Au Royaume-Uni, le projet de loi sur la sécurité en ligne a déjà passé sa deuxième lecture à la Chambre des Lords. Les changements sont actuellement en cours d’incorporation par la Chambre des Lords, et certains passages qui allaient évidemment bien au-delà ont été supprimés. Ce qui est resté, cependant, est le principe selon lequel toutes les communications de tous les fournisseurs seront incluses, qu’elles soient en texte clair ou cryptées de manière sécurisée. C’est la même approche totalitaire que le « contrôle du chat » poussé par la commissaire européenne Ylva Johansson.
Attaque coordonnée contre le chiffrement
Cette loi britannique sur la protection des enfants en ligne ne coïncide pas seulement avec le contrôle des chats de l’UE, qui a débuté en décembre. En termes de contenu et même de méthodes, les parallèles ne peuvent guère être négligés, car les deux propositions législatives sont basées sur un objectif stratégique commun. Le chiffrement de bout en bout (E2E) de WhatsApp et des autres services de messagerie doit être expulsé du réseau par des exigences auxquelles les fournisseurs E2E ne peuvent techniquement pas répondre. Ce n’est que fin janvier que la présidence suédoise du Conseil de l’UE a affirmé que les procureurs seraient « aveugles et sourds » grâce au cryptage E2E.
Les communications cryptées peuvent également être trouvées dans la section 98 du projet de loi sur la sécurité en ligne, qui énumère tous les types de violations pouvant être sanctionnées. Si un fournisseur ne peut pas fournir les communications demandées dans le mandat de perquisition en texte clair, cela est tout aussi punissable que la falsification ou la suppression ultérieure de ces communications.
Cryptage systématiquement non mentionné
Les fournisseurs E2E seront donc potentiellement menacés de poursuites pénales en Grande-Bretagne simplement à cause de ce qu’ils proposent. On peut s’attendre à la même chose dans l’espace de l’UE, car le projet actuel de règlement européen sur la protection des enfants repose sur le même principe, à savoir que le cryptage E2E menace la sécurité publique. Les méthodes de présentation du cryptage dans ces deux projets de loi sont fondamentalement identiques. Le cryptage n’est pas mentionné dans la mesure du possible. Dans l’extrait ci-dessus, il est paraphrasé comme « non lisible pour l’OFCOM », dans l’ensemble, le terme « crypté » n’apparaît que trois fois dans le « projet de loi sur la sécurité en ligne » et dans le texte du contrôle du chat de l’UE.
Le terme clé réel est délibérément omis, mais les exigences pour les fournisseurs sont conçues de telle manière qu’elles ne peuvent être satisfaites que si les entreprises disposent de clés en double ou passe-partout pour les communications. Le passage suivant montre quelles conséquences une offre E2E peut avoir si l’autorité de régulation émet un mandat de perquisition et que le fournisseur ne peut fournir que des données cryptées.
En Grande-Bretagne, il n’y a pas que les entreprises qui sont menacées de sanctions. Des cadres jusqu’aux niveaux inférieurs, tous ceux qui sont responsables sur le plan opérationnel des forums, des chats ou même des services de messagerie ont un pied en prison. À l’origine, même l’étendue possible de la peine était incluse dans le texte, en plus des amendes, une peine d’emprisonnement pouvant aller jusqu’à deux ans peut également être infligée. Will Cathcart, le PDG de WhatsApp, avait déjà annoncé à plusieurs reprises qu’il quitterait le marché britannique en cas d’adoption sous cette forme.
Autorités tout-puissantes, tribunaux inutiles
Les mandats de perquisition aux opérateurs de la plateforme ne proviennent pas d’un tribunal ordinaire, mais de l’autorité de régulation britannique Ofcom. Presque à la demande de cette autorité, WhatsApp et tous les autres fournisseurs sont obligés de scanner les communications de segments entiers de leur réseau en cas de plainte. Les objections et toutes les autres interactions passent également par l’autorité. Selon un avis juridique de l’organisation de défense des droits civiques Index on Censorship, l’Ofcom recevra beaucoup plus de pouvoirs de surveillance du « Online Safety Bill » que le « Investigatory Powers Act » de 2016 accordé aux services secrets britanniques GCHQ.
Même dans la zone de l’UE, aucun tribunal ne sera nécessaire pour un mandat de perquisition. C’est ce qui ressort des documents d’accompagnement du projet de la Commission sur le contrôle du chat. Les signalements de diffusion de « pédopornographie » vont directement des autorités policières de l’État membre au nouveau « Centre de l’UE contre la maltraitance des enfants » prévu dans le cadre du règlement de l’UE. À partir de là, un « ordre de détection » est délivré à l’opérateur en question, qui doit ensuite comparer les communications de certains segments de sa plate-forme avec une base de données centrale gérée par le Centre européen contre la maltraitance des enfants.
Ce qui manque : dans le monde trépidant de la technologie, il est souvent temps de réorganiser toutes les actualités et les informations de fond. Le week-end, nous voulons le prendre, suivre les chemins secondaires à l’écart du courant, essayer différentes perspectives et rendre audibles les nuances.
Avec une dépense annuelle de plus de deux milliards d’euros et 100 employés, une toute nouvelle autorité est en cours de création, qui sera basée directement à Europol à La Haye. En fait, cela équivaut à un accroissement des pouvoirs d’Europol.
A l’occasion du « Online Safety Bill », les autorités britanniques ont mis à jour mi-janvier leur déclaration commune sur le chiffrement E2E de 2018. Il a été signé par les ministres de l’Intérieur et de la Justice de Grande-Bretagne, des États-Unis, d’Australie, de Nouvelle-Zélande et du Canada. Ce sont les cinq états de l’alliance d’espionnage « Five Eyes ».
L’approche décrite ci-dessus n’a été approuvée ni par les politiciens à Londres ni à Bruxelles, mais lors des conférences des « Five Eyes » et des réunions du « Club de Berne », l’organe informel des services secrets européens. Le cryptage est l’une des compétences de base de ces services et ils ont donc été les premiers à s’en occuper, ce n’est qu’alors que le FBI et Europol ont été envoyés en 2017. La campagne, intitulée « Police Going Blind », a duré plusieurs mois en 2018. Puis, en novembre, deux cadres techniques du GCHQ ont publié un manifeste sur le célèbre blog LawFare. Le contenu est la version longue de la déclaration Five Eyes ci-dessus.
En Australie, l’objectif a été atteint quelques jours seulement après ce manifeste. En décembre 2018, le Parlement australien a adopté l’Assistance and Access Act sans débat ni amendement. Il s’agit purement d’une loi d’habilitation permettant au service secret « Australian Signals Directorate » et aux autorités policières d’accéder aux communications cryptées.
Comment procéder maintenant
Le « Online Safety Bill » britannique pourrait revenir à la Chambre des Lords pour la troisième et dernière lecture dès la semaine prochaine, après quoi le vote final suivra. Aux États-Unis, en revanche, le « Kids Online Safety Act » (KOSA) est attendu dans les prochains jours ou semaines, dont le projet est au Sénat américain depuis la mi-décembre. Sans surprise, ce projet de loi, rédigé par le sénateur démocrate Richard Blumenthal, contient à peu près toutes les dispositions contenues dans le contrôle du chat de la commissaire européenne Ylva Johansson, ainsi que les lois pertinentes au Royaume-Uni et en Australie.
Les méta-critiques et les références utiles à l’auteur peuvent être envoyées de manière cryptée en toute sécurité à l’aide de ce formulaire.
(moi)