Une initiative controversée des législateurs de l'Union européenne visant à exiger légalement des plates-formes de messagerie de scanner les communications privées des citoyens à la recherche de matériel de pornographie infantile (CSAM) pourrait entraîner chaque jour des millions de faux positifs, ont averti jeudi des centaines d'experts en sécurité et en confidentialité dans une lettre ouverte.
Les craintes concernant la proposition de l'UE se sont accumulées depuis que la Commission a proposé le plan de numérisation du CSAM il y a deux ans, des experts indépendants, des législateurs de tout le Parlement européen et même le propre superviseur de la protection des données de l'UE faisant partie de ceux qui ont sonné l'alarme.
La proposition de l'UE n'exigerait pas seulement des plates-formes de messagerie qui reçoivent un ordre de détection du CSAM de scanner le CSAM connu, mais elles devraient également utiliser des technologies de détection non spécifiées pour essayer de repérer le CSAM inconnu et identifier l'activité de préparation à l'agression lorsqu'elle se produit, ce qui donne place à des accusations selon lesquelles les législateurs se livrent à une pensée magique autour de la techno-solution.
Les critiques soutiennent que la proposition demande l'impossible technologique et ne permettra pas d'atteindre l'objectif déclaré de protéger les enfants contre les abus. Au contraire, disent-ils, cela causera des ravages sur la sécurité Internet et la confidentialité des utilisateurs du Web en obligeant les plates-formes à déployer une surveillance généralisée sur tous leurs utilisateurs en utilisant des technologies risquées et non prouvées, telles que la numérisation côté client.
Les experts affirment qu'il n'existe aucune technologie capable d'accomplir ce que la loi exige sans causer beaucoup plus de tort que de bien. Pourtant, l'UE avance malgré tout.
Le chien de garde de l'UE remet en question le secret entourant la proposition des législateurs visant à casser le cryptage pour la numérisation du CSAM
La dernière lettre ouverte porte sur des amendements à la réglementation sur la numérisation du CSAM récemment proposés par le Conseil européen, que les signataires estiment ne pas résoudre les défauts fondamentaux du plan.
Les signataires de la lettre - au nombre de 270 au moment de la rédaction - comprennent des centaines d'universitaires, y compris des experts en sécurité bien connus tels que le professeur Bruce Schneier de la Harvard Kennedy School et le Dr Matthew D. Green de l'Université Johns Hopkins, ainsi que quelques chercheurs travaillant pour des entreprises technologiques telles qu'IBM, Intel et Microsoft.
Une précédente lettre ouverte (en juillet dernier), signée par 465 universitaires, a averti que les technologies de détection sur lesquelles repose la proposition de législation sont "profondément défectueuses et vulnérables aux attaques" et entraîneraient un affaiblissement significatif des protections essentielles offertes par les communications chiffrées de bout en bout (E2EE).
Peu de traction pour les contre-propositions
À l'automne dernier, les députés européens du Parlement européen se sont unis pour résister avec une approche considérablement révisée - qui limiterait la numérisation aux individus et groupes déjà soupçonnés d'abus sexuel sur mineur ; la limiterait au CSAM connu et inconnu, éliminant l'obligation de scanner pour la préparation à l'agression ; et éliminerait tout risque pour l'E2EE en le limitant aux plates-formes qui ne sont pas cryptées de bout en bout. Mais le Conseil européen, l'autre organe co-législatif impliqué dans l'élaboration des lois de l'UE, n'a pas encore pris position sur la question, et la position qu'il adoptera influencera la forme finale de la loi.
Le dernier amendement sur la table a été publié par la présidence belge du Conseil en mars, qui mène les discussions au nom des représentants des gouvernements des États membres de l'UE. Mais dans la lettre ouverte, les experts avertissent que cette proposition ne parvient toujours pas à aborder les défauts fondamentaux inhérents à l'approche de la Commission, soutenant que les révisions créent toujours "des capacités sans précédent de surveillance et de contrôle des utilisateurs d'Internet" et "saperont ... un avenir numérique sécurisé pour notre société et pourraient avoir des conséquences énormes sur les processus démocratiques en Europe et au-delà".
Les retouches discutées dans la proposition modifiée du Conseil comprennent la suggestion que les ordres de détection puissent être plus ciblés en appliquant une catégorisation des risques et des mesures d'atténuation des risques, et que la cybersécurité et le cryptage soient protégés en veillant à ce que les plates-formes ne soient pas obligées de créer un accès aux données déchiffrées et en faisant vérifier les technologies de détection. Mais les 270 experts suggèrent que cela revient à bricoler les bords d'un désastre en matière de sécurité et de confidentialité.
"D'un point de vue technique, pour être efficace, cette nouvelle proposition sapera également complètement la sécurité des communications et des systèmes," mettent-ils en garde. S'appuyant sur des "technologies de détection défectueuses" pour déterminer les cas d'intérêt afin d'envoyer des ordres de détection plus ciblés ne réduira pas le risque que la loi inaugure une ère dystopique de "surveillance massive" des messages des utilisateurs du Web, selon leur analyse.
La lettre aborde également une proposition du Conseil visant à limiter le risque de faux positifs en définissant une "personne d'intérêt" comme un utilisateur ayant déjà partagé du CSAM ou tenté de préparer une agression sur un enfant - ce qui serait réalisé via une évaluation automatisée, en attendant par exemple un signalement pour du CSAM connu ou deux pour du CSAM inconnu/préparation à l'agression avant que l'utilisateur ne soit officiellement détecté comme suspect et signalé au Centre de l'UE, qui traiterait les rapports de CSAM.
Des milliards d'utilisateurs, des millions de faux positifs
Les experts avertissent que cette approche est toujours susceptible de conduire à un grand nombre de fausses alertes.
