Le Parlement européen examine actuellement la « proposition de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (proposition CSA). Certaines discussions ont porté sur le cryptage de bout en bout ainsi que sur l’utilisation de technologies d’analyse côté client. L’Internet Society cherche à contribuer à ce débat, car le recours à l’analyse côté client ne permettrait plus au cryptage de bout en bout d’offrir le même niveau de confiance, ce qui mettrait en danger la sécurité et la vie privée des internautes européens.
Recommandations
L’Internet Society formule les recommandations suivantes sur la base de la proposition de la Commission européenne :
- Que le Comité européen mette en place des garanties pour le cryptage de bout en bout.
- Que le Comité européen interdise l’utilisation de technologies d’analyse pour une surveillance généralisée, y compris l’analyse côté client.
L’analyse côté client met à mal la confiance offerte par le cryptage de bout en bout
Une idée fausse très répandue est que l’on peut disposer d’un cryptage de bout en bout (E2EE) robuste tout en recourant simultanément à une analyse côté client. Cette théorie erronée repose sur l’idée que l’analyse a lieu avant le début du processus de cryptage. Même si cela est vrai d’un point de vue formel, la réalité est que l’analyse rend inutile le cryptage, crée de nouveaux risques de sécurité et met en danger la vie privée des Européens.
Si nous sommes tous d’accord sur le fait que le cryptage est une technologie qui nous protège, nous devons comprendre que l’analyse côté client invalide son objectif.
Qu’est-ce que l’analyse côté client ?
L’analyse côté client ou CSS (de l’anglais Client-Side Scanning) est un terme générique qui désigne les systèmes qui analysent les données du message (ex. : texte, images, vidéos, fichiers) afin de rechercher des correspondances ou des similitudes avec une base de données de contenus répréhensibles avant l’envoi du message à son destinataire.
Quels sont les risques liés à l’analyse côté client ?
Les principaux fournisseurs de plateformes mettent de plus en plus souvent en œuvre un cryptage de bout en bout pour leurs utilisateurs afin d’améliorer la sécurité, la confidentialité et la confiance. En même temps, les forces de l’ordre cherchent de plus en plus souvent à accéder au contenu des messages pour empêcher le partage de contenus répréhensibles.
Les entreprises qui proposent des technologies de CSS les présentent comme étant une solution. Elles prétendent offrir une technologie qui ne brise pas le cryptage, et ne le compromet nullement. Cependant,
Briser le cryptage, revient à trafiquer une enveloppe pendant qu’elle transite par un bureau de poste. L’analyse côté client revient à lire la lettre au fur et à mesure qu’elle est rédigée. Avec l’analyse côté client, l’enveloppe n’est pas trafiquée, mais le résultat est le même : l’accord de confidentialité est enfreint.
En outre, comme l’explique l’avis conjoint de l’EDPB et du CEPD, la CSS « peut être facilement contournée en cryptant le contenu à l’aide d’une application distincte ». Cela signifie que ces techniques ouvrent la porte à une mesure disproportionnée, qui met en danger chaque citoyen, sans apporter de véritable solution au problème.
Le cryptage de bout en bout est un outil essentiel pour assurer la sécurité et la confidentialité des communications. La CSS va à l’encontre de l’objectif du cryptage de bout en bout et enfreint fondamentalement la confidentialité à laquelle les utilisateurs s’attendent lorsqu’ils utilisent des outils de communication à E2EE. Cet abus de confiance :
- Présente un risque sérieux pour les droits fondamentaux, comme indiqué dans l’avis conjoint de l’EDPB et du CEPD.
- Réduit la confiance dans l’écosystème Internet. La perte de confiance est préjudiciable à l’économie numérique et pourrait mettre à mal les ambitions de l’UE pour la décennie numérique.
- Porte atteinte à la sécurité des communications et des services en ligne, comme l’a remarqué la commission mixte de la justice du Parlement irlandais.
Conclusion
Les partisans de l’analyse côté client considèrent cette technologie comme une solution pour identifier les contenus répréhensibles dans les environnements E2EE. Cependant, ce document a expliqué comment la CSS enfreint l’accord de confiance du cryptage de bout en bout et les dangers qu’elle présente. Pour plus d’informations sur le fonctionnement de la CSS et ses défauts inhérents, la fiche d’information de l’Internet Society sur l’analyse côté client peut servir de ressource pour des discussions politiques détaillées. Nos informations sur ce qu’est le cryptage et sur la manière dont il contribue à la sécurité et à la confidentialité peuvent également constituer une ressource précieuse.
