Le gouvernement britannique semble avoir évité une collision directe avec l’industrie technologique à propos d’une disposition controversée et risquant de chiffrer le projet de loi sur la sécurité en ligne.
Les géants de la technologie grand public et les petits services de messagerie cryptée sont unis pour avertir depuis de nombreux mois que le projet de loi constitue une menace directe pour la sécurité et la vie privée de millions d’utilisateurs Web en imposant une obligation légale aux applications de messagerie cryptée d’intégrer des capacités d’analyse de contenu sur leurs applications. réception d’une ordonnance du régulateur Internet, Ofcom.
Des chercheurs en sécurité et en confidentialité, ainsi que des experts juridiques, ont également lancé une cadence régulière d’avertissements selon lesquels les larges pouvoirs de surveillance du projet de loi risquent – paradoxalement – de causer un préjudice majeur à la sécurité du Web. Pourtant, le gouvernement semble sourd aux inquiétudes concernant l’impact sur le chiffrement.
Le projet de loi cible une série de préjudices et de problèmes de sécurité en ligne, notamment en imposant des obligations aux plateformes pour lutter contre les matériels pédopornographiques (CSAM). Mais ici, le gouvernement a explicitement cherché à favoriser le développement d’outils d’analyse CSAM qui pourraient être appliqués aux plates-formes de messagerie cryptées de bout en bout (E2EE) sans affecter la vie privée des utilisateurs – ignorant les avertissements des experts selon lesquels il n’y a aucun moyen de contourner E2EE sans détruire les informations des utilisateurs. confidentialité et sécurité.
Des applications de messagerie fortement cryptées comme Signal ont accusé les ministres de pensée magique. Même Apple s’est lancé dans la mêlée publique au cours de l’été, avertissant que le projet de loi présente un risque pour la sécurité des internautes. WhatsApp et d’autres ont également averti qu’ils pourraient fermer leurs services au Royaume-Uni si le projet de loi n’était pas révisé pour supprimer la menace pesant sur le cryptage.
Ces derniers mois, le gouvernement a cherché à apaiser les inquiétudes en suggérant que l’Ofcom n’utiliserait pas ces pouvoirs contre les plateformes fortement cryptées qui appliquent l’étalon-or (connaissance zéro) E2EE, telles que Signal, WhatsApp et iMessage. Mais l’industrie technologique a riposté – la présidente de la Signal Foundation, Meredith Whittaker, parmi ceux qui se demandent pourquoi les ministres n’inscriraient pas clairement la limite revendiquée dans le texte de la loi pour garantir une solide protection juridique à l’E2EE ?
Le compromis sur lequel le gouvernement est apparemment tombé ressemble, au mieux, à une farce – car il n’y a toujours pas de déclaration claire plaçant E2EE hors de portée des pouvoirs d’analyse du projet de loi.
Dans une déclaration ministérielle aujourd’hui à la Chambre des Lords, où le projet de loi passait en troisième lecture, Lord Parkinson de Whitley Bay a déclaré que l’Ofcom ne pouvait pas être obligé d’ordonner une numérisation à moins qu’une « technologie appropriée » n’existe.
« Au moment de décider d’émettre un avis [to scan for CSAM] L’Ofcom travaillera avec le service pour identifier des solutions raisonnables et techniquement réalisables pour lutter contre le risque d’exploitation et d’abus sexuels sur enfants, notamment en s’appuyant sur les preuves du rapport d’une personne qualifiée. S’il n’existe pas de technologie appropriée répondant à ces exigences, l’Ofcom ne peut pas exiger son utilisation », a-t-il déclaré. « C’est pourquoi les pouvoirs incluent la possibilité pour l’Ofcom d’exiger des entreprises qu’elles fassent de leur mieux pour développer ou trouver une nouvelle solution. »
« Il est juste que l’Ofcom puisse exiger des entreprises technologiques qu’elles soient capables d’utiliser leurs ressources considérables et leur expertise pour développer les meilleures protections possibles pour les enfants dans les environnements cryptés. C’est notre position politique de longue date. Notre position sur la lutte contre les abus sexuels sur enfants en ligne reste ferme et nous avons toujours clairement indiqué que le projet de loi adoptait une approche mesurée et fondée sur des preuves pour y parvenir », a-t-il ajouté.
La ligne du gouvernement a été soulignée plus tôt dans la journée, dans un rapport du FT avant la troisième lecture du projet de loi – qui écrivait que le ministre déclarerait : « Un avis ne peut être émis que lorsque cela est techniquement possible et lorsque la technologie a été accréditée comme répondant aux normes minimales de sécurité. précision dans la détection uniquement des contenus d’abus et d’exploitation sexuels d’enfants.
Le journal a également rapporté que « les responsables ont maintenant reconnu en privé aux entreprises technologiques qu’il n’existe actuellement aucune technologie capable d’analyser les messages cryptés de bout en bout qui ne porterait pas également atteinte à la vie privée des utilisateurs », citant « plusieurs personnes informées de la pensée du gouvernement ». .
