?

Dès lors que les dites "force de l'ordre" (il est où le désordre, il est où ?) veulent avoir accès à toutes les correspondances des personnes qu'elles sont sensé protéger et servir, pour offrir cette "sécurité" qu'elles promettent, la réponse est simple, c'est NON.
J’attends encore de voir en quoi un accès aux communications par les autorités va les aider à fournir plus de sécurité aux citoyens.
Il n'y a aucun lien de causalité entre sécurité accrue et écoute généralisé des communications à ce que je sache et contrairement à ce que l'on veut nous faire croire.
Par contre entre totalitarisme et écoute globale, ça c'est garanti à plus ou moins long terme.

P.S. : Et puis si quelqu'un veut vraiment communiquer de façon anonyme/sécurisé sur Internet, il y aura toujours un moyen techniquement parlant.

[Stéphane le calme]

Les USA demandent à Facebook de ne pas procéder au chiffrement de bout en bout de ses services de messagerie,
pour être en mesure de mieux protéger les enfants

Le procureur général des États-Unis, William Barr, a engagé des poursuites contre Facebook et d'autres services Internet pour mettre fin aux efforts de chiffrement de bout en bout, cette fois au nom de la lutte contre la pornographie enfantine. Barr, le secrétaire par intérim à la Sécurité intérieure Kevin McAleenan, le ministre australien des Affaires intérieures Peter Dutton et la secrétaire d'État du Royaume-Uni Priti Patel, ont demandé au PDG de Facebook, Mark Zuckerberg, de retarder les projets de mise en œuvre du chiffrement de bout en bout sur tous les services de Facebook Messenger « sans inclure un moyen d'accéder légalement au contenu des communications pour protéger nos citoyens ».

La lettre ouverte arrive des mois après que Barr ait déclaré dans un discours que le chiffrement « à l'épreuve des mandats » vient « éteindre la capacité des forces de l'ordre à obtenir les preuves essentielles à la détection et aux enquêtes criminelles » et permettre aux « criminels d'exercer leurs activités en toute impunité, en cachant leurs activités sous un voile de secret impénétrable ». Un message qui fait écho à un communiqué conjoint publié par les États-Unis, le Royaume-Uni, l'Australie, le Canada et la Nouvelle-Zélande (les Five Eyes) en juillet, dans lequel il était indiqué :

… Il est impératif que tous les secteurs de l'industrie numérique, y compris les fournisseurs de services Internet, les fabricants de périphériques et autres, continuent de prendre en compte les impacts sur la sécurité des enfants, y compris ceux exposés à un risque d'exploitation, lors du développement de leurs systèmes et services. En particulier, le chiffrement ne doit pas dissimuler ni faciliter l’exploitation des enfants.

Facebook a participé à lutter contre les abus sur les enfants en fournissant par exemple des rapports sur des images concernant les maltraitances et tentatives de maltraitances commises sur des enfants au Centre national pour enfants disparus et exploités (NCMEC - National Center for Missing and Exploited Children) en 2018. Un récent rapport du New York Times a révélé que le nombre d'images d'abus sexuels sur enfants avait augmenté de manière exponentielle au cours des deux dernières décennies, les enquêteurs ayant enregistré plus de 45 millions d'images et de vidéos l'année dernière. Les rapports de Facebook représentent 90 % des 18,4 millions de cas signalés au NCMEC en 2018, soit un nombre deux fois supérieur à celui de 2017 et 18 fois supérieur à celui signalé en 2014.

Barr et ses collègues ont noté que le NCMCE « estime que 70 % des rapports de Facebook, soit 12 millions de signalements dans le monde » pour du contenu lié à l'exploitation sexuelle et au terrorisme d'enfants « seraient perdus » si tout le trafic Messenger était protégé par un chiffrement de bout en bout et que Facebook ne peut pas filtrer le contenu à travers ses systèmes de sécurité. « Cela augmenterait considérablement le risque d'exploitation sexuelle des enfants ou d'autres dommages graves », ont déclaré Barr et les autres.

