Dans la dernière itération des guerres cryptographiques sans fin (et toujours casse-tête), Graeme Biggar, le directeur général de la National Crime Agency (NCA) du Royaume-Uni, a appelé la société mère d’Instagram, Meta, à repenser son déploiement continu de fin -chiffrement de bout en bout (E2EE).
Cet appel fait suite à une déclaration conjointe dimanche des chefs de police européens, y compris ceux du Royaume-Uni, exprimant leur « inquiétude » quant à la façon dont E2EE est déployé par l’industrie technologique et appelant les plateformes à concevoir des systèmes de sécurité de telle manière qu’ils puissent toujours identifier activité illégale et envoyer des rapports sur le contenu des messages aux forces de l’ordre.
Dans des remarques à la BBC lundi, le chef de la NCA a suggéré le plan actuel de Meta visant à renforcer la sécurité autour des discussions privées des utilisateurs d’Instagram en déployant un cryptage dit « à accès zéro » – où seuls l’expéditeur et le destinataire du message peuvent accéder au contenu – constitue une menace pour la sécurité des enfants. Le géant des réseaux sociaux a également lancé en décembre un déploiement prévu de longue date d’E2EE par défaut sur Facebook Messenger.
‘Passez-nous l’information’
S’adressant à l’émission Today de BBC Radio 4, Biggar a déclaré à l’intervieweur Nick Robinson : « Notre responsabilité en tant qu’application de la loi… est de protéger le public contre le crime organisé, contre la criminalité grave, et nous avons besoin d’informations pour pouvoir le faire.
« Les entreprises technologiques mettent beaucoup d’informations sur le chiffrement de bout en bout. Nous n’avons aucun problème avec le cryptage ; J’ai également la responsabilité d’essayer de protéger le public contre la cybercriminalité – un cryptage fort est donc une bonne chose – mais ce dont nous avons besoin, c’est que les entreprises soient toujours en mesure de nous transmettre les informations dont nous avons besoin pour assurer la sécurité du public. »
Actuellement, grâce à leur capacité à analyser les messages qui ne sont pas cryptés, les plateformes envoient chaque année des dizaines de millions de rapports liés à la sécurité des enfants aux forces de police du monde entier, a déclaré Biggar – ajoutant une autre affirmation selon laquelle « au dos Grâce à ces informations, nous protégeons généralement 1 200 enfants par mois et arrêtons 800 personnes. L’implication ici est que ces rapports se tariront si Meta continue d’étendre son utilisation d’E2EE à Instagram.
Soulignant que WhatsApp, propriété de Meta, utilise le cryptage de référence par défaut depuis des années (E2EE a été entièrement implémenté sur la plate-forme de messagerie en avril 2016), Robinson s’est demandé s’il ne s’agissait pas d’un cas où l’agence criminelle tentait de fermer l’écurie. porte une fois que le cheval s’est enfui. Il n’a pas obtenu de réponse claire à cette question – juste une équivoque encore plus embarrassante.
Biggar a déclaré : « C’est une tendance. Nous n’essayons pas d’arrêter le chiffrement. Comme je l’ai dit, nous prenons entièrement en charge le chiffrement et la confidentialité, et même le chiffrement de bout en bout peut être tout à fait acceptable. Ce que nous voulons, c’est que l’industrie trouve des moyens de continuer à nous fournir les informations dont nous avons besoin.
L’intervention de Biggar est conforme à la déclaration commune mentionnée ci-dessus, dans laquelle les chefs de police européens exhortent les plateformes à adopter des « solutions techniques » non spécifiées qui peuvent offrir aux utilisateurs une sécurité et une confidentialité solides tout en conservant leur capacité à détecter les activités illégales et à signaler les contenus décryptés aux forces de police.
« Les entreprises ne seront pas en mesure de répondre efficacement à une autorité légale », peut-on lire dans la déclaration. « En conséquence, nous ne serons tout simplement pas en mesure d’assurer la sécurité du public. […] Nous appelons donc l’industrie technologique à intégrer la sécurité dès la conception, pour garantir qu’elle conserve la capacité à la fois d’identifier et de signaler les activités nuisibles et illégales, telles que l’exploitation sexuelle des enfants, et d’agir légalement et exceptionnellement sur une autorité légale.
Un mandat similaire « d’accès légal » a été adopté sur la messagerie cryptée par le Conseil européen dans une résolution de décembre 2020.
