Discussion :

[Neckara]

Tous les experts en sécurité m'ont dit la même chose :

1. une porte dérobée, c'est une porte
2. une porte, pour un hacker, c'est toujours une porte ouverte

Et j'ai tendance à les croire.

Mmmm.... je serais un peu plus nuancé, c'est juste mon esprit de contradiction et de pinaillage.


Le problème des backdoors est qu'elles sont généralement très peu sécurisées, et se reposent sur une sécurité par l'obscurité (très nul), ou donnent accès à bien trop de données si jamais elles étaient exploitées.

Par exemple, un compte backdoor sur Windows n'a pas de raison d'être moins sécurisé que votre e.g. mot de passe. Le problème c'est que si on vole votre mot de passe, on n'a accès qu'à votre compte, alors que si on exploite la backdoor, on a accès à tous les ordinateurs Windows.

Les backdoors deviennent alors très attractives, dont les attaquants, sont bien plus motivés et y mettent bien plus de moyens. Par sûr e.g. que la Chine utilise tous ses super-calculateurs pour trouver mon mot de passe Windows... en revanche, pour trouver une backdoor sur l'ensemble des ordinateurs Windows... c'est tout de suite bien plus intéressant.


Après il existe des technologies de fonctions avec trappes, de dés-anonymisations, qui sont un peu comme des backdoors. Mais quand on le fait, c'est pas des guignols de politiciens qui se penchent dessus. C'est pas une clé globale stockée n'importe où qui donne accès à toutes les données, ni même censée être très utilisée.

Par exemple, un cas d'usage est pour les dossiers médicaux. Seul vous et votre médecin devez pouvoir consulter vos données médicales, donc être chiffrées de sorte à ce que celui vous et votre médecin puissiez y accéder. Le problème est... que se passe-t-il si vous vous retrouvez à l'hôpital inconscient dans un cas urgent ? Votre médecin n'est pas là, et vous êtes inconscient. Il y a alors besoin d'une "backdoor", que certains personnels médicaux pourront utiliser... mais en conservant les traces des accès avec tout un cadre protocolaire et juridique.


Si on reprend la problématique, en soit avoir une backdoor sur nos communications chiffrées, ça peut se faire... il faudrait tout un protocole, avec plusieurs personnes possédant une "partie" de clé personnelle, e.g. un juge, un policier, le FAI, avec un enregistrement des accès, une procédure juridique, et sur un ensemble de données limitées, à la fois temporellement, et cibler une personne précise. C'est compliqué, cela fait intervenir des pans de recherches en crypto, c'est loin d'être trivial.

Pas comme ce qu'ils veulent faire et donner une clé à la NSA pour que ce soit la fête du slip.

[el_slapper]

oui, on est d'accord. J'ai donné le principe de base, tu rentres beaucoup plus dans les détails.

D'ailleurs, ton histoire de dossiers médicaux, je connais bien. On appelle ça le "bris de glace". Et c'est soumis à autorisation et audité de partout, en effet. Pour moi, ce n'est pas une backdoor, c'est un accès autorisé aux données. Avec des procédures bien particulières. Une backdoor, c'est donner les clefs de la base à quelqu'un. Un bris de glace, c'est tamponner administrativement le droit, via l'interface utilisateur, le droit à quelques professionnels de santé d'accéder à un dossier médical unique.

En hospitalier, il est interdit de faire des delete. On met à jour les données. Si elles sont obsolètes, voire fausses, le système rajoute une date de fin de validité. Mais jamais de suppression. C'est interdit. Ca (plus d'autres mécanismes) permet d’auditer tout ce qui c'est passé. Effectivement, si tu donnes les clefs de la base à quelqu'un, le Delete devient possible. Outre le fait que ça corromprait méchamment la base (conçue pour que jamais rien ne soit supprimé), ça donnerait le droit de faire des choses qui sont clairement illégales(et pas par hasard).

Donc je fais la différence entre une backdoor et un bris de glace. La seconde est propre et maîtrisée. Evidemment, ces crétins ivres de leur pouvoir veulent la première - qui est catastrophique à tous les points de vue, sauf quand on veut faire du dégât.

[Stéphane le calme]

USA : le projet de loi EARN IT désormais en lecture dans la Chambre des représentants.
Des défenseurs des droits numériques craignent une menace sur le chiffrement et la liberté d'expression malgré les amendements

EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies) Act est un projet de loi américain qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne. Dès le départ, des organisations de la protection de vie privée et des libertés civiles sur Internet, comme l’EFF et l’ACLU, ainsi que des sociétés de l’Internet, comme Signal, s’opposent au projet de loi, arguant qu’il donnera un pouvoir démesuré aux autorités gouvernementales afin de miner sérieusement le chiffrement fort, mettant ainsi les informations des utilisateurs en danger. D'autres entités les ont rejoint un peu plus tard à l'instar de Mozilla.

En juillet 2020, le comité judiciaire du Sénat a adopté une version modifiée du projet de loi EARN IT. Cette version du projet de loi controversé avait donc l'aval de ce comité pour être débattue au sein du Sénat tout entier. Bien que les amendements incluent des changements substantiels, des groupes comme l'ACLU et Free Press Action se sont toujours montrés préoccupés par les ramifications que le projet de loi pourrait avoir pour la liberté d'expression et les groupes marginalisés.

En apparence, le projet de loi EARN IT, vise à protéger contre la maltraitance des enfants. Mais dans sa forme initiale, le projet de loi menaçait également le chiffrement de bout en bout. La version modifiée du projet de loi EARN IT garantit que les entreprises ne seront pas davantage tenues responsables de la création d'outils de cybersécurité tels que le chiffrement, mais le débat sur le chiffrement n'est pas terminé. Au lieu de cela, les législateurs l’ont déjà déplacé dans le domaine d’un accès légal aux données chiffrées, qui obligerait les entreprises à créer des portes dérobées sur leurs produits pour permettre au gouvernement d’y avoir accès. En théorie, cela pourrait empêcher les criminels et les trafiquants de drogue de communiquer secrètement, mais cela pourrait également menacer les droits fondamentaux à la vie privée.

L'autre préoccupation majeure soulevée par les opposants à la loi EARN IT Act concerne l'article 230 de la Communications Decency Act, qui stipule que les entreprises ne sont pas responsables de la majorité du contenu que les utilisateurs publient. À l'origine, le projet de loi EARN IT proposait d'exiger que les entreprises « méritent » les protections de l'article 230 en suivant les pratiques recommandées décrites par une commission du ministère de la Justice. Sans ces protections, des entreprises comme Twitter ou Facebook pourraient être obligées de retirer tout ce qui pourrait entraîner une contestation judiciaire, ce qui pourrait menacer la liberté d'expression.

Les amendements adoptés privent la commission du ministère de la Justice de toute autorité légale et n'obligeront pas les entreprises à bénéficier de la protection de l'article 230 en suivant les pratiques recommandées. Mais le projet de loi viendrait également apporter des amendements à l'article 230 afin d’autoriser les poursuites des États, et les assemblées législatives des États pourraient restreindre ou interdire les technologies de chiffrement. De plus, cela pourrait conduire à des lois incohérentes qui varient d'un État à l'autre.

