Nouvel acte de la guerre contre la cryptographie

De ChatControl au déménagement de Protonmail: de nouvelles atteintes à la sphère privée qui réaffirment la nécessité d'apprivoiser l'open source
Icaros

Une société civilisée tend à une transparence totale des institutions, et à une sphère privée complète des individus.

Or l’ambition des imposteurs qui prétendent gouverner est diamétralement opposée; ils revendiquent l’opacité des institutions, et la transparence des individus. C’est dans ce contexte qu’est menée une guerre à la cryptographie forte.

Nous avons déjà eu l’occasion d’expliciter les enjeux de cette guerre; de la description détaillée du problème, en passant par la fausse controverse autour du fondateur de Telegram, jusqu’aux solutions open source à la portée de chacun.

Ces dernières semaines ont vu deux nouvelles salves tirées dans cette bataille.

ChatControl 2.0

Le soi-disant «Règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants», plus communément «ChatControl 2.0», a été initialement présenté par la Commission européenne le 11 mai 2022.

Dans sa première version, cette proposition visait à imposer aux fournisseurs de messagerie électronique la surveillance de toutes les communications pour «détecter, signaler, retirer et bloquer» toute «transmission de matériel pédopornographique».

Cette approche s’est rapidement dégonflée, vu l’impossibilité de parcourir le contenu des messages cryptés bout en bout (c’est-à-dire cryptés et décryptés respectivement par l’expéditeur et le destinataire, sans déchiffrement intermédiaire au niveau du fournisseur de service).

A la place, la loi prévoit désormais un «client-side scanning» (scannage côté client), c’est-à-dire une surveillance directement depuis les dispositifs utilisateurs.

La publication européenne Brussels Signal explique:

Grâce au scannage côté client, le contenu est analysé sur l’appareil de l’utilisateur avant d’être crypté. Pour les lecteurs moins avertis en matière de technologie, cela signifie l’ouverture d’une porte dérobée permanente qui contourne les garanties de confidentialité des communications sécurisées.

Cela reviendrait à laisser l’État lire vos lettres avant que vous ne les postiez, et soumettrait les messages privés de tous les citoyens de l’UE à un contrôle automatisé. Les lecteurs allemands de l’Est trouveront peut-être ces instruments dignes de la Stasi familiers; la plupart ne souhaiteraient pas les voir faire leur grand retour, que ce soit en Allemagne ou ailleurs.

Malheureusement, au lieu d’écouter les avis et d’étudier des versions alternatives plus modérées de la législation, la Première ministre danoise Mette Frederiksen a choisi de persévérer dans cette erreur politique et historique majeure.

Pas moins de 19 États membres de l’UE semblent désormais soutenir la proposition. L’Allemagne reste pour l’instant indécise, mais son rôle sera probablement déterminant. En effet, si Berlin rejoint le camp des «oui», un vote à la majorité qualifiée – nécessitant 15 États représentant 65% de la population de l’UE – pourrait permettre l’adoption de la loi d’ici la mi-octobre.

La présidence danoise mène ce processus au sein des groupes de travail du Conseil, son objectif étant de finaliser les positions d’ici le 12 septembre 2025. La seule étape qui resterait alors à franchir serait le vote final en octobre.

L’article poursuit en décrivant les conséquences délétères d’un tel scannage:

Une fois mis en place, le champ d’application du système pourrait s’étendre au-delà du contenu pédopornographique pour englober pratiquement tout autre contenu, qu’il s’agisse de dissidence politique – une préoccupation tout à fait légitime lorsque, en Grande-Bretagne, Starmer s’efforce d’interdire votre VPN, que le principal candidat à la présidence française a été exclu de la prochaine élection ou qu’en Allemagne, près de 10 000 personnes sont poursuivies chaque année pour avoir partagé des mèmes et des blagues «politiquement incorrects» en ligne.

En effet, alors même que les eurocrates tentent de fouiner dans vos conversations en ligne, Bruxelles fait également pression pour une modération agressive des contenus dans le cadre de la loi sur les services numériques.

Les inconvénients sont donc évidents et devraient à eux seuls illustrer pourquoi cette législation devrait être fermement rejetée par les nations européennes. Qu’en est-il de ses avantages? Ils sont beaucoup moins évidents. Il y a un an, Europol a noté dans un rapport que les criminels sophistiqués utilisent souvent des plateformes secrètes et non réglementées, rendant le balayage de masse inefficace contre les cibles visées tout en imposant aux citoyens ordinaires tout le poids d’un Léviathan répressif.

Les plateformes axées sur la confidentialité, comme Signal, ont menacé de quitter le marché européen plutôt que de se conformer. Elles ont raison, mais cela nuira à l’économie numérique européenne tout en poussant les utilisateurs vers des alternatives moins sûres.

