L’Europe veut espionner toutes vos conversations en ligne à la recherche de contenus illégaux

La proposition controversée des législateurs de l'Union européenne d'obliger légalement les platesformes de messagerie à analyser les communications privées à la recherche de matériel pédopornographique (CSAM) fait face à une nouvelle vague de réactions négatives de la part des experts en sécurité et en protection de la vie privée.

Dans une lettre ouverte publiée jeudi, plus de 270 universitaires et chercheurs de premier plan avertissent que cet effort bien intentionné pourrait conduire à des millions de faux positifs par jour et s'avérer catastrophique pour la vie privée et la sécurité en ligne. Si l'objectif de protection des enfants est louable, les critiques affirment que les exigences techniques de la proposition sont totalement irréalistes et constituent une recette pour une surveillance généralisée qui sapera le chiffrage et érodera les droits numériques.

« La protection offerte par le chiffrement de bout en bout implique que personne d'autre que le destinataire prévu d'une communication ne devrait être en mesure d'obtenir des informations sur le contenu de cette communication », peut-on lire dans la lettre. « Permettre des capacités de détection, que ce soit pour les données chiffrées ou pour les données avant qu'elles ne soient chiffrées, viole la définition même de la confidentialité fournie par le chiffrement de bout en bout ».

L’Europe veut mettre fin aux contenus pédopornographiques (CSAM)

Le différend remonte à 2020, lorsque la Commission européenne a proposé pour la première fois le règlement relatif à l'analyse des CSAM. En plus d'identifier les CSAM connus, les règles exigeraient que les plateformes de messagerie déploient des technologies pour détecter les nouveaux CSAM inconnus et identifier les comportements de grooming potentiels, des objectifs qui, selon les experts, sont technologiquement impossibles sans compromettre le chiffrement et déployer une surveillance de masse.

L'année dernière, les membres du Parlement européen ont tenté de freiner la législation en adoptant des amendements qui supprimaient le mandat de détection du grooming, exemptaient les services chiffrés de bout en bout et limitaient le balayage aux cas où l'on soupçonnait déjà un abus. Toutefois, les représentants des États membres de l'UE n'ont pas adopté une position unifiée et les amendements proposés récemment par l'actuelle présidence belge reprennent un grand nombre d'éléments juridiquement et techniquement délicats.

Les experts tirent déjà la sonnette d’alarme

Parmi les révisions, on trouve une proposition visant à définir certains utilisateurs comme des “personnes d'intérêt” qui ont déjà fait part de CSAM ou de tentatives de “grooming” sur la base d'évaluations automatisées. Une fois signalées, ces personnes feraient l'objet d'une surveillance plus ciblée. Cependant, les signataires de la lettre affirment que même en utilisant un détecteur hypothétique “dans le meilleur des cas” avec un taux de fausses alertes de 0,1 % seulement, on pourrait générer plus d'un million de fausses alertes par jour sur une plateforme comme WhatsApp, compte tenu de son échelle massive.

« Étant donné que les utilisateurs de WhatsApp envoient 140 milliards de messages par jour, même si seulement un message sur cent est testé par ces détecteurs, il y aurait 1,4 million de faux positifs chaque jour », écrivent-ils. « Pour réduire le nombre de faux positifs à quelques centaines, il faudrait statistiquement identifier au moins cinq répétitions en utilisant des images ou des détecteurs différents et statistiquement indépendants ».

Les experts jettent également un froid sur les propositions visant à classer les services “à haut risque” en vue d'une analyse prioritaire ou à vérifier la sécurité des technologies de détection, estimant que de telles mesures sont en fin de compte futiles compte tenu des lacunes techniques et de l'adoption quasi universelle des fonctions de messagerie de base telles que le partage de textes et d'images.

Lire également – Apple espionne les mails des utilisateurs iCloud à la recherche d’images pédopornographiques

L’Europe serait sur le point de créer un outil de surveillance de masse

Le résultat final, selon eux, serait de « saper complètement la sécurité des communications et des systèmes » dans la poursuite d'une solution invasive, juridiquement douteuse et probablement inefficace de lutte contre les CSAM qui crée « des capacités sans précédent pour la surveillance et le contrôle des utilisateurs d'Internet ».

Le contrôleur européen de la protection des données et des groupes de défense des droits numériques comme European Digital Rights ont également dénoncé la proposition comme une atteinte disproportionnée à la vie privée qui pourrait normaliser la surveillance aveugle des communications en ligne. Les groupes chargés de l'application de la loi, quant à eux, ont poussé dans la direction opposée, en publiant récemment leur propre déclaration appelant à un accès garanti aux données chiffrées des messageries.

Pris entre deux feux, les responsables politiques de l'UE sont confrontés à d'intenses pressions concurrentes de la part des parties prenantes, alors qu'ils tentent de concilier la lutte contre l'exploitation des enfants en ligne et la défense des droits et de la sécurité numériques. Mais pour les experts en sécurité, il n'y a pas de zone grise.

« Elle crée un précédent pour le filtrage de l'internet et empêche les gens d'utiliser certains des rares outils disponibles pour protéger leur droit à une vie privée dans l'espace numérique », prévient la lettre ouverte au sujet des conséquences potentielles. « Elle modifiera la manière dont les services numériques sont utilisés dans le monde entier et risque d'avoir un impact négatif sur les démocraties du monde entier ».

Les experts sont finalement assez clairs. L'analyse côté client codée dans la loi n'est ni réaliste ni souhaitable, et le chiffrement robuste de bout en bout sans porte dérobée reste la meilleure voie à suivre pour maintenir la sécurité numérique tout en permettant aux autorités chargées de l'application de la loi de signaler la présence de CSAM lorsqu'ils sont détectés.