« Les auteurs de ce projet de loi veulent évidemment remédier aux véritables préjudices causés par les documents abusifs, mais le projet de loi modifié conduit à une énorme ouverture pour la responsabilité au niveau de l'État », a déclaré Gaurav Laroia, conseiller principal en politique de Free Press Action, dans un communiqué. « Même tel que modifié aujourd'hui, il invite les États à commencer à adopter toutes sortes de lois sous prétexte de protéger contre les abus, mais à reproduire les problèmes qui accompagnaient le texte original du projet de loi EARN IT ».

L'ACLU, qui affirme que le projet de loi ne fait pas grand-chose pour « aborder de manière significative la question de la maltraitance des enfants », s'oppose également aux nouveaux amendements :

« L'ACLU a toujours soutenu les efforts visant à garantir que ceux qui subissent des abus sexuels, en particulier les enfants, n'aient pas peur de se manifester et que, lorsqu'ils le font, ils soient traités de manière juste et équitable. Bien que les objectifs déclarés de la loi EARN IT de protéger les enfants contre l'exploitation sexuelle des enfants en ligne soient louables, elle ne parvient pas à résoudre de manière significative le problème qu'elle prétend résoudre. Par exemple, le projet de loi ne fait rien du tout pour s'attaquer aux causes profondes de l'exploitation sexuelle des enfants afin d'empêcher que les enfants soient des victimes en premier lieu. Il ne fournit également aucune assistance aux victimes pour qu'elles reçoivent un soutien, des soins et des conseils pour atténuer les préjudices causés par des événements traumatisants ou toute protection contre les éventuelles conséquences négatives en matière d'immigration, criminelles ou autres de dénoncer les crimes contre elles. Le projet de loi ne fera rien pour résoudre ces problèmes fondamentaux, tout en créant une multitude d'autres.

« Plutôt que de protéger les enfants contre les préjudices, la loi EARN IT porterait atteinte à la vie privée et aux droits de parole en ligne de chaque personne dans ce pays. En modifiant une loi fédérale clé qui prend en charge le discours en ligne, elle nuira également de manière disproportionnée à la communauté LGBTQ et à la communauté des travailleuses du sexe de manière similaire à SESTA / FOSTA, une loi qui a modifié la même disposition en 2018. SESTA / FOSTA visait à protéger les personnes engagées dans le travail du sexe de la traite contre leur gré. Cependant, les professionnel (le) s du sexe utilisent des plateformes en ligne pour filtrer les clients potentiellement violents, partager des informations concernant la santé et la sécurité, et autrement communiquer en privé et en toute sécurité. SESTA / FOSTA a éliminé de nombreux espaces utilisés par les professionnel (le) s du sexe pour maintenir la sécurité et protéger leur santé et a renvoyé les professionnel (le) s du sexe dans les rues dans des situations dangereuses. Plutôt que de protéger les personnes contre le trafic illégal, SESTA / FOSTA a mis en danger la santé, la sécurité et le bien-être encore plus loin qu'il ne l'avait été. Le représentant Khanna a présenté un projet de loi que l'ACLU soutient en faveur d'une étude fédérale pour quantifier ce préjudice. De plus, SESTA / FOSTA a également provoqué une censure disproportionnée du discours des personnes LGBTQ en ligne ».

EARN IT Act désormais en lecture dans la Chambre des représentants

Cela n'a pas empêché le projet de loi d'évoluer dans son adoption. Le 30 septembre 2020, EARN IT act a été passé à la Chambre des représentants qui compose, avec le Sénat, le Congrès des États-Unis et forme à ce titre l'un des deux organes du pouvoir législatif américain. Elle représente les citoyens au sein de l'Union et constitue la chambre basse du Parlement fédéral.

« En tant qu'élus, il n'y a pas de plus grande responsabilité que de veiller à ce que nous gardions nos enfants en sécurité », a déclaré la députée démocrate Sylvia Garcia. « C'est pourquoi je suis fier de présenter la loi bipartite EARN IT Act, qui veillera à ce que nous prenions les précautions nécessaires pour protéger nos enfants en prévenant et en répondant aux contenus d'abus sexuels d'enfants en ligne. Nous devons utiliser toute la force de la loi pour demander des comptes à ceux qui profiteraient de nos enfants ou enfreindraient les lois sur les abus sexuels sur les enfants ».

« Je suis fier de me joindre à ma collègue, la représentante Sylvia Garcia, pour présenter la loi EARN IT Act, une loi essentielle qui rendra responsables les mauvais acteurs qui facilitent le matériel d’abus sexuel sur des enfants », a déclaré la députée républicaine Ann Wagner. « Comme je l'ai dit à plusieurs reprises, je pense que si l'exploitation est un crime hors ligne, cela devrait aussi être un crime en ligne, et je suis ravi de continuer à travailler avec les survivants, les avocats, les forces de l'ordre et l'industrie pour protéger les enfants contre exploitation ».

Le projet de loi EARN IT permettra d'atteindre ces objectifs grâce aux dispositions législatives suivantes qui:

• Créer une commission d'experts composée de représentants d'agences gouvernementales, des agents des forces de l'ordre, de procureurs, d'universitaires, de survivants et/ou d'entreprises technologiques à but non lucratif. La Commission compilera les meilleures pratiques consultatives relatives à la prévention, à la réduction et à la lutte contre l'exploitation sexuelle des enfants en ligne. Les meilleures pratiques seront volontaires, non obligatoires ou contraignantes, et serviront à guider les entreprises qui souhaitent mettre en œuvre des mesures pour protéger les enfants de l'exploitation sexuelle en ligne.
• Modifier la Communications Decency Act (loi sur la décence en matière de communication) pour permettre aux fournisseurs de services interactifs d'être soumis à la responsabilité civile fédérale et étatique et à la responsabilité pénale de l'État en vertu des lois sur la pornographie enfantine.
• Remplacer « pornographie juvénile » par « matériel d'abus pédosexuels » dans tout le code pénal américain.
• Améliorer la CyberTipline du NCMEC pour exiger le signalement du trafic sexuel d'enfants et de la séduction en ligne, rationaliser le signalement et permettre le partage d'informations pour répondre aux abus sexuels sur des enfants.
• Permettre à un tribunal d'examiner les preuves d'actions ou de circonstances liées à des éléments impliquant l'exploitation sexuelle de mineurs si les preuves sont par ailleurs recevables.
• Prévoir que les actions ou les services impliquant des services de messagerie chiffrés ne doivent pas servir de base indépendante pour la responsabilité des fournisseurs de services interactifs en cas de plaintes liées à du matériel d'abus sexuel d'enfants.

Mais l'Electronic Frontier Foundation, un défenseur des droits numériques, tient à tirer la sonnette d'alarme :

« Le EARN IT Act permettrait aux 50 législatures des États, ainsi qu'aux territoires américains et à Washington D.C., d'adopter des lois qui réglementeraient Internet. En enfreignant l'article 230 de la loi sur la décence des communications, le projet de loi EARN IT permettrait aux petits propriétaires de sites Web d'être poursuivis en vertu des lois de l'État, à condition que les poursuites soient liées d'une manière ou d'une autre à des crimes contre des enfants.