Cette mesure de «scannage côté client», reviendrait, en peu de mots, à imposer aux éditeurs d’applications de messagerie de transformer leur produit en malware; plus exactement, en spyware (logiciel espion).

Cela n’est pas sans rappeler le projet «Green Dam» (barrage vert) que la Chine avait tenté d’imposer à ses citoyens (finalement sans succès); là aussi il s’agissait d’imposer un logiciel espion de contrôle directement sur les appareils utilisateurs.

Protonmail quitte la Suisse

La nouvelle n’a échappé à personne: Protonmail, l’entreprise genevoise spécialisée dans la messagerie électronique sécurisée, a décidé de transporter ses infrastructures techniques hors de Suisse.

En cause: la révision prévue par la Confédération des «ordonnances d’exécution de la surveillance de la correspondance par poste et télécommunication». Si elle est adoptée, elle impliquerait une obligation pour les services de messagerie de mettre en oeuvre une surveillance en temps réel de certaines méta-données de communication.

En d’autres termes, la Confédération veut pouvoir savoir qui utilise Protonmail, et avec qui ses clients correspondent; elle dément vouloir empêcher le chiffrement bout en bout, mais reconnaît toutefois vouloir recevoir en temps réel tout le reste (adresses IP, expéditeurs, et destinataires).

En somme, la Confédération souhaite assimiler Protonmail, Threema et d’autres entreprises du même ordre, à des fournisseurs d’accès de services de télécommunications, auxquelles ce genre de disposition s’applique déjà.

«Rien à cacher»

Alors que le Royaume-Uni vient d’annoncer avoir renoncé à obtenir l’accès aux données chiffrées de l’iCloud d’Apple, la question posée dans l’article d’Essentiel News sur cette tentative reste valable:

Il est […] de notoriété publique, dans l’ère dite post-Snowden, que les services de renseignement coopèrent déjà secrètement avec les grandes entreprises technologiques pour insérer des portes dérobées dans les systèmes de chiffrement commerciaux les plus utilisés. […]

Dès lors se pose la question: quel intérêt aurait un journal américain entièrement acquis à la cause de la propagande publique, notoirement proche des services de renseignement de ce pays, et tout en s’appuyant sur «un ancien conseiller à la sécurité de la Maison Blanche», à révéler un «ordre secret» de cette nature?

On pourrait en effet imaginer qu’une telle annonce serait contre-productive; qu’elle éveillerait les consciences, et qu’elle pousserait tout le monde à mieux protéger ses données privées.

La question dans ce cas devient: quel intérêt aurait l’Union européenne à annoncer si ouvertement une mesure qui semble sûre d’être contre-productive? En effet, ce n’est pas les alternatives open source qui manquent, sur lesquelles le pouvoir n’exerce aucun contrôle.

Et pour la Suisse, à quoi une telle révision peut-elle bien servir, dans la mesure où il suffirait d’utiliser le réseau Tor et d’ouvrir son compte Protonmail anonymement (par exemple en payant en cryptomonnaies) pour se soustraire à la surveillance?

La réponse n’a pas changé: une majorité des gens ne s’en donnera pas la peine. Or, si on leur a annoncé que leurs correspondances sont surveillées, et qu’ils continuent à correspondre de la même façon, c’est qu’ils consentent à cette surveillance. On cultive ainsi un sentiment d’impuissance apprise.

Dans l’attente, ces nouveaux épisodes d’atteinte au secret des correspondances ont le mérite de faire la publicité d’un fait incontestable: la responsabilité de protéger sa sphère privée nous appartient individuellement. Les solutions existent; voir la dernière édition du journal Le Pharandol sur la résilience numérique, à laquelle cet auteur a participé.

En conclusion, au sempiternel argument «si vous n’avez rien à cacher, vous n’avez rien à craindre», on répondra comme le fait Edward Snowden:

Prétendre que vous ne vous souciez pas du droit à la vie privée parce que vous n’avez rien à cacher revient à dire que vous ne vous souciez pas de la liberté d’expression parce que vous n’avez rien à dire.

Imprimer 🖨 PDF 📄
Partager:

Cet article vous a plu?
Essentiel News propose des clés de lecture de l’agenda mondial et des alternatives pour en sortir.
Pensez à vous abonner ou à faire un don.
S’abonner Faire un don
Avatar photo

Diplômé de l'école polytechnique fédérale de Lausanne en télécommunications, serial-entrepreneur en cyber-sécurité, Icaros est également auteur et conférencier sur certains sujets hétérodoxes. Son site personnel est Coronacircus.com.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *