PDG de Signal : Nous "ne participerons pas à 1 000 %" à la loi britannique pour affaiblir le cryptage

oudeis

Le projet de loi britannique sur la sécurité en ligne exigerait que Signal contrôle les messages des utilisateurs.

L’organisation à but non lucratif responsable de l’application Signal Messenger est prête à quitter le Royaume-Uni si le pays exige que les fournisseurs de communications cryptées modifient leurs produits pour s’assurer que les messages des utilisateurs sont exempts de matériel nocif pour les enfants.

“Nous quitterions absolument n’importe quel pays si le choix était entre rester dans le pays et saper les promesses strictes de confidentialité que nous faisons aux personnes qui comptent sur nous”, a déclaré Meredith Whittaker, PDG de Signal, à Ars. “Le Royaume-Uni ne fait pas exception.”

Les commentaires de Whittaker sont intervenus alors que le Parlement britannique est en train de rédiger une législation connue sous le nom de projet de loi sur la sécurité en ligne . Le projet de loi, présenté par l’ancien Premier ministre Boris Johnson, est une législation radicale qui oblige pratiquement tous les fournisseurs de contenu généré par les utilisateurs à bloquer les contenus pédopornographiques, souvent abrégés en CSAM ou CSA. Les fournisseurs doivent également s’assurer que tout contenu légal accessible aux mineurs, y compris les sujets d’automutilation, est adapté à leur âge.

E2EE dans le collimateur

Les dispositions du projet de loi visent spécifiquement le cryptage de bout en bout, qui est une forme de cryptage qui permet uniquement aux expéditeurs et aux destinataires d’un message d’accéder à la forme lisible par l’homme du contenu. Généralement abrégé en E2EE, il utilise un mécanisme qui empêche même le fournisseur de services de déchiffrer les messages chiffrés. Un E2EE robuste activé par défaut est le principal argument de vente de Signal auprès de ses plus de 100 millions d’utilisateurs. Les autres services offrant E2EE incluent Apple iMessages, WhatsApp, Telegram et Meta’s Messenger, bien que tous ne le fournissent pas par défaut.
En vertu d’une disposition du projet de loi sur la sécurité en ligne, les fournisseurs de services ne sont pas autorisés à fournir des informations « cryptées de telle sorte qu’il est impossible pour [l’organisme de réglementation britannique des télécommunications] Ofcom de les comprendre, ou de produire un document crypté de sorte qu’il ne soit pas possible pour Ofcom pour comprendre les informations qu’il contient », et lorsque l’intention est d’empêcher l’agence de surveillance britannique de comprendre ces informations.

Une évaluation d’impact rédigée par le ministère britannique du numérique, de la culture, des médias et des sports indique explicitement que l’E2EE entre dans le champ d’application de la législation. Une section de l’évaluation indique :

Le gouvernement est favorable à un cryptage fort pour protéger la vie privée des utilisateurs, mais il est à craindre qu’un passage à des systèmes cryptés de bout en bout, lorsque les problèmes de sécurité publique ne sont pas pris en compte, érode un certain nombre de méthodologies de sécurité en ligne existantes. Cela pourrait avoir des conséquences importantes sur la capacité des entreprises technologiques à lutter contre le toilettage, le partage de matériel CSA et d’autres comportements nuisibles ou illégaux sur leurs plateformes. Les entreprises devront évaluer régulièrement le risque de préjudice sur leurs services, y compris les risques liés au chiffrement de bout en bout. Ils devraient également évaluer les risques avant toute modification de conception importante, comme le passage au chiffrement de bout en bout. Les prestataires de services devront alors prendre des mesures raisonnablement réalisables pour atténuer les risques qu’ils identifient.

Le projet de loi ne prévoit pas de moyen spécifique pour les fournisseurs de services E2EE de se conformer. Au lieu de cela, il finance cinq organisations pour développer “des moyens innovants par lesquels des images ou des vidéos sexuellement explicites d’enfants peuvent être détectées et traitées dans des environnements cryptés de bout en bout, tout en garantissant le respect de la vie privée des utilisateurs”.

Un large éventail de technologues et de défenseurs de la vie privée et des libertés civiles ont longtemps critiqué ces propositions au motif que les mêmes méthodes innovantes permettant aux fournisseurs ou aux régulateurs gouvernementaux de contrôler le contenu E2EE peuvent être exploitées par des espions gouvernementaux ou des pirates informatiques. En 2021, Apple a renoncé à ses projets de numérisation d’images stockées sur des iPhones pour CSAM. Le renversement s’est produit à la suite d’un torrent de critiques de la part des clients, des groupes de défense et des chercheurs.