« Nous savons comment les sites Web réagiront à cela. Une fois qu’ils font face à des poursuites en raison du discours d’autres personnes, ils surveillent leurs utilisateurs et censurent ou ferment les forums de discussion.

« Le projet de loi crée également une commission consultative sur les ‘meilleures pratiques’ d'Internet qui sera dominée par le procureur général William Barr et les organismes d'application de la loi. Le point de vue de Barr sur les ‘meilleures pratiques’ d’Internet est bien connu : il veut briser le chiffrement et laisser la police lire tous les messages envoyés en ligne.

« Le tollé public a déjà forcé des amendements à la loi EARN IT qui prétendent défendre le chiffrement, mais ils sont pleins de failles. Ce maquillage de façade ne corrige pas les nombreux défauts du projet de loi. »

Sources : EFF, Chambre des représentants

[Bill Fassinou]

Le FBI devrait cesser de s'attaquer au chiffrement et informer le Congrès de tous les téléphones qu'il a déjà piratés
exige l'Electronic Frontier Foundation

Depuis la dernière décennie, alors que les entreprises ont tenté d'apporter plus de confidentialité aux utilisateurs par le biais du chiffrement, de nombreux gouvernements et forces de police dans le monde se sont ligués contre cette technologie. À l'image du FBI, ils considèrent le chiffrement comme une impasse à leur capacité de s'introduire facilement dans les appareils de personnes suspectées ou inculpées pour soi-disant récolter des preuves. Comme pour crier son exaspération, l'Electronic Frontier Foundation (EFF) a exposé dans un récent rapport les capacités de piratage des forces de police américaines et a déclaré que le Congrès devrait contrôler les fouilles téléphoniques du FBI et des autres entités.

Abandonner le chiffrement ou mettre en place des portes dérobées

Le chiffrement de bout en bout est ce qui permet aux utilisateurs d'échanger des messages sans qu'ils soient interceptés et lus par des gouvernements répressifs, des entreprises et d'autres mauvais acteurs. Sans cette protection, quiconque mettrait la main sur votre téléphone ou votre ordinateur portable (un voleur, un acteur malveillant ou un employeur) pourrait accéder à vos données les plus sensibles. Lorsque l'on affaiblit intentionnellement ces systèmes, cela nuit à la sécurité et à la vie des gens. Cependant, les gouvernements et les organisations qui sont contre ne voient pas la chose de cette manière.

En effet, le désir de faire du chiffrement de bout en bout une fonctionnalité principale dans les équipements de télécommunication et sur les plateformes en ligne, notamment les plateformes de médias sociaux, s'est particulièrement accru vers la fin des années 2010. Parallèlement, la lutte contre ce déploiement à grande échelle du chiffrement a connu la même évolution. En Europe, comme aux États-Unis, les groupes "anti-chiffrement" plaident pour l'abandon de cette idée, sinon la mise en place de portes dérobées dans les équipements de télécommunication ou les plateformes en ligne devant faire l'objet d'un chiffrement fort.

Au sein de l'UE, c'est au nom de la lutte contre les abus subis par les enfants en ligne, la pédophilie et le terrorisme que l'on veut porter un coup au chiffrement. En novembre dernier, le Conseil de l’UE a déclaré qu'elle est d’avis que l’implémentation du chiffrement de bout en bout dans les applications de messagerie chiffrées ne doit pas empêcher les forces de l’ordre de traquer les pédophiles et les terroristes. Ainsi, il s’apprête à adopter une résolution qui vise à forcer l’introduction de portes dérobées à l’usage exclusif des forces de l’ordre au sein des applications de messagerie chiffrée.

Depuis 2018, l'Australie s'est dotée d'une loi anti-chiffrement. La loi, connue sous le nom de "Assistance and Access Bill", permettrait aux forces de police et de lutte contre la corruption du pays de demander, avant de le forcer, aux sociétés Internet, aux opérateurs télécoms, aux fournisseurs de messagerie ou à toute personne jugée nécessaire d'avoir accès au contenu auquel les agences souhaitent accéder. Elle devrait contraindre les services de messagerie comme WhatsApp et Signal à intégrer des portes dérobées pour donner aux enquêteurs un accès aux messages privés des utilisateurs.

Le FBI, qui est profondément engagé dans la lutte contre le chiffrement, demande depuis des années l'ajout d'une porte dérobée aux dispositifs de communication afin de pouvoir lire les communications chiffrées des Américains. Le directeur du FBI, Christopher Wray, aurait encore fait la même demande cette année lors d'un témoignage devant la commission judiciaire du Sénat. Wray se serait à nouveau plaint du chiffrement de bout en bout, qui est utilisé par les plateformes de messagerie populaires, ainsi que le chiffrement au repos des appareils numériques.

Le FBI aurait déjà une grande capacité à accéder aux équipements chiffrés

Selon le rapport de l'EFF, lors de son audience cette année, Wray aurait continué d'exprimer sa frustration quant à ce à quoi ses agents n'ont pas accès. Cependant, ce qu'il aurait oublié de mentionner est ce à quoi ses agents et lui ont déjà accès. Wray aurait en effet manqué d'informer les sénateurs de la fréquence "choquante" à laquelle son agence accède déjà aux smartphones des Américains. Pour l'EFF, la police s'introduit déjà dans les téléphones à grande échelle. Il cite un rapport d'Upturn, une organisation à but non lucratif, selon lequel le piratage des téléphones par la police serait devenu envahissant et répandu.

La police aurait en sa possession des outils médico-légaux qui extraient des données de presque tous les téléphones populaires. En mars 2016, Cellebrite, une société d'outils médico-légaux populaire, prendrait en charge les "extractions logiques" pour 8393 appareils différents, et les "extractions physiques", qui consistent à copier toutes les données d'un téléphone bit par bit, pour 4254 appareils. Cellebrite aurait la capacité de contourner les écrans de verrouillage d'environ 1500 appareils différents. Alors, comment font-ils pour contourner le chiffrement ? Selon l'EFF, souvent, ils se contentent de deviner le mot de passe.

En 2018, le professeur Matthew Green aurait estimé qu'il ne faudrait pas plus de 22 heures à des outils médico-légaux pour s'introduire dans certains anciens iPhone (dotés d'un code de passe à 6 chiffres), simplement en devinant continuellement les mots de passe (c'est-à-dire une entrée par "force brute"). Un code d'accès à 4 chiffres échouerait en 13 minutes environ. Cette entrée par force brute était permise par une faille matérielle qui aurait été corrigée depuis 2018, réduisant ainsi le taux de devinette des mots de passe. Mais l'EFF estime que, même si les fabricants améliorent la sécurité de leurs appareils, cela n'arrête pas le piratage pour autant.

Selon le rapport, en septembre 2020, les documents marketing de Cellebrite se vantaient que ses outils pouvaient s'introduire dans les appareils iPhone jusqu'aux derniers iPhone 11/11 Pro/Max exécutant les dernières versions d'iOS jusqu'à la dernière 13.4.1. Même lorsque les mots de passe ne peuvent pas être cassés, des fournisseurs comme Cellebrite offriraient des "services avancés" qui peuvent déverrouiller même les appareils iOS et Samsung les plus récents. Selon les recherches d'Upturn, le prix de base de ces services est de 1950 dollars, mais ils peuvent être moins chers en gros.

