Le projet de loi EARN IT pour scanner chaque message en ligne
Je veux parler de l’incompétence pernicieuse de nos élus, et il ne s’agit même pas de la pandémie.
Il s’agit plutôt de l’approche spectaculairement malavisée, contre-productive, coûteuse et autoritaire du cryptage de bout en bout adoptée par les États-Unis, l’Australie, le Canada, le Royaume-Uni et la Nouvelle-Zélande – ce qu’on appelle les “Five Eyes“.
Considérez le programme de verrouillage de la TSA. Il s’agit d’une initiative visant à garantir que tous les verrous de bagages puissent être ouverts au moyen de clés universelles, détenues par la TSA et d’autres agences de sécurité aérienne, afin que tout bagage puisse être fouillé à tout moment. L’objectif cité est de prévenir le terrorisme, ce que nous voulons tous, bien sûr. Malheureusement, les passe-partout de la TSA ont fait l’objet de fuites publiques, de sorte que n’importe qui pourrait en faire des copies. De plus, les agents de la TSA sont nombreux, faillibles et enclins à abuser de leur autorité.
Pourtant, la prévention du terrorisme est une bonne chose que nous souhaitons tous, n’est-ce pas ? Certaines personnes peuvent penser que les serrures de la TSA constituent une intrusion inacceptable dans les libertés individuelles, mais la majorité semble fondamentalement d’accord avec elles. Il s’agit d’un compromis entre la sécurité publique et la vie privée, sur lequel nous nous sommes plus ou moins mis d’accord collectivement.
Supposons cependant que la situation ait été légèrement modifiée. Supposons que quiconque qui le souhaite vraiment puisse, au prix de quelques légers inconvénients, utiliser à la place des bagages invulnérables, une protection contre les clés, des scans et un accès externe de toute nature, le tout gratuitement… et que les compagnies aériennes soient tenues de transporter ces bagages de toute façon. C’est ce qu’on appelle le programme “Les serrures de la TSA, sauf pour les personnes prêtes à prendre une demi-heure de plus pour faire leurs bagages”.
Tout à coup, ce programme semble complètement fou, n’est-ce pas ? Soudain, ce n’est plus du tout un compromis. Il est clair que les personnes ayant quelque chose à cacher, comme les terroristes, les trafiquants de drogue, etc, passeraient immédiatement à l’utilisation des bagages invulnérables, et le reste du mandat de la TSA Lock deviendrait une invasion gratuite de la vie privée.
Soudain, le principal impact du programme serait l’imposition de risques importants et inutiles, tels que des clés maîtresses qui fuient, des agents de la TSA malhonnêtes et l’utilisation abusive par des gouvernements tyranniques, à l’ensemble du public voyageur qui ne subit pas les inconvénients de l’utilisation de bagages invulnérables. Soudain, le programme n’apporte plus aucun avantage. Soudain, c’est un modèle pour les gouvernements malveillants qui font preuve d’excès, de négligence et d’autoritarisme.
Eh bien, “Les serrures de la TSA, sauf pour les personnes prêtes à prendre une demi-heure de plus pour faire leurs bagages” est, je suis consterné de le dire, une métaphore parfaite et exacte de ce que les Five Eyes veulent faire avec un cryptage de bout en bout. Ils veulent une “clé d’or“ – ou un verrou TSA – pour tous les messages envoyés par des systèmes de messagerie tels que WhatsApp, Facebook Messenger, iMessage, etc., malgré le fait que le cryptage inviolable – ou le bagage invulnérable – est depuis longtemps largement disponible, open-source et gratuit pour tous.
Même si vous vouliez remettre ce génie dans la bouteille (et vous ne devriez vraiment pas, car il nous a accordé de nombreux souhaits qui nous protègent tous), il est bien trop tard maintenant. Même si vous vouliez empêcher le transfert de messages à cryptage fort (ce que vous ne devriez vraiment pas faire), vous ne pourriez pas ; il y a trop de façons de les déguiser en d’autres messages, par exemple en les codant en images. Les bagages invulnérables sont une réalité, et ce depuis des décennies.
Et pourtant, les gouvernements continuent d’essayer de légiférer pour les faire disparaître, avec des lois qui ne feront que nuire aux personnes qui utilisent les serrures métaphoriques de la TSA, grâce à des clés qui ont fui, aux fonctionnaires malhonnêtes et aux gouvernements autoritaires partout dans le monde. La dernière tentative en date est la loi EARN IT, présentée jeudi par une coalition bipartite. Voici un résumé de ses plus graves défauts, par Riana Pfefferkorn, directrice associée de la surveillance et de la cybersécurité au Stanford Center for Internet and Society, qui a précédemment décrit le projet de loi comme “comment interdire le cryptage de bout en bout sans l’interdire réellement“.
L’intention citée du projet de loi est de lutter contre le “matériel pédopornographique”, ou CSAM. Ce qui est bien sûr un objectif des plus louables, que nous souhaitons tous. Tout comme l’objectif de prévenir les attaques terroristes dans les avions. Mais comme pour la métaphore des serrures de la TSA, cela poussera simplement des gens horribles à utiliser leur propre cryptage – leur propre bagage invulnérable – tout en donnant aux gouvernements autoritaires, aux personnes dont les clés ont fui et aux agents malhonnêtes l’accès à des billions de messages privés potentiellement sécurisés dans le monde entier. C’est une idée catastrophiquement stupide, élaborée par des gens qui ne comprennent pas ce qu’ils font. Espérons que, tout comme pour la pandémie, il reste assez de temps pour les convaincre de la réalité.
Résumé en vidéo par le youtubeur Lusty :
Lire aussi : France : 500 commissariats seront bientôt équipés d’un outil pour aspirer les données d’un smartphone en 10 minutes
Source : TechCrunch – Traduit par Anguille sous roche
