Jeudi, un groupe bipartisan de sénateurs américains a présenté un projet de loi dont le but manifeste est de lutter contre les contenus pédopornographiques en ligne (child sexual abuse material - CSAM) - au détriment du chiffrement.
Le projet de loi s'intitule "Eliminating Abusive and Rampant Neglect of Interactive Technologies Act" (loi sur l'élimination des abus et de la négligence rampante des technologies interactives), qui se désigne avec l'acronyme EARN IT. (Voir également la loi "Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act", alias "USA PATRIOT Act").
Soutenue par les sénateurs Lindsey Graham (R-SC), Richard Blumenthal (D-CT), Josh Hawley (R-MO) et Dianne Feinstein (D-CA), la proposition de loi vise à faire en sorte que les entreprises technologiques "gagnent" leur exemption de responsabilité autorisée par la section 230 de la loi américaine sur la décence en matière de communications en exigeant des entreprises Internet qu'elles suivent un ensemble de bonnes pratiques pour maintenir les contenus pédopornographiques hors de leurs réseaux.
Pour les non-initiés, l'article 230 offre aux plateformes internet des protections juridiques générales : en termes simples, les sites internet ne peuvent être tenus pour responsables des mauvaises choses partagées par les utilisateurs, plus ou moins quelques réserves mineures. Selon les détracteurs, les règles actuelles sont trop larges et laissent les géants de la technologie s'en tirer trop facilement.
"Les entreprises qui ne respectent pas les normes de base qui protègent les enfants contre l'exploitation ont trahi la confiance du public qui leur est accordée par cette exemption spéciale", a déclaré M. Blumenthal dans un communiqué. "L'immunité quasi totale des plateformes en ligne contre toute responsabilité légale est un privilège - elles doivent le mériter - et c'est ce que notre projet de loi bipartite exige".
Les bonnes pratiques envisagées par le législateur doivent encore être précisées ; elles doivent être déterminées par une commission gouvernementale de 19 membres qui comprend 4 experts non gouvernementaux ou "survivants de l'exploitation sexuelle des enfants en ligne". Les contributions de ces quatre experts peuvent toutefois être ignorées, car de meilleures pratiques ne nécessitent l'approbation que de 14 commissaires. Ensuite, le procureur général des États-Unis (AG -Attorney General), qui fait partie de la commission, peut accepter les lignes directrices, si les responsables de la FTC et du DHS sont d'accord, ou les renvoyer pour qu'elles soient reformulées.
Et c'est là où réside le problème : compte tenu des efforts constants du gouvernement américain pour diaboliser le chiffrement en laissant les forces de l'ordre dans l'ignorance et de l'opposition publique de l'AG William Barr au chiffrement, les experts techniques s'attendent à ce que les directives obligent les plateformes technologiques à éviter le chiffrement qu'elles ne peuvent pas annuler à la demande afin de vérifier la présence de contenus pédopornographiques en ligne.
"Parce que l'AG dénigre continuellement les messages chiffrés de bout en bout pour dissimuler les échanges de contenus pédopornographiques en ligne des pédophiles et la manipulation psychologique des enfants victimes, ce code signifie que "le chiffrement n'est pas une alternative viable à de meilleures pratiques", a expliqué Riana Pfefferkorn, directrice associée de la surveillance et de la cybersécurité au Stanford Center for Internet and Society, dans un article de blog. Cela sera utilisé pour décourager toute "conception de produit" incluant un chiffrement qui ne dispose pas de backdoors pour les forces de l'ordre".
Matthew Green, professeur associé d'informatique à l'université Johns Hopkins, a présenté une analyse similaire dans un article de blog vendredi.
Le nouveau projet de loi rendrait financièrement impossible pour des fournisseurs comme WhatsApp et Apple d'exploiter des services à moins qu'ils n'adoptent de "bonnes pratiques" pour examiner leurs systèmes à la recherche de contenus pédopornographiques en ligne", a-t-il écrit.
"Comme il n'existe pas de " bonnes pratiques " et que les techniques pour y parvenir tout en préservant la vie privée sont totalement inconnues, le projet de loi crée un comité nommé par le gouvernement qui indiquera aux fournisseurs de technologie quelle technologie ils doivent utiliser".
En effet, la position avancée par les auteurs du projet de loi est que, parce que les contenus pédopornographiques en ligne sont mauvaise, tous les contenus et communications Internet doivent être soumis à un examen minutieux sur demande. C'est un point de vue qui ne laisse pas beaucoup de place au chiffrement.
"Il est extrêmement difficile de croire que ce projet de loi découle d'une considération honnête des droits des enfants victimes, et que cette législation est autre chose qu'une attaque directe contre l'utilisation du chiffrement de bout en bout", conclut M. Green.
D'autres groupes de défense comme l'ACLU, le Center for Democracy and Technology et Free Press, entre autres, ont publié des déclarations similaires en opposition au projet de loi.
Le sénateur américain Ron Wyden (D-OR) a qualifié jeudi le projet de loi de désastre, suggérant qu'il s'agit d'une tentative cynique d'utiliser les préoccupations concernant les enfants pour contrôler les discussions en ligne et nuire à la sécurité sur Internet.
"Cette terrible loi est un cheval de Troie pour donner au procureur général Barr et à Donald Trump le pouvoir de contrôler les discours en ligne et d'exiger que le gouvernement ait accès à tous les aspects de la vie des Américains", a déclaré Wuden.
"C'est une tentative désespérée de détourner l'attention de l'échec du ministère de la Justice à demander des moyens humaines, le financement et les ressources nécessaires pour combattre ce fléau, malgré une orientation claire du Congrès il y a plus de dix ans".
La loi EARN IT est arrivée lorsque AG Barr a annoncé que d'autres membres de l'alliance Five Eyes intelligence - Australie, Canada, Nouvelle-Zélande et Royaume-Uni - ont convenu d'un ensemble de principes pour guider les sociétés Internet dans leurs efforts pour combattre les contenus pédopornographiques en ligne. Les représentants de six entreprises en ligne - Facebook, Google, Microsoft, Roblox, Snap et Twitter - étaient présents pour soutenir l'initiative.
Pfefferkorn soutient qu'un large consensus sur la nécessité de décourager les contenus pédopornographiques en ligne ne devraient pas abolir le droit à la vie privée et à la sécurité.
"Bien que ce soit certainement un objectif nécessaire, urgent et souhaitable pour combattre le fléau de l'exploitation des enfants en ligne, il y a encore des limites à ce que les entreprises technologiques devraient faire", a déclaré M. Pfefferkorn. "S'engager dans la lutte contre les contenus pédopornographiques en ligne ne devraient pas signifier qu'elles doivent convertir leurs services en outils de surveillance encore plus puissants qu'ils ne le sont déjà pour les forces de l'ordre".
source :
https://www.theregister.co.uk/2020/03/06/earn_it_bill_encryption/