L'achat de technologies électroniques d'effraction en gros représenterait la meilleure affaire pour les services de police des États-Unis. En 2018, le service de police de Seattle aurait acheté 20 "actions" de ce type à Cellebrite pour 33 000 dollars, ce qui leur aurait permis d'extraire les données des téléphones en quelques semaines, voire quelques jours. Selon le rapport de l'EFF, les forces de l'ordre qui souhaitent débloquer des téléphones en masse peuvent payer le "déblocage avancé" de Cellebrite, pour des prix allant de 75 000 à 150 000 dollars.

L'EFF estime que cela signifie que pour la plupart des services de police, le piratage des téléphones n'est pas seulement pratique, il est relativement peu coûteux. « Lorsque le FBI dit qu'il "sombre" parce qu'il ne peut pas vaincre le chiffrement, ce qu'il demande en réalité, c'est une méthode d'intrusion moins chère, plus facile et plus fiable que les méthodes dont il dispose déjà. La seule façon de répondre pleinement aux exigences du FBI serait d'exiger une porte dérobée dans toutes les plateformes, applications et appareils », a écrit l'EFF dans son rapport.

« En particulier à une époque où les abus de la police à l'échelle nationale ont été mis en lumière, ce type de plainte ne devrait pas susciter l'intérêt des élus. Au lieu de cela, ils devraient se demander comment et pourquoi la police outrepasse déjà le chiffrement. Ces techniques ne sont pas seulement utilisées contre les criminels », a ajouté la fondation.

Le Congrès devrait surveiller les piratages de téléphones du FBI

Le rapport de l'EFF estime que les 44 organismes d'application de la loi qui ont fourni des dossiers à Upturn ont révélé au moins 50 000 extractions de téléphones portables entre 2015 et 2019. Mais, selon la fondation, ce nombre est loin d'être la réalité. « Il ne fait aucun doute que ce chiffre est un "grave sous-comptage", ne comptant que 44 agences, alors qu'au moins 2 000 agences disposent de ces outils. Beaucoup des plus grands services de police, dont New York, Chicago, Washington D.C., Baltimore et Boston, ont soit refusé les demandes d'enregistrement d'Upturn, soit n'ont pas répondu », a déclaré l'EFF.

Ce dernier estime que les fouilles médico-légales de téléphones portables sont de plus en plus courantes. La police de Las Vegas, par exemple, aurait examiné 260 % de téléphones portables en plus en 2018-2019 par rapport à 2015-2016. Les recherches seraient également souvent trop étendues. « Il arrive souvent que des données sans rapport avec les soupçons initiaux soient copiées, conservées et utilisées à d'autres fins par la suite. Par exemple, la police peut considérer que des données sans rapport avec le sujet sont "liées aux gangs" et les conserver dans une "base de données sur les gangs", dont les normes sont souvent vagues », estime l'EFF.

Selon lui, le fait de figurer dans une telle base de données peut facilement affecter les possibilités d'emploi futures des personnes concernées. Au regard de tout cela, l'EFF estime qu'il est temps d'exercer une surveillance sur les recherches téléphoniques de la police. « Plutôt que d'écouter une litanie de demandes d'accès spécial aux données personnelles de la part d'agences fédérales comme le FBI, le Congrès devrait exercer un contrôle sur les types d'accès inappropriés qui ont déjà lieu », a déclaré l'EFF. Ce dernier ajoute que la première étape consiste à commencer à garder une trace de ce qui se passe.

D'après l'EFF, le Congrès devrait exiger que les agences fédérales chargées de l'application des lois créent des journaux d'audit détaillés et des enregistrements d'écran des recherches numériques. En outre, il estime que les agences à l'échelle nationale devraient collecter et publier des informations agrégées sur le nombre de téléphones fouillés. Les agences devraient également divulguer les outils utilisés pour l'extraction et l'analyse des données. Toujours selon l'EFF, le Congrès devrait envisager d'imposer des limites strictes aux cas où les recherches avec consentement peuvent avoir lieu.

Il suggère également que ces recherches soient totalement interdites dans les situations de coercition élevée, comme les contrôles routiers. Enfin, l'EFF suggère certaines limites spécifiques qui devraient être fixées dans des situations moins coercitives. Notons qu'en décembre dernier, l'ACLU a accusé le FBI de s'introduire dans des dispositifs chiffrés. Il lui a ensuite intenté un procès pour le forcer à fournir plus d'informations sur son laboratoire de piratage.

Source : Rapport de l'EFF

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Sécurité : le Conseil de l'UE s'apprête à adopter une résolution visant à forcer l'introduction de portes dérobées au sein des applications de messagerie chiffrées pour lutter contre la pédophilie

Sécurité : une proposition de loi contre le chiffrement en cours de gestation au sein de la Commission de l'UE qui va la soumettre au cours de l'année pour lutter contre la pédophilie en ligne

L'Australie adopte son projet de loi anti-chiffrement sans amendements malgré les protestations de l'industrie technologique

Le Congrès US pourrait adopter EARN IT, le projet de loi qui met fin au chiffrement en ligne malgré l'opposition des entreprises technologiques

L'ACLU accuse le FBI de s'introduire dans des dispositifs chiffrés et lui intente un procès pour le forcer à fournir plus d'informations sur le laboratoire de piratage de l'agence fédérale

[Christian_B]

Accessoirement à la discussion de fond, c'est quoi, dans l'article initial, ces

outils médico-légaux qui extraient des données

Les médecins sont devenus des cracks en décryptage? Ils soignent ceux qui veulent tout savoir sur tous? Ou ceux qui sont stressés par l'omnisurveillance?
On n'est pourtant pas ecore le premier avril.

[Christian_B]

Accessoirement à la discussion de fond, c'est quoi, dans l'article initial, ces

outils médico-légaux qui extraient des données

Les médecins sont devenus des cracks en décryptage? Ils soignent ceux qui veulent tout savoir sur tous? Ou ceux qui sont stressés par l'omnisurveillance?
On n'est pourtant pas encore le premier avril.

[Patrick Ruiz]

« Les sénateurs sont de retour avec le projet de loi EARN IT pour scanner chaque message en ligne, chaque document et ainsi mettre à mal la vie privée de chaque internaute »
dit l’EFF

Un groupe de législateurs a procédé à la réintroduction du projet de loi EARN IT qui « ouvre la voie à un système de surveillance massif géré par des entreprises privées chargées de casser le chiffrement », selon l’Electronic Frontier Foundation. Quel impact l’adoption dudit projet est-elle susceptible d’avoir sur la vie privée des internautes ? Le rapport de l’Electronic Frontier Foundation donne des pistes.

« Le projet de loi permet à chaque État ou territoire des États-Unis de créer de nouvelles réglementations radicales en matière d'Internet, en supprimant les protections juridiques essentielles pour les sites Web et les applications via la section 230 du Communications Decency Act. Les États seront autorisés à adopter le type de loi qu'ils souhaitent pour tenir les entreprises privées pour responsables, à condition qu'ils établissent un lien entre leurs nouvelles règles et la maltraitance des enfants en ligne. L'objectif est d'amener les États à adopter des lois qui punissent les entreprises lorsqu'elles déploient un système de chiffrement de bout en bout ou offrent d'autres services chiffrés. Cela inclut les services de messagerie comme WhatsApp, Signal et iMessage, ainsi que les hébergeurs web comme Amazon Web Services.

Par ailleurs, le projet de loi crée une commission fédérale de 19 personnes, dominée par des organismes chargés de l'application de la loi. Elle sera chargée de définir les "meilleures pratiques" volontaires pour s'attaquer au problème de la maltraitance des enfants en ligne. L'application de ces dispositions permet d'anticiper sur ceci que les fournisseurs de services en ligne, même les plus petits, seront obligés de scanner le contenu des utilisateurs, avec des logiciels approuvés par le gouvernement comme PhotoDNA. Si les porteurs du projet de loi de EARN IT parviennent à obtenir des grandes plateformes comme Cloudflare et Amazon Web Services qu'elles procèdent à un balayage, alors le recours aux petits sites web pourrait même ne pas être nécessaire, car le gouvernement aura déjà accès aux données des utilisateurs, par le biais des plus gros.

Le projet de loi EARN IT ne vise pas les grandes entreprises technologiques. C'est plutôt chaque internaute qui constitue en réalité la véritable cible. Ces dispositions sont telles qu'elles nous traitent tous comme des criminels potentiels qui méritent que le moindre message, la moindre photo et le moindre document soient scannés et vérifiés dans une base de données gouvernementale. Étant donné qu'une surveillance gouvernementale directe serait manifestement inconstitutionnelle et provoquerait l'indignation du public, EARN IT utilise les entreprises technologiques - des plus grandes aux plus petites - comme outils. La stratégie consiste à faire faire le sale boulot de la surveillance de masse par des entreprises privées », s’indigne l’Electronic Frontier Foundation.

Une alliance franco-allemande s’est lancée dans cette entreprise d’affaiblissement du chiffrement en 2017. Grosso modo, l’idée était que les technologies de chiffrement ne doivent pas empêcher les forces de l’ordre ou d’autres autorités compétentes d’intervenir dans l’exercice légal de leurs fonctions. Elle soutenait donc l’introduction de portes dérobées dans le chiffrement. La position du nouveau gouvernement allemand sur la question va à l'opposé de celle de l’alliance. En effet, ce dernier promet de prendre en charge le chiffrement de bout en bout et de rejeter l’introduction de portes dérobées.

Source : EFF

Et vous ?

Un Internet sur le modèle chinois, c’est-à-dire contrôlé par les gouvernements, relève-t-il de l’inéluctable ?
Que pensez-vous des portes dérobées d'un point de vue technique ? Est-ce une solution envisageable ?

Voir aussi :

Le DOJ prévoit de frapper le chiffrement alors que le fer du « Techlash » est chaud, en espérant que la loi anti-chiffrement australienne facilitera l'adoption d'une loi similaire aux USA
Un rapport de l'EFF révèle comment les trackers de données personnelles de la Big Tech se cachent dans les médias sociaux et les sites Web, et attaquent la vie privée des utilisateurs à chaque clic
Le Congrès US pourrait adopter EARN IT, le projet de loi qui met fin au chiffrement en ligne, malgré l'opposition des entreprises technologiques
Des sénateurs US présentent un projet de loi pour la protection des enfants qui sous-entend l'arrêt du chiffrement en ligne, et considéré par ses détracteurs comme un « cheval de Troie »

[Invité]

Comment faisait-on avant internet ? A part déranger les utilisateurs dans leur vie privée, je ne vois pas ce que cette nouvelle loi va servir. En cas de soupçon, au lieu d'un espionnage de masse, faire appel à un juge pour mettre sur écoute par dérogation . Les écoutes doivent demeurer une exception. Et enplus, c'est plus discret qu'une loi qui annonce le total droit des communications.

Face à la recrudescence des morts par arme à feu aux Etats-Unis, il y a peut-être plus urgent à écouter. Je suis curieux de savoir combien il y a de meurtrier par rapport aux enfants battus. Pas qu'un enfant battu ne risque pas de mourir sous les coups, mais peut-être valide-t-on par cette loi un état de faits : des écoutes massives illégales.

[Nym4x]

C'est n'importe quoi : les pédophiles passent par du peer to peer et le réseau tor, pas Amazon, Facebook ou google... Comme d'habitude on se sert d'un sujet grave en prétexte afin de faire passer l'inacceptable mais le vrai objectif c'est de ficher en masse y compris les opinions politiques.

[defZero]

Un Internet sur le modèle chinois c’est-à-dire contrôlé par les gouvernements relève-t-il de l’inéluctable ?

Oui, parce qu'aucun gouvernements n'apprécie que l'on puisse se passer de lui.
Imaginez que l'on puisse discuter sur internet sans que l'Etat ne puisse censuré ou intervenir leurs est devenu insupportable.
J'en veut pour preuve les lois qui son voté et qui sont clairement anti-démocratique (mais elle passent ).
Et puis les arguments contre les Terroriste / Pédophile / Criminels, ils ont bon dos avec eux ils peuvent faire passer ce qu'ils veulent.

Que pensez-vous des portes dérobées d'un point de vue technique ? Est-ce une solution envisageable ?

Techniquement, le fait d'introduire une faille dans un système qui ce veut sécuriser, en espérant que personne de mal intentionné ne l'utilise, m'a toujours fait marrer.
Sinon, oui c'est tout à fait envisageable, mais pour cher nous dans l'UE, ça nécessiterai des modifications des lois puisqu'un prestataire de service ne pourrait plus être tenu responsable de sécurisé sont système, s'il doit laisser une porte ouverte pour les gouvernements .

[Invité]

Bonjour

« Les sénateurs sont de retour avec le projet de loi EARN IT pour scanner chaque message en ligne, chaque document et ainsi mettre à mal la vie privée de chaque internaute »
dit l’EFF

Un groupe de législateurs a procédé à la réintroduction du projet de loi EARN IT qui « ouvre la voie à un système de surveillance massif géré par des entreprises privées chargées de casser le chiffrement », selon l’Electronic Frontier Foundation. Quel impact l’adoption dudit projet est-il susceptible d’avoir sur la vie privée des internautes ? Le rapport de l’Electronic Frontier Foundation donne des pistes.

Un Internet sur le modèle chinois c’est-à-dire contrôlé par les gouvernements relève-t-il de l’inéluctable ?

En Europe et en Amérique du Nord, la surveillance de masse se fait par délégation aux entreprises privées. Donc oui les gouvernements ont une forme de mains mise "indirect" . En Chine c'est directement l'état qui à la main mise directement ...

Que pensez-vous des portes dérobées d'un point de vue technique ?

C'est de la folie

Est-ce une solution envisageable ?

Pas du tout. Encore une fois le dogme de la bien-pensance et de la bien-pensance ... qui prennent le pas sur le bon sens. On en arrive à faire valider de aberrations limite dangereuses !