Analyse côté client ?
La déclaration n’explique pas quelles technologies ils souhaitent que les plateformes déploient pour pouvoir rechercher le contenu problématique et envoyer ce contenu décrypté aux forces de l’ordre. Il est probable qu’ils font pression pour une forme d’analyse côté client, comme le système qu’Apple s’apprêtait à déployer en 2021 pour détecter les contenus pédopornographiques (CSAM) sur les appareils des utilisateurs.
Les législateurs européens, quant à eux, ont toujours sur la table un projet législatif controversé sur l’analyse des messages CSAM. Des experts en matière de protection de la vie privée et juridiques – y compris le propre superviseur de la protection des données du bloc – ont averti que le projet de loi constituait une menace existentielle pour les libertés démocratiques et pourrait également faire des ravages en matière de cybersécurité. Les critiques affirment également qu’il s’agit d’une approche erronée de la protection des enfants, suggérant qu’elle est susceptible de causer plus de mal que de bien en générant de nombreux faux positifs.
En octobre dernier, les parlementaires se sont opposés à la proposition de la Commission et ont plutôt soutenu une approche considérablement révisée visant à limiter la portée des « ordres de détection ». Cependant, le Conseil européen n’a pas encore arrêté sa position. Ce mois-ci, de nombreux groupes de la société civile et experts en matière de protection de la vie privée ont averti que le projet de loi sur la « surveillance de masse » restait une menace pour E2EE. Dans le même temps, les législateurs européens ont convenu d’étendre une dérogation temporaire aux règles de confidentialité électronique du bloc qui permet aux plateformes d’effectuer une analyse volontaire du CSAM – la loi prévue est destinée à remplacer cela.
Le moment choisi pour la déclaration commune de dimanche suggère qu’elle vise à accroître la pression sur les législateurs européens pour qu’ils s’en tiennent au plan d’analyse des CSAM.
La proposition de l’UE ne prescrit aucune technologie que les plateformes doivent utiliser pour analyser le contenu des messages, mais les critiques préviennent qu’elle risque de forcer l’adoption de l’analyse côté client, même si la technologie naissante est immature, non éprouvée et tout simplement pas prête à être utilisée par le grand public.
Robinson n’a pas demandé à Biggar si les chefs de police faisaient pression pour une analyse côté client, mais il a demandé s’ils voulaient que Meta fasse un chiffrement par « porte dérobée ». Encore une fois, la réponse de Biggar était floue : « Nous n’appellerions pas cela une porte dérobée – c’est à l’industrie de déterminer exactement comment cela se produit. Ce sont eux les experts en la matière.
Robinson a demandé des éclaircissements au chef de la police britannique, soulignant que les informations sont soit solidement cryptées (et donc privées), soit non. Mais Biggar s’est éloigné du sujet, affirmant que « chaque plate-forme se situe sur un spectre » allant de la sécurité de l’information à la visibilité de l’information. « Presque rien n’est absolument sûr », a-t-il suggéré. « Les clients ne veulent pas de cela pour des raisons de convivialité [such as] pouvoir récupérer leurs données s’ils ont perdu un téléphone.
« Ce que nous disons, c’est qu’être absolu d’un côté ou de l’autre ne fonctionne pas. Bien entendu, nous ne voulons pas que tout soit absolument ouvert. Mais nous ne voulons pas non plus que tout soit absolument fermé. Nous voulons donc que les entreprises trouvent un moyen de s’assurer qu’elles peuvent assurer la sécurité et le cryptage du public, tout en nous fournissant les informations dont nous avons besoin pour protéger le public.
Technique de sécurité inexistante
Ces dernières années, le ministère de l’Intérieur du Royaume-Uni a défendu la notion de « technologie de sécurité » qui permettrait d’analyser le contenu E2EE pour détecter les CSAM sans affecter la vie privée des utilisateurs. Cependant, un défi « Safety Tech » qu’il a lancé en 2021, dans le but de fournir une preuve de concept pour une telle technologie, a produit des résultats si médiocres que l’expert nommé pour évaluer les projets, le professeur de cybersécurité de l’Université de Bristol, Awais Rashid, a averti l’année dernière. qu’aucune des technologies développées pour relever ce défi n’est adaptée à son objectif. « Notre évaluation montre que les solutions envisagées compromettront la vie privée dans son ensemble et n’auront aucune garantie intégrée pour empêcher la réutilisation de telles technologies pour surveiller les communications personnelles », a-t-il écrit.
