Une proposition de la Commission européenne pourrait obliger les entreprises technologiques à analyser les messages privés à la recherche de matériel d’abus sexuel d’enfants (CSAM) et de preuves de toilettage, même lorsque ces messages sont censés être protégés par un cryptage de bout en bout.
Les services en ligne qui reçoivent des « ordres de détection » en vertu de la législation en cours de l’Union européenne auraient « des obligations concernant la détection, le signalement, la suppression et le blocage du matériel d’abus sexuel d’enfants connu et nouveau, ainsi que la sollicitation d’enfants, quelle que soit la technologie utilisée dans le échanges en ligne », indique la proposition. Le plan appelle le chiffrement de bout en bout un outil de sécurité important, mais ordonne essentiellement aux entreprises de casser ce chiffrement de bout en bout par tous les moyens technologiques nécessaires :
Afin de garantir l’efficacité de ces mesures, de permettre des solutions sur mesure, de rester technologiquement neutres et d’éviter le contournement des obligations de détection, ces mesures devraient être prises quelles que soient les technologies utilisées par les prestataires concernés dans le cadre de la fourniture de leurs services. Par conséquent, le présent règlement laisse au fournisseur concerné le choix des technologies à exploiter pour se conformer efficacement aux ordres de détection et ne doit pas être compris comme incitant ou décourageant l’utilisation d’une technologie donnée, à condition que les technologies et les mesures d’accompagnement répondent aux exigences de présent règlement.
Cela inclut l’utilisation de la technologie de cryptage de bout en bout, qui est un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris celles des enfants. Lors de l’exécution de l’ordre de détection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s’assurer que les technologies qu’ils emploient ne peuvent pas être utilisées par eux ou leurs employés à des fins autres que le respect du présent règlement, ni par des tiers, et pour éviter ainsi de porter atteinte à la sécurité et la confidentialité des communications des utilisateurs.
Un document de questions-réponses décrivant le plan souligne l’importance de scanner les messages chiffrés de bout en bout. « NCMEC [National Center for Missing and Exploited Children] estime que plus de la moitié de ses rapports CyberTipline disparaîtront avec le cryptage de bout en bout, laissant les abus non détectés, à moins que les fournisseurs ne prennent des mesures pour protéger les enfants et leur vie privée également sur les services cryptés de bout en bout », indique-t-il.
« Faites l’impossible, c’est vous qui décidez comment »
« Il semble vraiment que la Commission européenne veuille annuler le cryptage », a déclaré un article de Bits of Freedom, une fondation néerlandaise des droits numériques. La proposition « obligera les entreprises à surveiller ce que les gens partagent entre eux via des applications de chat comme WhatsApp et des plateformes comme Instagram », a écrit Rejo Zenger, conseiller politique de Bits of Freedom. « Si cela est jugé nécessaire, les plateformes seront contraintes de supprimer des informations ou de les signaler aux autorités. Les fournisseurs d’accès à Internet peuvent également être sommés de surveiller le trafic Internet de leurs clients. Mais la Commission omet, assez astucieusement, selon l’endroit où vous vous situez, seulement comment ils devraient le faire. Effectivement [the] message pour les entreprises est : « Faites l’impossible, c’est vous qui décidez comment. » »
Une annonce de la CE a déclaré que le problème du CSAM est devenu incontrôlable et que le système « volontaire » actuel n’est pas suffisant. « Avec 85 millions de photos et de vidéos montrant des abus sexuels sur des enfants signalées dans le monde rien qu’en 2021, et bien d’autres non signalées, les abus sexuels sur des enfants sont omniprésents », indique le communiqué. « La pandémie de COVID-19 a exacerbé le problème, la fondation Internet Watch notant une augmentation de 64 % des signalements d’abus sexuels confirmés d’enfants en 2021 par rapport à l’année précédente. Le système actuel basé sur la détection et le signalement volontaires par les entreprises s’est avéré efficace. être insuffisant pour protéger adéquatement les enfants. »
Les ordonnances de détection de la proposition seraient « émises par des tribunaux ou des autorités nationales indépendantes », selon l’annonce. Une ordonnance de détection serait « limitée dans le temps, ciblant un type de contenu spécifique sur un service spécifique » et demanderait à l’entreprise recevant l’ordre de rechercher « le matériel ou le toilettage connu ou nouveau d’abus sexuel d’enfants ». Le toilettage signifie « sollicitation d’enfants », selon l’annonce.
D’autres parties de la proposition « exigent que les magasins d’applications veillent à ce que les enfants ne puissent pas télécharger des applications susceptibles de les exposer à un risque élevé de sollicitation d’enfants ». En outre, « les fournisseurs qui ont détecté des abus sexuels sur des enfants en ligne devront le signaler au Centre de l’UE » et « les autorités nationales peuvent émettre des ordonnances de suppression si le matériel pédopornographique n’est pas rapidement retiré. Les fournisseurs d’accès à Internet seront également tenus de désactiver l’accès aux images et aux vidéos qui ne peuvent pas être supprimées, par exemple parce qu’elles sont hébergées en dehors de l’UE dans des juridictions non coopératives. »
« Guerre contre le chiffrement de bout en bout »
L’analyse du contenu des messages privés ne devrait pas être possible avec un chiffrement véritablement de bout en bout. Comme l’explique Proton Mail, « E2EE [end-to-end encryption] élimine cette possibilité car le fournisseur de services ne possède pas réellement la clé de déchiffrement. Pour cette raison, E2EE est beaucoup plus puissant que le cryptage standard. »
La proposition européenne a été critiquée par des experts en sécurité, dont Alec Muffett, un chercheur en sécurité réseau qui, entre autres, a dirigé l’équipe qui a ajouté le chiffrement de bout en bout à Facebook Messenger. « Au cas où vous l’auriez manqué, aujourd’hui est le jour où l’Union européenne déclare la guerre au chiffrement de bout en bout et exige l’accès aux messages privés de chaque personne sur n’importe quelle plate-forme au nom de la protection des enfants », a déclaré Muffett. a écrit.
En 2018, Facebook a expliqué « que le cryptage de bout en bout est utilisé dans toutes les conversations WhatsApp et peut être activé dans Messenger. Les messages cryptés de bout en bout sont sécurisés avec un verrou, et seuls l’expéditeur et le destinataire ont la clé spéciale nécessaire pour les déverrouiller et les lire. Pour une protection accrue, chaque message que vous envoyez possède son propre verrou et sa propre clé. Personne ne peut intercepter les communications.