Comme déjà exposé sur d'autres topics, ce type de projet de loi nuit et est contreproductif au final

[Christian_B]

Prétexte, prétexte ...
Il me semble que la complexité du chiffrement était déjà limitée légalement aux USA.
Mais ça ne suffit pas à la NSA et autres sénateurs mégalomanes. Ils veulent espionner plus facilement, pour moins cher et accumuler encore plus de données.
De vrais malades mentaux.
Poursquoi ne pas interdire le https pendant qu'ils y sont ?

Tant pis pour la vie privée et même pour le bon fonctionnement de l'économie d'ailleurs, si c'est facile de pirater des données sur internet, ils ne seront pas les seuls à le faire, c'est déjà le cas d'ailleurs quand il n'y a pas une bonne protection, bien fait.
Le prétexte de la maltraitance (ou la pédophilie, ou les Big Tech ou ce qu'on voudra), c'est un peu gros pour espionner tout le monde. Pas nouveau, ça s'adresse aux simples d'esprit (assez nombreux malheureusement).

En réalité la répression des réseaux criminels sur internet se fait en les infiltrant (comme faux "client", etc). Quand aux "Big Tech", c'est un autre problème. Il s'agit de freiner leur domination et leurs pratiques abusives. Pas gagné mais il y a quand même aux E-U une tradition de lutte contre les monopoles. On verra.

Riana Pfefferkorn et d'autres on bien vu le problème.

[Christian_B]

Rien de changé sauf que l'Empire du bien mal progresse

[Invité]

Bonsoir,

Le projet de loi EARN IT progresse au Sénat américain malgré les inquiétudes concernant la liberté d'expression, il pourrait interdire le chiffrement de bout en bout

Quel est votre avis sur le sujet ?

Comme exposé dans mes précédents posts. Nous avons affaire à des technocrates qui ne connaissent pas grand chose voir rien du tout ... La remise en cause du chiffrement ... On verra le jour ou des politiques se verront siphonner un "secret" ou une note "confidentielle" . Ils diront "merde si on avait su ?!" Bien il est trop tard ...

Que pensez-vous du projet de loi EARN IT ?

Que c'est un très mauvais projet . Une fois plus on va faire une chasse aux sorcières à l'encontre du quidam moyen, dont les contenus seront trop "exotiques". Pas illégaux. Juste "exotiques" et "personnelles" . Une photo un peu trop "perchée" , un message un peu trop "décalé" ...

Selon vous, les avantages d'EARN IT l'emportent-ils sur les risques potentiels ?

Non

Comment les plateformes en ligne pourraient-elles venir à bout des CSAM et de la pornographie non consensuelle ?

Pour attaquer le mal à la racine , c'est s'attaquer aux sites sur le dark web. Pas aux sites ou va M'sieur toutlemonde.

Cependant il faut beaucoup de moyen et d'argent ... pour pas forcement beaucoup de résultat. "Mais" comme à l'accoutumé , les politiques préfèrent être dans la communication à l'efficacité.

[pierre.E]

et ces memes senateurs critiquent la chine
faite ce qu on dit pas ce qu on fait

[Patrick Ruiz]

« Le projet de loi EARN IT pour scanner chaque message en ligne menace le chiffrement et donc la liberté des internautes », prévient l’EFF
À propos du texte dont un équivalent est en gestation en UE

Un groupe de législateurs a procédé à la réintroduction du projet de loi EARN IT qui « ouvre la voie à un système de surveillance massif géré par des entreprises privées chargées de casser le chiffrement », selon l’Electronic Frontier Foundation. Quel impact l’adoption dudit projet est-elle susceptible d’avoir sur la vie privée des internautes ? Une nouvelle sortie de l’Electronic Frontier Foundation donne des pistes sur le projet de loi dont un équivalent est en gestation en Union européenne.

L’intégralité de la position de l’EFF

Une campagne récemment lancée au Royaume-Uni diabolise le chiffrement en le présentant comme quelque chose que seul un criminel pourrait vouloir utiliser et le raisonnement qui fait office de socle pour le projet de loi EARN IT actuellement en discussion au Sénat américain est à peu près le même. Partout où nous nous tournons, nous trouvons des sénateurs et des têtes pensantes qui affirment que les gouvernements du monde entier doivent tenir les grandes entreprises technologiques responsables et ils disent qu'une étape importante de cette démarche est l'interdiction du chiffrement de bout en bout. Les criminels, disent-ils, ne devraient pas avoir la possibilité de protéger leurs communications d'un examen minutieux. Il n'est pas surprenant d'entendre les gouvernements invoquer la criminalité pour justifier des empiétements sur la liberté individuelle - ou, d'ailleurs, d'utiliser des mots chargés de sens comme "se cacher". Est-ce que vous vous "cachez" lorsque vous verrouillez la porte de votre maison tous les jours, simplement parce que le gouvernement n'a pas le droit d'y entrer sans mandat ? Est-ce que c'est "se cacher" que de sceller l'enveloppe de la carte que vous envoyez à votre valentine ? Même si vous acceptez qu'il s'agisse d'une dissimulation, le chiffrement de bout en bout ne sert pas uniquement, ni même principalement, à se cacher de la surveillance massive du gouvernement.

Chaque fois que les législateurs commencent à envisager la soi-disant utilisation abusive du chiffrement de bout en bout, ils feraient bien de réfléchir aux façons positives dont il est utilisé au quotidien. Beaucoup de temps est consacré (à juste titre) à la façon dont il a protégé des dénonciateurs comme Edward Snowden, mais le chiffrement de bout en bout a des utilisations vitales qui sont beaucoup plus proches de nous. La messagerie gratuite et chiffrée, par exemple, contribue à protéger les jeunes homosexuels de la violence intolérante (dans leur pays et à l'étranger, comme au Ghana). Dans le même temps, dans un monde où les agresseurs peuvent traquer leurs victimes uniquement en cachant un AirTag dans leur sac, le chiffrement de bout en bout joue un rôle direct pour aider les victimes à sortir de ces relations en leur permettant de contacter des amis pour obtenir de l'aide. Il existe autant de cas d'utilisation du chiffrement de bout en bout qu'il y a de personnes qui l'utilisent. Dire le contraire témoigne non seulement d'un manque d'imagination, mais aussi d'un discours qui ne peut être tenu que depuis une position de pouvoir et de privilège.

Nos campagnes, et l'histoire de la Free Software Foundation (FSF), montrent que nous ne voulons pas seulement demander des comptes aux grandes entreprises technologiques. Au-delà de ce terme quelque peu trompeur, nous pensons que les entreprises qui composent les "Big Tech", comme Apple, Microsoft et Amazon, entre autres, doivent être radicalement remodelées, avec pour fondement le respect de la liberté des utilisateurs. Et si nous apprécions que des entreprises comme Apple et Meta fassent beaucoup de publicité pour le chiffrement de bout en bout, nous devons nous rappeler que ces entreprises, dans l'ensemble, ne sont pas des amis de la liberté des utilisateurs. En tant qu'activistes, nous devons aider ces entreprises à comprendre que leur soutien à des technologies telles que le cryptage de bout en bout devrait être étendu à d'autres aspects importants de la liberté des logiciels et des utilisateurs.