La lettre a également élargi son message au-delà de Facebook à l'ensemble du secteur des technologies, en déclarant :

Nous appelons donc Facebook et d’autres entreprises à prendre les mesures suivantes :

• intégrez la sécurité du public dans la conception des systèmes, vous permettant ainsi de continuer à agir efficacement contre les contenus illicites sans réduction de la sécurité, tout en facilitant la poursuite des contrevenants et la protection des victimes ;
• permettez aux forces de l'ordre d'obtenir un accès légal au contenu dans un format lisible et utilisable ;
• engagez-vous dans des consultations avec les gouvernements pour faciliter cela d'une manière qui soit substantielle et qui influence réellement vos décisions en matière de conception ;
• ne mettez pas en œuvre les modifications proposées avant de pouvoir vous assurer que les systèmes que vous utiliseriez pour maintenir la sécurité de vos utilisateurs sont entièrement testés et opérationnels.

La demande du gouvernement américain

Vendredi, le ministère de la Justice a organisé ce qu'il a appelé le « Lawful Access Summit », une présentation qui a duré toute la matinée et qui visait à convaincre de la nécessité de permettre à la police de suivre toutes les conversations sur des plateformes de messagerie afin de protéger le public, en particulier les enfants, des prédateurs.

« En dehors du monde numérique, aucun d'entre nous n'accepterait la proposition d'autoriser les adultes à être mêlés à des enfants qu'ils ne connaissent pas dans des salles closes à des enfants qu'ils ne connaissent pas afin de les préparer à l'exploitation sexuelle », a avancé le procureur général adjoint américain Jeffrey Rosen.

« Nous n'accepterions jamais non plus l'idée qu'une personne soit autorisée à garder une réserve de matériel d'abus sexuel sur des enfants loin de tout contrôle du système de justice lorsque toutes les procédures traditionnelles de la société visant à protéger la vie privée de la personne, telles que l'exigence du mandat du Quatrième amendement, ont été remplies. Mais dans le monde numérique, c’est de plus en plus la situation dans laquelle nous nous trouvons ».

Prenons, par exemple, un cas récent où des informations provenant d'un réseau P2P à la disposition du public indiquaient qu'au début de 2017, une personne se trouvant à une adresse physique particulière demandait du matériel sur les abus sexuels sur enfants via ce réseau. Les enquêteurs ont obtenu un mandat de perquisition et saisi l’ordinateur du suspect. Il était chiffré. Le suspect a nié avoir téléchargé de la pornographie juvénile et a ensuite retenu les services d'un avocat. À ce jour, les forces de l'ordre n'ont pas pu accéder à l'ordinateur pour effectuer une recherche. À ce jour, plus de deux ans et demi plus tard, le suspect est toujours en fuite, sans avoir été innocenté ni inculpé d'un crime.

Allons un peu plus loin. Supposons que le suspect ait effectivement téléchargé du matériel pédopornographique. Et si les fichiers de son appareil chiffré nous permettaient d’identifier des enfants victimes d’abus sexuels ? Et, comme nous ne pouvions pas accéder aux données stockées sur cet appareil même avec l'autorisation du tribunal, que se passerait-il si ces enfants maltraités étaient toujours là, en attente d'être sauvés?

Ce ne sont pas des scénarios sensationnels. Ce sont des cas réels qui soulèvent des questions difficiles auxquelles nous, en tant que société, devons faire face. La vie privée est importante. Il en va de même pour la cybersécurité et l'intégrité des données des utilisateurs. Ce sont des choses bonnes et nécessaires. Mais il existe d’autres valeurs importantes, telles que la sécurité des utilisateurs et du public, qui doivent également être prises en compte et peser sur la balance. Si nous les perdons de vue, nous ne pouvons pas honorer les victimes de ces crimes horribles - des victimes qui sont souvent les membres les plus vulnérables de notre société.

En particulier, le DOJ s'est concentré sur Facebook. Le réseau social a récemment annoncé son intention de déployer le chiffrement de bout en bout sur tous ses services de messagerie instantanée (en plus donc de WhatsApp où le chiffrement de bout en bout a déjà été déployé) avec des clés qui seront remises aux utilisateurs eux-mêmes.