Alors que le Parlement britannique est sur le point d’adopter le projet de loi sur la sécurité en ligne, Signal déclare publiquement qu’il s’éloignera plutôt que d’apporter des modifications à sa méthode E2EE actuelle, qui, selon les auditeurs et les experts en sécurité, est l’une des plus sécurisées au monde.

“Signal ne participera jamais, ne participera jamais, à 1 000 %, à toute sorte de falsification de notre technologie qui saperait nos promesses de confidentialité”, a déclaré Whittaker lors d’un entretien téléphonique vendredi. “Les mécanismes disponibles et les lois de la physique et la réalité de la technologie sont les approches qui ont été essayées sont profondément défectueuses tant du point de vue des droits de l’homme que d’un point de vue technologique.”

Bien que les moyens précis de surveiller le contenu E2EE ne soient pas définis dans la législation britannique, les mécanismes proposés dans des cadres similaires dans le passé se répartissent généralement en deux catégories. La première consiste à mettre en œuvre un mécanisme qui permet de stocker une clé de déchiffrement dans un séquestre qui n’est disponible que pour les forces de l’ordre ou les organismes de réglementation. Un tel arrangement, bien sûr, annule complètement E2EE car, par définition, E2EE empêche toute personne autre que les participants à la conversation de déchiffrer les messages. Les technologues notent en outre que toute clé disponible pour les forces de l’ordre est également vulnérable aux piratages qui déjouent le mécanisme d’entiercement et fournissent un accès non autorisé. Les critiques soutiennent en outre que les gouvernements abusent souvent de leur autorité.
Une deuxième méthode souvent proposée pour contrôler les communications E2EE consiste à analyser le contenu sur un appareil d’utilisateur final avant que le chiffrement n’ait lieu. Cet arrangement est ce qu’Apple prévoyait en 2021 avant de revenir en arrière. La raison pour laquelle il est si impopulaire est qu’il soumet les appareils des utilisateurs à une surveillance extrêmement large par des moyens qui ne sont actuellement pas définis. Comme c’est le cas avec les séquestres de clés, la surveillance sur l’appareil est sujette à des piratages qui permettent à des espions, des criminels ou des initiés malveillants d’obtenir un accès non autorisé au contenu des utilisateurs.

Whittaker a déclaré que le projet de loi sur la sécurité en ligne ne prend pas en compte les risques. Dit-elle:

C’est une mesure législative très troublante. L’exigence proactive de services tels que Signal à la police d’expression et de contenu nécessiterait effectivement une certaine forme de capacités de surveillance et une sorte de rubrique autour de laquelle l’expression est acceptée ou non. Ce qu’ils ont fait, c’est de dire que c’est le résultat que nous voulons, mais de laisser aux innovateurs, aux technologues, le soin de trouver comment y parvenir.

Le résultat qu’ils veulent présuppose des capacités de surveillance de masse, présuppose un régime qui contrôle l’expression acceptable ou inacceptable, et il présuppose soit de s’introduire dans l’E2EE d’une manière qui compromettrait totalement la vie privée ou saperait l’objectif d’E2EE en effectuant une surveillance en dehors du cryptage lui-même.

Les responsables du gouvernement britannique n’étaient pas disponibles pour commenter vendredi soir, mais dans une déclaration fournie au Guardian , un porte-parole du Home Office a défendu le projet de loi. "Le projet de loi sur la sécurité en ligne ne représente pas une interdiction du chiffrement de bout en bout, mais indique clairement que les changements technologiques ne doivent pas être mis en œuvre d’une manière qui diminue la sécurité publique, en particulier la sécurité des enfants en ligne. Ce n’est pas un choix entre la vie privée ou la sécurité des enfants - nous pouvons et nous devons avoir les deux.

On ne sait pas à quoi ressemblerait Signal sortant du Royaume-Uni. Apple et Google pourraient bloquer les téléchargements de Signal vers des adresses IP basées au Royaume-Uni à la demande de Signal, mais il est presque certain que certains résidents britanniques contourneraient ces restrictions.

Lien: https://arstechnica.com/information-technology/2023/02/signal-vows-to-defy-uk-legislation-that-puts-e2e-encryption-in-the-crosshairs/

Mon comentaire: le hic, c’est que nos chers dirigants en Europe veulent faire la même chose! Il existe de nombreuses actions collectives pour s’y opposer. Pour ceux que cela intéresse voici uin lien vers la EDRi: https://edri.org/our-work/why-chat-control-is-so-dangerous/

BahBwah

@oudeis
Et comme de bien entendu, encore une de leurs excuses favorites : “protégeons nos enfants”.
Depuis le temps qu’on les protègent, c’est à se demander ce qu’ils risquent encore…

Ashura

ca c’est une bonne nouvelle, espérons que d’autres suivent et tiennent bon

parce que le coup de protéger les enfants alors que les élites sont dans le coup, alors que le but, c’est juste d’espionner toute la planète