Avec des initiatives telles que la loi EARN-IT, le Congrès ne s'en prend aux "Big Tech" que dans un sens très précis, à savoir en mettant gravement en danger la vie privée de tous les utilisateurs d'ordinateurs. Dans le même temps, toute mesure légale réglementant le cryptage aura un impact sur la mise en œuvre du cryptage dans les logiciels libres, et sur son utilisation par les utilisateurs de logiciels libres. Une fois qu'une porte dérobée est créée, nous n'avons pas le droit de spécifier comment elle est utilisée, ou par qui. Il s'agit, par définition, d'un risque de sécurité.

Dans un monde sous la loi EARN IT, le simple fait d'utiliser le chiffrement peut constituer un motif pour vous traîner devant un tribunal. En tant que militants pour la liberté des utilisateurs, l'une de nos réponses devrait être de normaliser le cryptage autant que possible. Les dénonciateurs sont importants pour de nombreux types de liberté, y compris la liberté de l'utilisateur et nous devons nous assurer que les personnes dénonçant les violations de la licence publique générale (GPL), les rootkits de gestion des restrictions numériques (DRM) ou toute autre injustice technologique ne se distinguent pas de la foule par leur utilisation du chiffrement. Le fait que les gens prennent au sérieux l'idée que seuls les criminels utilisent le chiffrement devrait nous faire réfléchir : cela signifie que nous avons échoué dans notre objectif d'apporter la vie privée à la majorité des utilisateurs et que nous devons faire plus.

La première étape pour en faire plus ? Arrêter EARN-IT dans son élan. La FSF exhorte tous ses sympathisants à contacter les membres de leur congrès local et à leur conseiller de voter contre la loi EARN-IT. Où que vous soyez dans le monde, tenez bon dans votre campagne pour défendre le droit des lanceurs d'alerte et des gens ordinaires à protéger leurs communications de la surveillance massive. Après tout, le citoyen lambda d'aujourd'hui peut être amené à devenir le dénonciateur de demain.

L’UE dans une mouvance similaire

L'UE envisage d’obliger les fournisseurs de services en ligne à scanner de façon automatique des contenus suspects dans tous les chats, messages et courriels privés, ce, de manière générale et sans distinction. L'objectif : lutter contre les abus sexuels des enfants en ligne. Le projet de loi est à controverse si l’on s’en tient à des résultats des sondages – publiés par la Commission – qui montrent que les populations y voient l’instauration d’une surveillance de masse. Le texte fera l’objet de présentation ce mois.

L'Union européenne a franchi un cap décisif dans sa lutte contre la pédophilie, la pédopornographie et toute autre forme d'abus que peuvent subir les enfants en ligne en approuvant – à mi-parcours de l’année précédente – la ePrivacy Derogation. Une majorité de membres du Parlement de l’UE avait adopté la loi qui permet aux fournisseurs de services de scanner toutes les correspondances privées. La proposition de la Commission en entente de présentation vient saler l’addition : Chatcontrol 1.0 prévoyait que la fouille des chats, messages et courriels privés soit effectuée par les fournisseurs de services en ligne de façon volontaire. Chatcontrol 2.0 (le texte en attente de présentation) les y oblige et s’applique aux communications chiffrées.

Les conséquences de la possible adoption de ce projet sont :

• toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
• si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
• les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la "sollicitation d'enfants" signalent souvent à tort les conversations intimes ;
• des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
• lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;
• ce serait la porte ouverte pour les services de renseignement et les pirates sur les conversations et courriels.

Source : EFF

Et vous ?

Un Internet sur le modèle chinois, c’est-à-dire contrôlé par les gouvernements, relève-t-il de l’inéluctable ?
Que pensez-vous des portes dérobées comme solution à l'affaiblissement du chiffrement d'un point de vue technique ? Est-ce une solution envisageable ?

Voir aussi :

Le DOJ prévoit de frapper le chiffrement alors que le fer du « Techlash » est chaud, en espérant que la loi anti-chiffrement australienne facilitera l'adoption d'une loi similaire aux USA
Un rapport de l'EFF révèle comment les trackers de données personnelles de la Big Tech se cachent dans les médias sociaux et les sites Web, et attaquent la vie privée des utilisateurs à chaque clic
Le Congrès US pourrait adopter EARN IT, le projet de loi qui met fin au chiffrement en ligne, malgré l'opposition des entreprises technologiques
Des sénateurs US présentent un projet de loi pour la protection des enfants qui sous-entend l'arrêt du chiffrement en ligne, et considéré par ses détracteurs comme un « cheval de Troie »

[Invité]

Bonjour

« Le projet de loi EARN IT pour scanner chaque message en ligne menace le chiffrement et donc la liberté des internautes », prévient l’EFF à propos du texte dont un équivalent est en gestation en UE

Un Internet sur le modèle chinois, c’est-à-dire contrôlé par les gouvernements, relève-t-il de l’inéluctable ?

En Europe / Amérique du Nord on est sur un modèle capitalistique. Donc c'est les entreprises comme les GAFAM qui se mettent à faire ce boulot au lieu des états. Bon la libéralisation du marché de la justice a commencé en même temps ^^

Que pensez-vous des portes dérobées comme solution à l'affaiblissement du chiffrement d'un point de vue technique ?

Le jour ou un citoyen / parfait inconnu mettra le doigt sur une faille, se sera le larbin de service qu'on pourra envoyer en prison ... Faire preuve de bon sens , de pragmatisme , d’esprit d'analyse mènera aussi en prison ?!

Puis après les politiques diront qu'on a prévenu personne ... Si seulement les couillons que sont certains politiques avaient pas eu un QI d'huitre . Les truands ne se pavaneraient pas en liberté et les innocents ne seraient pas en prison ...

Est-ce une solution envisageable ?

Surtout pas !

[LeBreton56]

le chiffrement a bon dos.

Honnêtement qui crois que les limitations de vitesse empêche les chauffards de les dépasser ?

de même ce n'est pas en interdisant le chiffrement que l'on pourra empêcher ceux qui le souhaite de l'utiliser (le dark cela vous dit quelque chose messieurs les députés ?).

En France, il me semble qu'il y a déjà un ensemble de loi qui permettent a un juge de saisir votre correspondance.

vas t'on demander à la poste d'ouvrir toute les lettres, tous les paquets ?

et ou a t'on vu que l'on pouvait faire confiance a une entreprise privé. Il me semble que certaines laissent allègrement passer des fakes, de la haine et autre(voir les résaux sociaux)

donc non on ne devrait pas voir ce genre de loi liberticide

[escartefigue]

vas t'on demander à la poste d'ouvrir toute les lettres, tous les paquets ?

Non : ça c'est la concierge qui s'en charge

[Stéphane le calme]

Le projet de loi controversé EARN IT, qui autorise la fouille des messages au prétexte de la lutte contre la pédocriminalité, est de retour.
Des élus tentent pour la troisième fois de le faire adopter

EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies) Act est un projet de loi américain qui vise à réduire les protections légales des applications et des sites Web, ce qui pourrait compromettre le chiffrement en ligne en conduisant au scan de chaque message, photo et fichier hébergé sur le web.

Dès le départ, des organisations de la protection de vie privée et des libertés civiles sur Internet, comme l’EFF et l’ACLU, ainsi que des sociétés de l’Internet, comme Signal, se sont opposées au projet de loi, arguant qu’il donnera un pouvoir démesuré aux autorités gouvernementales afin de miner sérieusement le chiffrement fort.