Il s’agit d’une chute des plus discrètes, si tant est que les sources du Financial Times aient un aperçu précis des opinions des ministres. Mais le gouvernement ne peut probablement pas aller plus loin, compte tenu de la profondeur avec laquelle il a creusé ce trou.
Comme nous l’avons déjà signalé, même le directeur du groupe de recherche qu’il a sélectionné pour effectuer une évaluation technique des projets de « technologies de sécurité » qui ont reçu un financement public en 2021, dans le cadre d’un concours du ministère de l’Intérieur visant à développer des technologies capables de détecter CSAM sur les services E2EE sans compromettre la confidentialité, a mis en garde contre la folie de cet effort.
« Le problème est que la technologie discutée ne constitue pas une solution adaptée », a averti Awais Rashid, professeur de cybersécurité à l’Université de Bristol et directeur du Rephrain Centre, dans un communiqué de presse universitaire en juillet. « Notre évaluation montre que les solutions envisagées compromettront la vie privée dans son ensemble et ne comporteront aucune garantie intégrée pour empêcher la réutilisation de ces technologies pour surveiller les communications personnelles.
Signaler la faisabilité technique comme un obstacle aux pouvoirs de l’Ofcom lors d’une lecture ministérielle à ce stade avancé de l’adoption du projet de loi semble être la porte de secours que le gouvernement a choisie (et informée) pour se sortir d’un pétrin qu’il a lui-même provoqué. – un gâchis qui a généré des titres de plus en plus accrocheurs sur les applications de messagerie grand public se préparant à quitter le Royaume-Uni – sans que cela soit trop explicite en excluant E2EE de la portée du projet de loi et en risquant une réaction négative de la part des militants pour la sécurité des enfants qui ont déployé leurs propres efforts pour faire pression. que les pouvoirs du projet de loi aillent encore plus loin.
Étant donné qu’il s’agit d’un trucage, et compte tenu de l’existence continue dans la déclaration de pouvoirs de l’Ofcom d’ordonner l’analyse sur les plates-formes E2EE au moment où certains développeurs prétendent avoir trouvé une solution de contournement technique réalisable – sans parler de qui sait quoi d’autre pourrait se cacher le texte final ainsi qu’une série d’amendements ont également été discutés aujourd’hui par Lord Parkinson – les défenseurs de la vie privée ont raison de rester inquiets.
Dans une première réponse au rapport du FT, publiée sur X (Twitter), Whittaker de Signal a qualifié la déclaration du gouvernement de « moment important » – et de « victoire, pas de défaite » – tout en mettant en garde ses remarques en affirmant qu’il ne s’agissait « pas de la victoire finale ». ».
L’Open Rights Group, un groupe de défense des droits numériques qui a également fait campagne contre la menace de cryptage du projet de loi, a qualifié les concessions du gouvernement de « bonne nouvelle », tout en arguant qu’il serait « préférable que ces pouvoirs soient complètement supprimés du projet de loi ». « Nous continuons à lutter pour la suppression de la clause d’espionnage », ajoutée dans des remarques postées sur X.
Le gouvernement, quant à lui, a réfuté toute suggestion selon laquelle les remarques du ministre indiqueraient un changement de cap.
Dans une déclaration envoyée par courrier électronique à TechCrunch, un porte-parole du ministère de la Science, de l’Innovation et de la Technologie a déclaré :
Notre position sur cette question n’a pas changé et il est faux de prétendre le contraire. Notre position sur la lutte contre les abus sexuels sur enfants en ligne reste ferme, et nous avons toujours clairement indiqué que le projet de loi adopte une approche mesurée et fondée sur des données probantes pour y parvenir.
Comme cela a toujours été le cas, en dernier recours, au cas par cas et uniquement lorsque des garanties strictes de confidentialité auront été respectées, cela permettra à l’Ofcom d’ordonner aux entreprises d’utiliser ou de faire de leur mieux pour développer ou se procurer une technologie pour identifier et supprimer les contenus illégaux sur les abus sexuels sur enfants – dont nous savons qu’ils peuvent être développés.
Lundi, des entreprises technologiques telles que TikTok, Meta, Microsoft et bien d’autres se sont réunies pour discuter des menaces que représentent les délinquants sexuels qui exploitent nos enfants. Nous sommes tous convenus de continuer à travailler ensemble pour lutter contre ces crimes odieux où qu’ils se produisent.
Lord Parkinson a également exprimé sa gratitude pour ce qu’il a décrit comme « l’engagement constructif » de la part des entreprises technologiques au cours de l’été, alors que le gouvernement travaillait sur divers amendements à un projet de loi qui avait déjà connu de nombreux changements, grands et petits, au fil des années – et sous la direction de plusieurs secrétaires. d’État – depuis la publication de la première version du projet de loi en mai 2021.