« Nous devons trouver un moyen d'équilibrer la nécessité de sécuriser les données avec la sécurité publique et la nécessité pour les forces de l'ordre d'accéder aux informations dont elles ont besoin pour protéger le public, enquêter sur les crimes et prévenir les activités criminelles futures », déclare le ministère de la Justice au réseau social .

« Ne pas agir de la sorte nuit à la capacité de nos services répressifs d’arrêter les criminels et les agresseurs ».

Plutôt que de demander l'installation d'une backdoor pour déchiffrer les communications à la demande, le ministère suggère aux entreprises technologiques de proposer une frontdoor permettant aux policiers de présenter un mandat et de recevoir copie des conversations qu'ils souhaitent voir. Malheureusement, les autorités ne semblent pas avoir la moindre idée de ce à quoi cette frontdoor ressemblerait en réalité dans le contexte d'un service chiffré de bout en bout.

Alors que nous sommes confrontés au problème du chiffrement « à l'épreuve des mandats », personne ne réclame des « backdoor » pour les systèmes de communication, même si c'est souvent cette façon que cela est présenté à tort. Comme le directeur du FBI Wray l’a déclaré ce matin, les forces de l’ordre cherchent une frontdoor, c’est-à-dire un accès par le biais d’un système transparent et reconnu publiquement, et ce seulement après avoir obtenu l’autorisation d’un tribunal. Et nous ne voulons pas les clés de cette porte. Les entreprises qui développent ces plateformes doivent conserver les clés, tout en maintenant la confiance de leurs utilisateurs en ne donnant accès au contenu que lorsqu'un juge l’a ordonné.

C'est exactement ce qui se passe avec les opérateurs de télécommunications traditionnels. Chaque jour, des sociétés comme AT&T, Verizon et Sprint offrent aux forces de l'ordre un accès légal ciblé au contenu des communications téléphoniques de manière à promouvoir la sécurité publique - mais uniquement après que le gouvernement s'est conformé aux strictes exigences de la loi et qu'un juge en ait autorisé l'accès. Pourquoi les entreprises de technologie Internet devraient-elles fonctionner selon des règles différentes? Pour une jeune fille victime de trafic à des fins sexuelles, peu importe que ses bourreaux communiquent via des appels vocaux traditionnels via un téléphone portable ou via une application Internet chiffrée. Mais cela fait une énorme différence pour les enquêteurs qui tentent de la retrouver, car ils peuvent rassembler la première catégorie de preuves électroniques, mais pas la seconde. Du point de vue de la politique, cela n’a aucun sens.

Source : Ministère de la justice, communiqué (au format PDF)

Et vous ?

Que pensez-vous des arguments avancés par le gouvernement ?
Sachant leurs conversations moins protégées, les malfaiteurs ne peuvent-ils pas simplement se tourner sur des services qui sont moins populaires que Facebook Messenger et WhatsApp comme Telegram ?

Voir aussi :

USA : la Cour suprême permet aux personnes aveugles de poursuivre les détaillants en justice si leurs sites Web ne sont pas accessibles aux personnes malvoyantes
Le Congrès US examine le projet de Google sur l'implémentation du chiffrement TLS, après avoir été saisi par les principaux FAI américains
Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS, voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome
La plus grande menace de rançongiciels serait le chiffrement des fichiers cloud partagés, selon les chercheurs de Vectra

[Invité]

Ah ben si c'est pour les enfants c'est bon !

[eldran64]

C'est un grand classique. On prend un sujet sur lequel tout le monde est d'accord: lutte contre le terrorisme, lutte contre la pédophilie, lutte pour la préservation de la planète, etc. Et ensuite on fait passer une loi liberticide pour juste un "cas spécifique". C'est comme larguer une bombe au napalm dans un champ pour tuer une taupe. Ça ne garantie pas l'efficacité contre la taupe mais ça flingue tout le reste.

En France on fait ça avec le terrorisme.

Bon sinon, les messageries chiffrés de bout en bout ça existe même en dehors de FB. Les criminels utilisent rarement FB pour commettre leur larcin.

[walfrat]

En admettant que l'on veuille faire bouger les lignes sur ce sujet, et ce peu importe qu'on utilise une excuse ou non, on est vite limité :

• On oblige les hébergeurs a détecté eux-même ce genre de vidéo -> à la portée des GAFA mais certainement pas des petites entreprises
• On permet de rendre les flux d'échanges des flux lisibles -> perte de vie privée
• Autre ?

[Coeur De Roses]

En admettant que l'on veuille faire bouger les lignes sur ce sujet, et ce peu importe qu'on utilise une excuse ou non, on est vite limité :

• On oblige les hébergeurs a détecté eux-même ce genre de vidéo -> à la portée des GAFA mais certainement pas des petites entreprises
• On permet de rendre les flux d'échanges des flux lisibles -> perte de vie privée
• Autre ?

Tout à fait. Plus de surveillance et de contrôle au détriment de la vie privée sur internet.
Dans autre je dirais que ça peut, peut être potentiellement permettre non seulement aux hacker confirmés mais a des hacker plus bas niveau de se
procurer des données sur les gens plus facilement.

C'est théorique je suis pas un expert, mais je pense que ça augmente l'accessibilité à la cyber criminalité.
Si ils disent que c'est pour surveiller les populations de désactiver les chiffrages divers et variés sur divers applications, alors couteau à double tranchant, car les cyber criminels sont aussi là.

[Stéphane le calme]

Facebook n'a pas l'intention d'affaiblir le chiffrement de ses applications de messagerie,
pour donner un accès privilégié aux forces de l'ordre dans le cadre d'enquêtes

En octobre dernier, le procureur général US (Bill Barr), le ministre britannique de l'Intérieur (Priti Patel), le ministre australien de l'Intérieur (Peter Dutton) ainsi que le secrétaire américain à la sécurité intérieure (Kevin McAleenan) ont publié une lettre ouverte adressée PDG de Facebook, MarK Zuckerberg. Le sujet portait sur la réorientation de Facebook vers le chiffrement et la confidentialité. Les élus ont demandé à Facebook de retarder les plans de chiffrement de bout en bout de ses services de messagerie jusqu'à ce que l'entreprise puisse garantir que la confidentialité accrue ne réduit pas la sécurité publique.

En fait, les responsables américains, britanniques et australiens ont exprimé des inquiétudes quant à la poursuite de la mise en œuvre par Facebook du chiffrement de bout en bout sur ses applications WhatsApp et Messenger, expliquant que cela empêcherait les forces de l'ordre de trouver des activités illégales telles que l'exploitation sexuelle des enfants, le terrorisme et l'ingérence électorale. Les gouvernements américain, britannique et australien ont demandé à la société de réseautage social de concevoir une porte dérobée dans ses protocoles de chiffrement, ou un moyen distinct pour les forces de l'ordre d'accéder au contenu des utilisateurs.

« L'amélioration de la sécurité dans le monde virtuel ne devrait pas nous rendre plus vulnérables dans le monde physique. Les entreprises ne devraient pas concevoir de façon délibérée leurs systèmes de manière à empêcher toute forme d'accès au contenu, ce qui pourrait empêcher d'enquêter sur les crimes », pouvait-on lire sur la lettre. Les responsables ont appelé Facebook à accorder la priorité à la sécurité publique dans la conception de son chiffrement.

Facebook n'a pas l'intention d'affaiblir le chiffrement

Facebook a déclaré qu'il n'affaiblirait pas le chiffrement de bout en bout dans ses applications de messagerie, malgré la pression des gouvernements mondiaux, dans une lettre adressée au procureur général américain Bill Barr et aux dirigeants britanniques et australiens.

« Il est tout simplement impossible de créer une telle porte dérobée dans un seul but et de ne pas s'attendre à ce que d'autres essaient de l'ouvrir », ont écrit Will Cathcart, responsable de WhatsApp, et Stan Chudnovsky, responsable de Messenger, dans la réponse de Facebook. « Les messages privés des gens seraient moins sûrs et les vrais gagnants seraient ceux qui chercheraient à profiter de cette sécurité affaiblie. Ce n'est pas quelque chose que nous sommes prêts à faire ».