S'il ne fait toujours pas office de loi, un groupe de sénateurs américains tente pour la troisième fois de le faire adopter, au grand regret de l'EFF.

En apparence, le projet de loi EARN IT, vise à protéger contre la maltraitance des enfants. Mais dans sa forme initiale, le projet de loi menaçait également le chiffrement de bout en bout.

Le Congrès a essayé de faire adopter ce projet de loi au cours des deux dernières sessions et il a échoué les deux fois. Les élus n'en démordent pas et viennent remettre le projet de loi sur la table des négociations. Les formulations ont été différentes à chaque fois, mais les conséquences sont restées les mêmes. Notons par exemple qu'au lieu de parler d'affaiblissement du chiffrement, les élus ont tenté une autre approche en demandant de mettre sur pieds une fouille des messages sur l'appareil avant qu'ils ne soient chiffrés et transmis aux correspondants.

Les conséquences de la possible adoption de ce projet sont :

• toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
• si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
• les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la « sollicitation d'enfants » signalent souvent à tort les conversations intimes ;
• des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
• lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;
• ce serait la porte ouverte pour les services de renseignement et les pirates sur les conversations et courriels.

Face à ce retour, le défenseur des droits numériques Electronic Frontier Foundation (EFF) monte au créneau pour demander le soutien de la population afin que ce projet de loi soit botté en touche pour la troisième fois.

La perspective de l'EFF

La loi EARN IT crée une commission gouvernementale non élue, la regroupe avec le personnel chargé de l'application de la loi, puis la charge de créer des «*meilleures pratiques*» pour la gestion d'un site Web ou d'une application Internet. La loi supprime ensuite les protections légales de près de 30 ans pour les utilisateurs et les propriétaires de sites Web, permettant aux législatures des États d'encourager les poursuites civiles et les poursuites contre ceux qui ne suivent pas les «meilleures pratiques» du gouvernement.

Tant qu'ils lieront d'une manière ou d'une autre les modifications de la loi aux abus sexuels sur enfants, les législateurs des États pourront éviter les protections juridiques de longue date et adopter de nouvelles règles permettant des poursuites pénales et des poursuites civiles contre des sites Web qui ne donnent pas à la police un accès spécial aux messages des utilisateurs et aux photos. Les sites Web et les applications qui utilisent un cryptage de bout en bout pour protéger la confidentialité des utilisateurs subiront des pressions pour supprimer ou compromettre la sécurité de leurs services, ou ils feront l'objet de poursuites et de poursuites.

Si EARN IT est adopté, nous verrons probablement les législateurs des États intervenir et imposer le scan des messages et d'autres fichiers semblables au plan qu'Apple a sagement abandonné l'année dernière.

Il ne fait aucun doute que les sponsors ont l'intention que ce projet de loi scanne les messages, les photos et les fichiers des utilisateurs, et ils l'ont écrit dans cet objectif. Ils ont même suggéré un logiciel de numérisation spécifique qui pourrait être utilisé sur les utilisateurs dans un document publié l'année dernière. Le projet de loi prévoit également des allocations spécifiques pour permettre l'utilisation du cryptage pour constituer une preuve devant les tribunaux contre les fournisseurs de services.

Le langage de la proposition de loi prétendant protéger le chiffrement ne fait pas correctement son travail

Sous la pression, les parrains du projet de loi ont ajouté un libellé censé protéger le chiffrement. Mais une fois que vous regardez de plus près, c'est un jeu de coquille. Le projet de loi laisse clairement la place à l'imposition de formes de « scan côté client », qui est une méthode de violation de la vie privée des utilisateurs en envoyant des données aux forces de l'ordre directement à partir des appareils des utilisateurs, avant qu'un message ne soit chiffré. L'EFF soutient depuis longtemps que le scan côté client viole la promesse de confidentialité du chiffrement de bout en bout, même si elle permet au processus de chiffrement de se dérouler dans un sens étroit et limité. Un article de 2021 rédigé par 10 technologues de premier plan a soutenu que les scanners côté client sont un danger pour la démocratie, équivalant à des « bugs dans nos poches ».

Le logiciel de scan des conversations poussé par ce projet de loi ne fonctionne pas

Mais les preuves disponibles montrent que les logiciels de numérisation qui recherchent du matériel d'abus sexuel d'enfants, ou CSAM, sont loin d'être parfaits. Les créateurs de logiciels de numérisation disent qu'ils ne peuvent pas être entièrement audités, pour des raisons juridiques et éthiques. Mais voici les preuves jusqu'à présent :

• L'année dernière, un article du New York Times a montré comment les scanners CSAM de Google avaient faussement accusé deux pères d'envoyer de la pornographie juvénile. Même après que les pères aient été explicitement innocentés par la police, Google a maintenu leurs comptes fermés.
• Les données envoyées aux flics par le Centre national américain pour les enfants disparus et exploités (NCMEC) - l'agence gouvernementale qui sera chargée d'analyser beaucoup plus de données sur les utilisateurs si EARN IT passe - sont loin d'être exactes. En 2020, la police irlandaise a reçu 4 192 signalements du NCMEC. Parmi ceux-ci, seuls 852 (20,3 %) ont été confirmés comme étant de véritables CSAM. Seuls 9,7 % des signalements ont été jugés « exploitables ».
• Une étude de Facebook a révélé que 75 % des messages signalés par son système de scan pour détecter le matériel pédopornographique n'étaient pas «*malveillants*» et incluaient des messages comme de mauvaises blagues et des mèmes.
• LinkedIn a signalé 75 cas présumés de CSAM aux autorités de l'UE en 2021. Après examen manuel, seuls 31 de ces cas, soit environ 41 %, impliquaient des CSAM confirmés.

L'idée de soumettre des millions de personnes à de fausses accusations de maltraitance d'enfants est horrible. Le NCMEC exportera ces fausses accusations vers les communautés vulnérables du monde entier, où elles pourront être portées par des forces de police qui ont encore moins de responsabilités que les forces de l'ordre aux États-Unis. Les fausses accusations sont un prix que les partisans d'EARN IT semblent prêts à payer.

Nous avons besoin de votre soutien pour arrêter le EARN IT Act une fois de plus. Les partisans des droits numériques ont envoyé plus de 200 000 messages au Congrès pour tuer les versions antérieures de ce projet de loi. Nous l'avons battu deux fois auparavant, et nous pouvons le refaire.

Il existe actuellement des propositions dangereuses qui pourraient également imposer des systèmes de scan côté client au Royaume-Uni et dans l'Union européenne. Mais nous n'avons pas besoin de nous résigner à un monde de surveillance constante. Dans les pays démocratiques, les partisans d'un Internet libre, sécurisé et privé peuvent gagner, si nous prenons la parole maintenant.

Source : EFF

Et vous ?

Que pensez-vous d'un tel projet de loi qui s'appuie sur un prétexte comme la pédocriminalité pour autoriser la fouille des messages sans mandat ? Est-il, selon vous, justifié ?
Qu'est-ce qui pourrait, selon vous, expliquer que le projet soit présenté à nouveau pour la troisième fois ?
Comprenez-vous les craintes de l'EFF ?