Nous n’avons pas été en mesure de confirmer la substance du reportage de la BBC avec Apple qui n’a pas répondu lorsque nous l’avons contacté avec des questions sur l’histoire. Cependant, le géant de la technologie a récemment choisi d’informer le diffuseur de son mécontentement face à un autre élément de la réglementation numérique britannique (entrante) – frappant dans une déclaration le mois dernier au Online Safety Bill (OSB) comme un risque pour le cryptage.
En rendant publiques des remarques critiques, Apple a rejoint un certain nombre de services technologiques majeurs qui avaient déjà mis en garde contre les pouvoirs contenus dans le projet de loi qui, selon eux, pourraient permettre au régulateur Internet d’ordonner aux plates-formes de supprimer le cryptage fort.
Un amendement particulièrement préoccupant est un amendement du gouvernement l’année dernière qui a mis le projet de loi sur une trajectoire de collision directe avec E2EE en proposant que le régulateur, Ofcom, devrait avoir le pouvoir de forcer les plates-formes à analyser les messages pour le contenu d’abus sexuels d’enfants (CSAM) – ce qui, dans le cas des services E2EE, exigerait probablement qu’ils mettent en œuvre l’analyse côté client par défaut (ou sinon le cryptage par porte dérobée).
Des experts de la confidentialité et de la sécurité se sont alignés pour mettre en garde contre les risques de sécurité d’une telle approche.
Comme d’autres fournisseurs de communications E2EE, y compris WhatsApp et Signal, qui ont suggéré qu’ils cesseraient d’offrir des services au Royaume-Uni ou attendraient d’être bloqués par les autorités plutôt que de se conformer à une loi qui, selon eux, compromettrait la sécurité de tous leurs utilisateurs.
L’encyclopédie en ligne Wikipedia est un autre critique de haut niveau. Il a également suggéré qu’il pourrait quitter le Royaume-Uni si le gouvernement ne repensait pas son approche.
La préoccupation de Wikipédia pour son service se concentre sur les mesures de l’OSB liées à la restriction d’âge et à la censure du contenu – apparemment pour la protection des enfants – que son fondateur, Jimmy Wales, a attaqué comme étant « mauvais pour les droits de l’homme », « mauvais pour la sécurité d’Internet et simplement « mauvaise loi ».
« Nous n’aurions certainement pas vieillir ni censurer sélectivement les articles en aucune circonstance », a déclaré Wales à TechCrunch lorsqu’on lui a demandé de confirmer la position de Wikipédia sur la législation, ajoutant : « Nous avons choisi d’être bloqués en Chine et en Turquie et ailleurs plutôt que de censurer Wikipédia, et ce n’est pas différent ».
Malgré la cavalcade de l’industrie technologique grand public et les critiques d’experts lancées contre les ministres du BSF n’ont – jusqu’à présent – fait que renforcer leur position, affirmant que la législation est un outil essentiel pour lutter contre le CSAM et renforcera également la protection des enfants et des autres internautes vulnérables.
Même les inquiétudes soulevées par le directeur du groupe de recherche sélectionné par le gouvernement pour une évaluation technique d’une poignée de projets de «technologies de sécurité» financés par des fonds publics en 2021, dans le cadre d’un concours du ministère de l’Intérieur pour développer une technologie capable de détecter le CSAM sur les services E2EE sans compromettre la vie privée, ne semblent pas avoir donné à réfléchir aux ministres.
« Le problème est que la technologie dont il est question n’est pas adaptée comme solution », a averti Awais Rashid, professeur de cybersécurité à l’Université de Bristol et directeur du Rephrain Centre, dans un communiqué de presse universitaire au début du mois. « Notre évaluation montre que les solutions envisagées compromettront la vie privée dans son ensemble et n’ont aucune protection intégrée pour empêcher la réutilisation de ces technologies pour surveiller les communications personnelles.
« Il n’existe pas non plus de mécanismes pour garantir la transparence et la responsabilité de qui recevra ces données et à quelles fins elles seront utilisées. Le Parlement doit tenir compte des preuves scientifiques indépendantes à cet égard. Sinon, le projet de loi sur la sécurité en ligne risque de donner carte blanche pour surveiller les communications personnelles et le potentiel de surveillance sans entrave à l’échelle de la société.
La volonté du gouvernement d’ignorer les critiques du BSF peut se résumer à un soutien populaire basé sur sa définition de la législation comme une intervention vitale pour la sécurité des enfants.
L’opposition au projet de loi au sein du parlement a également été limitée, le parti travailliste de l’opposition se rangeant largement derrière le gouvernement pour soutenir le projet de loi. Les pairs de la deuxième chambre n’ont pas non plus répondu aux appels de dernière minute pour modifier la législation afin de garantir la sécurité du cryptage.
À la suite d’un débat final devant les Lords hier soir, l’Open Rights Group a publié une déclaration – avertissant qu’il n’y avait eu aucun progrès pour s’assurer que le projet de loi ne pouvait pas compromettre le cryptage :
Dans l’état actuel des choses, le projet de loi sur la sécurité en ligne donnera à l’Ofcom le pouvoir de demander aux entreprises technologiques de scanner nos messages privés au nom du gouvernement. Malgré le soutien de tous les partis, l’opposition a retiré un amendement qui garantirait au moins que les juges aient un contrôle sur ces pouvoirs de surveillance mandatée par le gouvernement.
Le gouvernement affirme qu’il protégera le chiffrement, mais n’a toujours pas fourni de détails sur la manière dont cela est possible si ces pouvoirs sont promulgués. Il est désormais laissé aux entreprises technologiques, qui peuvent avoir à faire face à des avis leur demandant d’affaiblir la sécurité de leurs produits.
Le projet de loi doit encore franchir les étapes finales qui pourraient inclure l’examen d’autres amendements. Mais le temps presse pour que le gouvernement évite une collision directe avec les plates-formes technologiques E2EE grand public. Jusqu’ici c’est préféré le fudge de prétendre que Ofcom ne demanderait tout simplement jamais aux entreprises E2EE de casser leur cryptage – sans fournir de sécurité juridique en le spécifiant dans le projet de loi.
Le gouvernement a adopté une approche tout aussi floue du cryptage dans l’IPA – qui n’a pas précisé explicitement si la loi interdisait essentiellement aux fournisseurs de communications d’utiliser E2EE en contenant des pouvoirs où ils pourraient être mandatés pour remettre des données décryptées. Il y a donc une sorte de modèle dans l’élaboration des politiques technologiques au Royaume-Uni, au cours des dernières années, où il touche un cryptage fort.
En ce qui concerne les changements prévus pour étendre davantage le régime de notification IPA, il reste à voir si la plus grande menace d’Apple à ce jour – retirer FaceTime et iMessage du Royaume-Uni – donne froid aux ministres ou non.
Les pouvoirs de surveillance des agences de renseignement ne seront probablement pas aussi faciles à vendre au public britannique que les populistes prétendent réprimer Big Tech pour protéger les enfants. Mais il est à noter que la déclaration du ministère de l’Intérieur en réponse à la menace d’Apple cite la capture des « agresseurs sexuels d’enfants » comme l’une des missions pour lesquelles l’IPA a été conçue.