"Le nombre de faux positifs dus aux erreurs de détection est très peu probable de diminuer de manière significative sauf si le nombre de répétitions est si grand que la détection cesse d'être efficace. Étant donné la grande quantité de messages envoyés sur ces plates-formes (de l'ordre des milliards), on peut s'attendre à un très grand nombre de fausses alertes (de l'ordre des millions)", écrivent-ils, soulignant que les plates-formes susceptibles de se voir notifier un ordre de détection peuvent avoir des millions, voire des milliards d'utilisateurs, comme WhatsApp, propriété de Meta.
"Étant donné qu'il n'y a eu aucune information publique sur les performances des détecteurs qui pourraient être utilisés en pratique, imaginons que nous aurions un détecteur de CSAM et de préparation à l'agression, comme indiqué dans la proposition, avec un taux de faux positifs de 0,1 % (c'est-à-dire, une fois sur mille, il classifie incorrectement des contenus non-CSAM comme CSAM), bien inférieur à tout détecteur actuellement connu. ", expliquent-ils. "Étant donné que les utilisateurs de WhatsApp envoient 140 milliards de messages par jour, même si seulement 1 message sur cent serait un message testé par de tels détecteurs, il y aurait 1,4 million de faux positifs chaque jour. Pour réduire les faux positifs à des centaines, statistiquement, il faudrait identifier au moins 5 répétitions en utilisant des images ou des détecteurs différents et statistiquement indépendants. Et ceci n'est valable que pour WhatsApp - si nous considérons d'autres plates-formes de messagerie, y compris les e-mails, le nombre de répétitions nécessaires augmenterait considérablement jusqu'au point de ne plus réduire efficacement les capacités de partage de CSAM."
Une autre proposition du Conseil visant à limiter les ordres de détection aux applications de messagerie jugées "à haut risque" est une révision sans valeur, selon les signataires, car ils soutiennent qu'elle affectera probablement "de manière indiscriminée un nombre massif de personnes". Ils soulignent ici que seules des fonctionnalités standard, telles que le partage d'images et le chat texte, sont nécessaires pour l'échange de CSAM - des fonctionnalités largement prises en charge par de nombreux fournisseurs de service, ce qui signifie qu'une catégorisation à haut risque "impactera sans aucun doute de nombreux services".
Ils font également remarquer que l'adoption de l'E2EE est en augmentation, ce qui, selon eux, augmentera la probabilité que les services qui le déploient soient classés à haut risque. "Ce nombre pourrait augmenter davantage avec les exigences d'interopérabilité introduites par la loi sur les marchés numériques qui se traduiront par des messages circulant entre des services à faible risque et à haut risque. En conséquence, presque tous les services pourraient être classés comme à haut risque", argumentent-ils. (NB : L'interopérabilité des messages est un pilier central du DMA de l'UE.)
Une porte dérobée pour la porte dérobée
Concernant la protection du cryptage, la lettre réitère le message que les experts en sécurité et en confidentialité répètent aux législateurs depuis des années maintenant : "La détection dans les services chiffrés de bout en bout nuit par définition à la protection du cryptage."
"La nouvelle proposition a pour objectif de 'protéger la cybersécurité et les données chiffrées, tout en maintenant les services utilisant le chiffrement de bout en bout dans le champ d'application des ordres de détection.' Comme nous l'avons expliqué précédemment, c'est un oxymore," soulignent-ils. "La protection offerte par le chiffrement de bout en bout implique que personne d'autre que le destinataire prévu d'une communication ne devrait être en mesure d'apprendre des informations sur le contenu d'une telle communication. Permettre des capacités de détection, que ce soit pour des données chiffrées ou pour des données avant d'être chiffrées, viole la définition même de la confidentialité fournie par le chiffrement de bout en bout."
Depuis quelques semaines, les chefs de police de toute l'Europe ont rédigé leur propre déclaration commune - exprimant des inquiétudes concernant l'expansion de l'E2EE et appelant les plates-formes à concevoir leurs systèmes de sécurité de manière à pouvoir toujours identifier des activités illégales et envoyer des rapports sur le contenu des messages aux forces de l'ordre.
L'intervention est largement perçue comme une tentative de faire pression sur les législateurs pour qu'ils adoptent des lois comme la réglementation sur la numérisation du CSAM.
Les chefs de la police nient qu'ils appellent à un accès dérobé au chiffrement, mais ils n'ont pas expliqué exactement quelles solutions techniques ils souhaitent que les plates-formes adoptent pour permettre l'accès légal recherché. Arriver à concilier ce cercle met une balle très biscornue dans le camp des législateurs.
Si l'UE continue sur la voie actuelle - donc en supposant que le Conseil ne change pas de cap, comme les députés l'ont exhorté à le faire - les conséquences seront « catastrophiques », préviennent les signataires de la lettre. "Cela crée un précédent pour le filtrage de l'Internet et empêche les gens d'utiliser certains des rares outils disponibles pour protéger leur droit à une vie privée dans l'espace numérique ; cela aura un effet dissuasif, en particulier pour les adolescents qui dépendent fortement des services en ligne pour leurs interactions. Cela changera la manière dont les services numériques sont utilisés dans le monde entier et est susceptible d'avoir des effets négatifs sur les démocraties à travers le monde."
Une source de l'UE proche du Conseil n'a pas été en mesure de fournir de détails sur les discussions actuelles entre les États membres, mais a noté qu'une réunion du groupe de travail aura lieu le 8 mai où la proposition de règlement contre l'abus sexuel sur mineur sera discutée.
\
Le plan de numérisation du CSAM de l'Europe est un point de bascule pour les droits démocratiques, avertissent les experts
。Les chefs de la police européens ciblent l'E2EE dans la dernière demande d'accès légal