En théorie, le chiffrement de bout en bout empêche quiconque (les gouvernements, les agences de sécurité ou les hackers) d'accéder ou de visualiser le contenu d'un message entre deux parties et est une caractéristique clé des applications populaires telles que WhatsApp et Signal. Les agences gouvernementales souhaitent depuis longtemps un moyen d'accéder au contenu des messages sur des applications chiffrées, arguant que c'est dans l'intérêt de la sécurité publique malgré des préoccupations plus larges en matière de confidentialité.

La lettre de Facebook est intervenue alors que Jay Sullivan, directeur de la gestion des produits pour la confidentialité et l'intégrité de Messenger, s'apprêtait à témoigner mardi lors d'une audience du comité judiciaire du Sénat sur « le chiffrement et l'accès légal » avec un cadre d'Apple et du procureur de district du comté de New York, Cyrus Vance Jr. Dans sa déclaration d'ouverture, qui a été rendue publique avant sa comparution, Sullivan devrait discuter de la manière dont Facebook et d'autres sociétés peuvent travailler avec les gouvernements pour soutenir l'application des lois sans affaiblir le chiffrement.

« Nous pouvons être certains que si nous construisons une porte dérobée pour le gouvernement américain, d'autres gouvernements, y compris les régimes répressifs et autoritaires du monde entier, exigeront l'accès ou tenteront de l'obtenir clandestinement, notamment pour persécuter les dissidents, les journalistes et leurs opposants politiques », estime Facebook. « Préserver l'importance des valeurs américaines en ligne nécessite de solides protections de la vie privée et de la sécurité, y compris un chiffrement fort ».

Dans la réponse de lundi, les dirigeants de Facebook ont ​​souligné l'investissement de l'entreprise dans l'intelligence artificielle et la modération humaine. Ils ont également noté que WhatsApp détecte et bloque 2 millions de comptes chaque mois basé sur des « schémas d'abus » et des analyses d'informations non chiffrées, y compris des informations de profil et de groupe.

La lettre a également avancé que l'entreprise est capable de détecter plus de mauvais contenu en raison de sa taille. Face à de multiples enquêtes antitrust et aux appels des régulateurs pour le démanteler, Facebook a déclaré que sa taille et son portefeuille de propriétés sont un avantage pour faire face aux acteurs malveillants : « Nos équipes développent constamment de nouvelles façons d'essayer de détecter les schémas d'activité, en trouvant en amont une mauvaise activité et en examinant ce que nous savons sur les comptes que nous fournissons », indique la lettre. « Donc, si nous savons que quelqu'un fait quelque chose de mal sur Facebook ou Instagram, nous pouvons souvent agir sur son compte sur Messenger et WhatsApp, et vice versa ».

Source : NYT

Et vous ?

Que pensez-vous de la décision de Facebook ?

[bloginfo]

Dans la mesure où je n'ai pas la capacité à chiffrer le stockage des informations avec mes propres clés, je ne vois pas en quoi les autorités américaines seraient empêchées d'accéder à mes données personnelles, sachant que la Cloud Act leur permet de le faire.

[Stan Adkens]

Le DOJ prévoit de frapper le chiffrement alors que le fer du « Techlash » est chaud,
En espérant que la loi anti-chiffrement australienne facilitera l'adoption d'une loi similaire aux USA

Le « Techlash », qui vise les géants du numérique, dont les déboires sont désormais pointés du doigt au quotidien, n’épargne plus aucune entreprise technologique aux Etats-Unis. Des scandales à répétition, des revendications de la part des salariés, des mouvements citoyens et de consommateurs, la fronde des Etats – la Big Tech est attaquée sur tous les fronts. Selon un article publié mardi par le Washington Post dans son bulletin "Cybersécurité 202", le ministère américain de la Justice veut tirer parti du Techlash pour obtenir le soutien du Congrès en faveur d’un objectif du DOJ longtemps souhaité, à savoir une législation qui limitera votre liberté de chiffrer vos données et vos communications.

Dans les environs de l’année 2016, le DOJ pressait les entreprises technologiques à intégrer « volontairement » dans leurs produits un moyen spécial permettant aux forces de l'ordre d'accéder aux communications chiffrées pour aider à traquer les terroristes et les criminels. Mais selon l’article du journal, le DOJ a abandonné cette stratégie, d’après l'assistant du procureur général pour la sécurité nationale John Demers. Dorénavant, l’agence se concentre « sur l'obtention d'une législation qui force les entreprises à coopérer - et espère que les lois limitant le chiffrement mis en place en Australie et au Royaume-Uni faciliteront l'adoption d'une loi similaire aux États-Unis », d’après le haut fonctionnaire.

« S'il y avait une proposition de la part des entreprises technologiques ou un désir de parler de cette question qui n'était pas seulement le fait de tout le monde qui reformule sa propre position... alors nous serions heureux de l'entendre », a dit M. Demers. « Mais nous n'avons pas vraiment avancé depuis toutes les années où nous avons été ouverts à la discussion ».

Selon le journal, ce changement illustre la façon dont les forces de l'ordre estiment avoir désormais un avantage politique dans le débat sur le chiffrement à l'épreuve des mandats – en particulier au Congrès où les législateurs ont fait la leçon aux responsables d'Apple et de Facebook sur ces systèmes lors d'une audition de la commission judiciaire du Sénat en décembre. Surtout que le président de la commission, Lindsey Graham, avait alors mis en garde les entreprises : « Vous allez trouver un moyen de faire ceci ou nous allons le faire pour vous ».

Selon Riana Pfefferkorn, directrice associée de la surveillance et de la cybersécurité au Stanford Center for Internet and Society, qui a partagé un article suite à l’article du Washington Post, ce changement arrive maintenant pour deux raisons : d’abord, le Techlash du Congrès et du public « à la suite d'une myriade de scandales liés à la vie privée » et des élections de 2016 ; et ensuite, l'adoption en 2018 par l'Australie de l'"Assistance and Access Act", qui faisait suite à une législation similaire au Royaume-Uni en 2016. M. Demers « espère que ces lois créeront un modèle sur la manière dont les législateurs américains pourraient limiter le chiffrement.

Pfefferkorn avait déjà fait référence au plan du ministère de la Justice. Selon son article publié mardi, elle dit avoir expliqué dans un précédent article que le Techlash a maintenant pris suffisamment d'ampleur pour que les forces de l'ordre puissent avoir une chance de réaliser leur souhait d'interdiction du chiffrement, sous le couvert de la protection des enfants, sous la forme d'un terrible projet de loi appelé EARN IT Act. Selon elle, ce projet de loi ne ressemble pas beaucoup à l'Assistance and Access Act australien ou à la loi britannique sur la propriété intellectuelle – en fait, il ne mentionne pas du tout le mot "chiffrement" –, mais pour l'instant, il est le principal candidat du DOJ pour faire adopter une "loi limitant le chiffrement" aux États-Unis.

Persuader les membres du Congrès, déjà en colère contre la Big Tech pour avoir transgressé la vie privée, d’aller en guerre contre leur chiffrement

Selon l’article du quotidien, M. Demers a admis que le DOJ pense pouvoir persuader les membres du Congrès d'être en colère contre les sociétés de technologie à cause de leur chiffrement parce qu'ils sont déjà en colère contre ces sociétés pour avoir transgressé la vie privée des utilisateurs. Mais cette « rage transitive », comme l’appelle Pfefferkorn, se contredit parce que le chiffrement protège la vie privée des utilisateurs. Mais mieux, le chiffrement ne se limite pas qu’à cela. En effet, selon Pfefferkorn, bien que la vie privée soit certainement l'un des principaux intérêts que le chiffrement protège, il ne se contente pas de protéger vos données et les conversations des criminels et des fouineurs, mais il peut même les protéger des yeux de l'entité qui a fourni ce chiffrement.

Par exemple, lorsque vous utilisez une application de chat telle que WhatsApp qui chiffre vos conversations de bout en bout par défaut, même le fournisseur de l'application (Facebook, dans le cas de WhatsApp) ne peut pas lire vos messages ou écouter vos appels. Donc, selon Pfefferkorn, si vous en voulez à Facebook d'avoir porté atteinte à votre vie privée, vous devriez être reconnaissant qu'il utilise un chiffrement qui les empêche d'espionner vos conversations WhatsApp, et qu'ils prévoient la même chose pour leurs autres services de messagerie.

