Le 26 octobre, le Parlement britannique a adopté la Loi sur la sécurité en ligne, donnant à l’Ofcom, le régulateur des télécommunications du Royaume-Uni, de larges pouvoirs pour rechercher, trouver et supprimer les médias et discours nuisibles en balayant Internet et, malgré une condamnation généralisée de l’industrie technologique, même les messages chiffrés de bout en bout (E2EE).
Les défenseurs de cette loi l’ont promue comme une réponse forte pour prévenir certaines des pires formes d’abus en ligne, en particulier ceux qui ciblent et affectent les enfants. Cependant, le gouvernement a depuis admis qu’il n’existe actuellement aucun moyen techniquement réalisable de scanner les messages ou services E2EE sans briser leur chiffrement, ce que le gouvernement prétend ne pas vouloir faire. En conséquence, la responsabilité a été transférée à l’Ofcom pour décider d’une manière responsable de mettre en œuvre ses nouveaux pouvoirs, en tenant compte des limites techniques et morales.
L’Ofcom a maintenant publié un projet de consultation sur la manière dont il pourrait chercher à appliquer la Loi sur la sécurité en ligne. Il y a quelques points positifs dans cela – l’Ofcom a montré qu’il n’est pas intrinsèquement contre le chiffrement de bout en bout et a fait des exemptions pour les e-mails et la messagerie chiffrée dans un mouvement qui est certainement une victoire pour la vie privée.
Cependant, sa proposition d’utiliser la correspondance de hachage pour remplir la mission de la Loi sur la sécurité en ligne présente plusieurs risques importants pour la vie privée des citoyens britanniques. De plus, la consultation implique que les services de stockage et de partage de fichiers pourraient être tenus de mettre en œuvre le balayage de hachage, mais nous attendons encore de voir les détails de la manière dont cela pourrait être mis en pratique.
Malgré les affirmations de l’Ofcom selon lesquelles cette proposition préserverait la vie privée, la correspondance de hachage n’est pas une solution magique. Si elle est mise en œuvre, elle pourrait créer un appareil de surveillance de masse qui pourrait facilement être détourné par les forces de l’ordre.
Qu’est-ce que la correspondance de hachage ?
La correspondance de hachage, ou le balayage de hachage, compare certains contenus tels que des vidéos, des images ou du texte, à une base de données de contenu illégal. Cela se fait en transformant le contenu en « hachages », un échantillon du contenu un peu comme une empreinte digitale. Les hachages du contenu stocké ou partagé par un utilisateur spécifique sont ensuite comparés aux hachages de contenu illégal connu dans une base de données et résultent en une correspondance si le logiciel estime que les hachages sont identiques ou suffisamment similaires. Certaines de ces bases de données sont développées par des entreprises privées, d’autres par des ONG, ou même des agences d’application de la loi.
La correspondance de hachage est un pas dangereux vers la surveillance de masse
La correspondance de hachage semble simple, mais plusieurs problèmes préoccupants apparaissent.
- L’implémentation de la correspondance de hachage est une technologie extrêmement complexe à mettre en œuvre, et les systèmes similaires déjà existants ont généré de nombreux faux positifs qui peuvent détruire la vie des personnes(new window). Ces faux positifs mettraient en danger les utilisateurs respectueux de la loi et encombreraient le système, obligeant les entreprises ou les forces de l’ordre à enquêter sur des médias parfaitement innocents, détournant potentiellement des ressources des véritables cas d’abus.
- Bien qu’Ofcom ait exempté les messages chiffrés et privés de cette loi, chaque application que vous téléchargez pour partager des fichiers ou accéder aux réseaux sociaux pourrait contenir un logiciel espion pour examiner les médias sur votre appareil et les signaler.
- Il n’est pas clair si les fichiers chiffrés stockés sur le cloud seraient soumis au balayage de hachage en vertu de la Loi sur la sécurité en ligne. Maintenant que nous vivons dans un monde axé sur le cloud, cela pourrait donner au gouvernement le mandat de scanner les fichiers de tout le monde — ce qui inclut souvent les informations les plus sensibles des personnes.
- Enfin, aucune des propositions actuelles ne discute de la manière dont le grand public peut vérifier ce que la base de données de matériel illégal contiendra. Cela pourrait très facilement devenir un outil de censure, à l’image de la manière dont le gouvernement chinois scanne les images des manifestations de la place Tiananmen.
L’Ofcom doit procéder avec prudence
Nous exhortons l’Ofcom à considérer très attentivement les implications de la poursuite de la correspondance de hachage. Nous sommes toujours opposés à la Loi sur la sécurité en ligne, mais nous donnerons crédit là où il est dû. Depuis que le projet de loi est devenu loi, la proposition d’Ofcom de limiter le balayage au contenu partagé publiquement, et l’aveu du gouvernement qu’il n’existe actuellement aucun moyen réalisable de scanner les messages avec chiffrement de bout en bout sans rompre le chiffrement, démontrent qu’ils comprennent les enjeux et les limites techniques.
Cela dit, toute proposition de mettre en œuvre une correspondance de hachage, en particulier une avec si peu de détails, expose davantage les citoyens du Royaume-Uni à une violation accrue de leur droit à la vie privée.
Il est crucial qu’Ofcom tienne compte des avertissements de la communauté technologique. Nous lutterons pour préserver le droit à la vie privée, nous travaillerons avec les régulateurs pour garantir qu’ils comprennent les risques liés à son affaiblissement, et nous ne nous conformerons à rien qui le fasse. Nous protégerons toujours les droits de la communauté Proton, où qu’elle vive. Nous partagerons notre point de vue sur les propositions dans la consultation d’Ofcom dès que nous aurons plus de détails.
Bien qu’il faille reconnaître que nous attendons encore plus de détails d’Ofcom, nous espérons que les législateurs européens prendront note des efforts du Royaume-Uni pour protéger le chiffrement de bout en bout et poursuivront les efforts du Parlement européen pour améliorer « Chat Control ». On s’attend à ce que le Parlement européen publie des propositions encore plus soucieuses de la vie privée qu’Ofcom. Nous espérons que cela donnera le courage au régulateur britannique d’améliorer davantage la loi sur la sécurité en ligne dans les mois à venir.