Si la technologie permettant aux forces de l’ordre d’accéder aux données E2EE sans porter atteinte à la vie privée des utilisateurs existe, comme Biggar semble le prétendre, pourquoi les forces de police ne peuvent-elles pas expliquer ce qu’elles souhaitent que les plateformes mettent en œuvre ? (Il convient de noter ici que l’année dernière, des rapports suggéraient que les ministres du gouvernement avaient reconnu en privé qu’il n’existait actuellement aucune technologie d’analyse E2EE respectueuse de la vie privée.)
TechCrunch a contacté Meta pour obtenir une réponse aux remarques de Biggar et à la déclaration commune plus large. Dans une déclaration envoyée par courrier électronique, un porte-parole de l’entreprise a répété sa défense de l’élargissement de l’accès à E2EE, en écrivant: « L’écrasante majorité des Britanniques s’appuient déjà sur des applications qui utilisent chiffrement pour les protéger des pirates informatiques, des fraudeurs et des criminels. Nous ne pensons pas que les gens souhaitent que nous lisions leurs messages privés. C’est pourquoi nous avons passé les cinq dernières années à développer des mesures de sécurité robustes pour prévenir, détecter et combattre les abus tout en maintenant la sécurité en ligne. Nous avons récemment publié un rapport mis à jour paramètre dehors ces mesures, telles que l’interdiction aux personnes de plus de 19 ans d’envoyer des messages aux adolescents qui ne les suivent pas et l’utilisation de la technologie pour identifier et prendre des mesures contre les comportements malveillants. Comme nous rouler dehors de bout en bout Crypter
Meta a résisté à une série d’appels similaires de la part des ministres de l’Intérieur britanniques au cours des dix dernières années du gouvernement conservateur. En septembre dernier, Suella Braverman, alors ministre de l’Intérieur, a déclaré à Meta qu’elle devait déployer des « mesures de sécurité » aux côtés d’E2EE, avertissant que le gouvernement pourrait utiliser les pouvoirs que lui confère le projet de loi sur la sécurité en ligne (maintenant loi) pour sanctionner l’entreprise si elle ne parvenait pas à le faire. jouer au ballon.
Lorsque Robinson a demandé à Biggar si le gouvernement pouvait agir si Meta ne changeait pas de cap sur E2EE, le chef de la police a à la fois invoqué la loi sur la sécurité en ligne et souligné un autre texte législatif, la loi sur les pouvoirs d’enquête (IPA) permettant la surveillance, en disant : « Le gouvernement peut agir et le gouvernement doit agir. Pour ce faire, il dispose de puissants pouvoirs en vertu de la loi sur les pouvoirs d’enquête et également de la loi sur la sécurité en ligne.
Les sanctions en cas de violation de la loi sur la sécurité en ligne peuvent être substantielles, et l’Ofcom est habilité à infliger des amendes allant jusqu’à 10 % du chiffre d’affaires annuel mondial.
Le gouvernement britannique est également en train de renforcer l’IPA en lui accordant davantage de pouvoirs destinés aux plates-formes de messagerie, notamment en exigeant que les services de messagerie vérifient les éléments de sécurité auprès du ministère de l’Intérieur avant de les publier.
Le projet d’élargir davantage la portée de l’IPA a suscité des inquiétudes dans l’industrie technologique britannique selon lesquelles la sécurité et la vie privée des citoyens seraient mises en danger. L’été dernier, Apple a averti qu’elle pourrait être contrainte de fermer des services comme iMessage et FaceTime au Royaume-Uni si le gouvernement ne repensait pas son projet d’expansion des pouvoirs de surveillance.
Il y a une certaine ironie dans cette dernière campagne de lobbying. Les services d’application de la loi et de sécurité n’ont certainement jamais eu accès à autant de renseignements électromagnétiques qu’aujourd’hui, même en tenant compte de la montée en puissance de l’E2EE. Ainsi, l’idée selon laquelle l’amélioration de la sécurité sur le Web signifierait soudainement la fin des efforts de protection des enfants est une affirmation clairement binaire.
Cependant, quiconque est familier avec les guerres cryptographiques qui durent depuis des décennies ne sera pas surpris de voir de tels arguments déployés dans le but d’affaiblir la sécurité Internet. C’est ainsi que cette guerre de propagande a toujours été menée.