En octobre dernier, les responsables US, UK et australiens ont demandé à Facebook de ne « pas chiffrer ses services de messagerie sans s'assurer qu'il n'y a aucune réduction de la sécurité des utilisateurs », ce système mettant à mal leurs activités de découverte de schèmes illégaux menés par le biais du réseau social, notamment, l’exploitation sexuelle des enfants, le terrorisme et les ingérences dans les élections. En décembre, Facebook réagit en disant qu’il n'a pas l'intention d'affaiblir le chiffrement de ses applications de messagerie pour donner un accès privilégié aux forces de l'ordre dans le cadre d'enquêtes.

Maintenant, le DOJ tente manifestement de semer la confusion dans l'esprit du public et du Congrès en mélangeant les problèmes : la confusion entre les violations de la vie privée des entreprises technologiques et le chiffrement des entreprises technologiques, comme Pfefferkorn dit l’avoir déjà souligné dans un récent article de presse. Même le sénateur Graham, l'auteur du projet de loi EARN IT Act, a admis que cette confusion n'avait aucun sens : « Lorsqu'on lui a demandé s'il voyait une tension entre les efforts continus du Capitole pour faire passer une législation sur la vie privée et sa volonté croissante d'imposer le chiffrement par des moyens détournés », Graham a admis qu'il en voyait « beaucoup », d’après le précédent article de Pfefferkorn.

La logique de la sécurité en ligne des enfants pourrait l'emporter, au détriment des nombreux intérêts que le chiffrement protège

Selon Pfefferkorn, si même le sénateur Graham peut voir un problème dans le stratagème du DOJ pour susciter « la rage transitive », pourquoi donc la stratégie prospère-t-elle ? La réponse à cette question n’est rien d’autre que le prétexte de la protection des enfants en ligne. Le Washington Post a écrit mardi que « les responsables de la justice ont également modifié leur message sur le chiffrement, parlant moins du danger que représentent le recrutement et la planification d'opérations terroristes hors du regard des forces de l'ordre que de la menace d'une recrudescence des prédateurs d'enfants partageant des images illicites ou attirant les enfants sur les médias sociaux ».

Le Congrès semble réceptif à ce message sur la sécurité des enfants, et les législateurs attendent de la Big Tech qu'elle protège la vie privée des utilisateurs, y compris des enfants. Le chiffrent déjà en place protège la vie privée des utilisateurs, mais aussi les méchants qui utilisent leurs services, y compris ceux qui font du mal aux enfants, que le Congrès veut que les grandes entreprises détectent. Le Congrès est face à ce dilemme alors que le DOJ a réussi à mettre sur le même pied le chiffrement et la sécurité des enfants.

Riana Pfefferkorn du Stanford Center for Internet and Society

Si les pédophiles bénéficient d'un chiffrement fort intégré par défaut aux logiciels et appareils populaires, alors, selon le sénateur Graham, personne ne devrait plus en bénéficier. Selon Pfefferkorn, dans un Congrès qui hésite déjà à adopter une loi fédérale sur la vie privée, la logique de la sécurité des enfants pourrait l'emporter, au détriment des nombreux intérêts que le chiffrement protège. Peut-être le sénateur Graham, en reconnaissant le dilemme d'exiger simultanément la protection de la vie privée et le chiffrement, a-t-il simplement admis tacitement que lorsque la vie privée de 327 millions d'Américains est confrontée au pouvoir rhétorique de « penser aux enfants », la vie privée est perdue, a écrit Pfefferkorn.

Le DOJ veut que les Etats-Unis imitent l’Australie et le Royaume-Uni, tout en ignorant les pays qui se sont prononcés en faveur du chiffrement, comme l'Allemagne

Pfefferkorn dit avoir averti en octobre 2018 que l'adoption de la loi australienne (alors en instance) aurait probablement un effet domino sur les autres pays du programme "Five Eyes", y compris les États-Unis. En adoptant la loi en décembre 2018, « l'Australie a donné l'exemple d'une démocratie occidentale qui a adopté une loi qui a miné le chiffrement, en faisant croire que c'est normal et correct », avait-elle déclaré l'été dernier.

Le projet de loi anti-chiffrement de l’Australie a été adopté en décembre 2018 sans amendements, et malgré les protestations de l'industrie technologique. Tel qu'il est connu, le projet permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de le forcer, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder.

Pfefferkorn avait également prédit en juillet 2018, que le DOJ se placerait dans une chambre d'écho où il n'écouterait « que les autres pays dont les gouvernements ont adopté des positions anti-chiffrement », en particulier l'Australie et le Royaume-Uni, tout en ignorant les pays qui se sont prononcés plus fortement en faveur du chiffrement, comme l'Allemagne.

C'est ce qui semble se produire actuellement, le DOJ préconisant que l'Amérique imite l'Australie, alors que l'Office fédéral allemand de la sécurité de l'information a publié mardi dernier une série de propositions d'exigences pour les smartphones qui nécessitent un chiffrement intégral du disque. Les mesures allemandes montrent qu'une autre voie est possible que celle choisie par le Royaume-Uni et l'Australie. L'approche allemande peut avoir beaucoup à apprendre aux États-Unis, d’après Pfefferkorn. « Il est dangereux pour le ministère de la Justice d'exhorter le Congrès à faire l'autruche et à refuser d'écouter », a-t-elle écrit.

Le DOJ veut permettre aux forces de l'ordre d’être en mesure de briser la sécurité en affaiblissant le chiffrement, tout en pensant que tout le monde sera toujours protégé pendant que les forces de l'ordre détectent les méchants. Cependant, les cryptographes ont soutenu que lorsque vous créez une porte dérobée, c'est une question de temps avant qu'elle ne soit trouvée et rendue publique. Edward Snowden a dit l’année dernière que « Sans le chiffrement, nous perdrons toute confidentialité ». Mais nous y sommes. Une fois qu’une législation anti-chiffrement sera mise en place, ce sera la vie privée et la sécurité de chacun qui seront mises à mal aux Etats-Unis.

Source : Stanford.edu, The Washington Post, Office fédéral allemand de la sécurité de l'information

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que le DOJ aura sa législation anti-chiffrement grâce au Techlash ?
Quelles seront les conséquences d’une telle législation sur la vie en ligne ?
Selon vous, peut-on, à la fois, protéger les enfants en ligne et conserver un chiffrement fort sur les applications en ligne ?

Lire aussi

Les USA demandent à Facebook de ne pas procéder au chiffrement de bout en bout de ses services de messagerie, pour être en mesure de mieux protéger les enfants
Edward Snowden : « Sans le chiffrement, nous perdrons toute confidentialité. C'est notre nouveau champ de bataille », cependant, les gouvernements continuent de s'y opposer au nom de la sécurité
« Facebook ne doit pas chiffrer ses services de messagerie sans s'assurer qu'il n'y a aucune réduction de la sécurité des utilisateurs », d'après des responsables US, UK et australiens
Interpol envisage de condamner la propagation du chiffrement fort dans une déclaration, au sein de laquelle l'Organisation va citer les difficultés à appréhender les prédateurs sexuels

[Fagus]

Quand on connait ce vrai scandale https://fr.wikipedia.org/wiki/Affair...ifs_de_Telford (ainsi que les scandales similaires dans d'autres villes anglaises), où en bref des milliers d'enfants ont été abusés en quasi impunité pendant des années malgré tous les signalements aux autorités, on se dit qu'employer l'argument de la protection des enfants pour supprimer la vie privée numérique, c'est de l'argumentation émotionnelle facile.
À quand affaiblir la crypto pour le bien être des chatons mignons ?

Si on veut protéger les enfants, c'est sans doute largement une justice fonctionnelle, un renseignement de terrain efficace. Il ne faut pas croire non plus que tous les truands de la terre se vantent de leur activité numériquement.

Quant à protéger les enfants en ligne... ça c'est le boulot d'éducation des parents et d'un logiciel de filtre de contenu inadapté. Ce qui importe c'est de les protéger physiquement.