La loi CSAM pourrait forcer tous les services de messagerie cryptés à utiliser l’analyse côté client de style Apple [U: Delayed]

Mise à jour : Le vote sur le projet de loi devrait maintenant être reporté à l’automne – voir la fin pour plus de détails.

Une nouvelle proposition de loi CSAM au Royaume-Uni pourrait obliger toutes les sociétés de messagerie à utiliser le type d’approche d’analyse côté client qu’Apple prévoyait de lancer pour détecter le matériel d’abus sexuel d’enfants (CSAM) sur les iPhones.

Un amendement au projet de loi sur la sécurité en ligne a été proposé qui obligerait les entreprises technologiques à identifier et à supprimer le CSAM, même dans les messages privés cryptés de bout en bout…

Le projet de loi sur la sécurité en ligne

Le projet de loi sur la sécurité en ligne (OSB) est en quelque sorte un méli-mélo de mesures destinées à lutter contre le contenu « nuisible » généré par les utilisateurs, c’est-à-dire tout service permettant aux utilisateurs de publier du contenu textuel ou de télécharger des médias. Il a bien sûr été vendu comme ciblant les matériels terroristes et le CSAM.

Le projet de loi introduit de nouvelles règles pour les entreprises qui hébergent du contenu généré par les utilisateurs, c’est-à-dire celles qui permettent aux utilisateurs de publier leur propre contenu en ligne ou d’interagir entre eux, et pour les moteurs de recherche, qui auront des obligations sur mesure visant à minimiser la présentation de résultats de recherche préjudiciables aux utilisateurs.

Les plateformes qui ne protègent pas les personnes devront répondre au régulateur et pourraient faire face à des amendes pouvant aller jusqu’à 10 % de leurs revenus ou, dans les cas les plus graves, être bloquées.

Toutes les plateformes concernées devront s’attaquer et supprimer le matériel illégal en ligne, en particulier le matériel lié au terrorisme et à l’exploitation et aux abus sexuels d’enfants.

Les plateformes susceptibles d’être consultées par des enfants auront également le devoir de protéger les jeunes qui utilisent leurs services contre les contenus légaux mais préjudiciables tels que les contenus d’automutilation ou les troubles de l’alimentation. De plus, les fournisseurs qui publient ou placent du contenu pornographique sur leurs services seront tenus d’empêcher les enfants d’accéder à ce contenu.

Les plateformes les plus importantes et les plus à risque devront traiter des catégories nommées de matériel légal mais préjudiciable auquel les adultes ont accès, susceptibles d’inclure des problèmes tels que l’abus, le harcèlement ou l’exposition à du contenu encourageant l’automutilation ou les troubles de l’alimentation. Ils devront indiquer clairement dans leurs termes et conditions ce qui est et n’est pas acceptable sur leur site, et le faire respecter.

Toute une série de changements ont été apportés depuis, élargissant à la fois le champ d’application et les pouvoirs de la loi. L’un des changements les plus effrayants est que le gouvernement pourrait – après l’adoption de la loi – modifier la définition de contenu « préjudiciable ».

Proposition de loi CSAM

Le gardien rapporte qu’un nouvel amendement a été proposé, qui créerait une obligation de détecter le CSAM même dans les messages cryptés de bout en bout. (Remarque : au Royaume-Uni, le terme CSAE est utilisé à la place de CSAM – contenu d’abus et d’exploitation sexuels d’enfants.)

Les services de messagerie fortement cryptés tels que WhatsApp pourraient être tenus d’adopter une technologie de pointe pour repérer le matériel d’abus sexuels sur des enfants ou faire face à la menace d’amendes importantes, en vertu des nouvelles modifications apportées à la législation britannique sur la sécurité numérique.

L’amendement au projet de loi sur la sécurité en ligne obligerait les entreprises technologiques à faire de leur mieux pour déployer une nouvelle technologie qui identifie et supprime les contenus d’abus et d’exploitation sexuels d’enfants (CSAE).

Cela survient alors que les applications Facebook Messenger et Instagram de Mark Zuckerberg se préparent à introduire le cryptage de bout en bout, au milieu d’une forte opposition du gouvernement britannique, qui a qualifié les plans de « non acceptables ».

Priti Patel, critique de longue date des projets de Zuckerberg, a déclaré que la modification de la loi équilibrait la nécessité de protéger les enfants tout en garantissant la confidentialité des utilisateurs en ligne.

Plus précisément, le changement empêcherait les entreprises de messagerie de simplement hausser les épaules et de dire qu’elles n’ont aucun moyen de voir le contenu des messages chiffrés E2E, et créerait une obligation pour elles de développer de nouvelles façons de le faire.

Le seul* moyen technique d’y parvenir serait d’effectuer une analyse côté client, soit avant le chiffrement sur l’appareil de l’expéditeur, soit après le déchiffrement sur l’appareil du destinataire. C’était, bien sûr, l’approche qu’Apple prévoyait d’adopter lorsqu’elle a annoncé son intention de numériser des photos CSAM. (*Une autre approche qui a été suggérée est la soi-disant « proposition fantôme », mais je dirais que cela enfreint la définition de la messagerie cryptée E2E.)

Apple a été contraint de suspendre ses plans après que des inquiétudes ont été exprimées quant à la possibilité que les gouvernements abusent de la technologie. Vous pouvez lire un résumé de la controverse ici, et une solution potentielle ici.

Le point de vue de Netcost-security.fr sur le projet de loi CSAM

Le gouvernement britannique actuel – et plus particulièrement son ministre de l’Intérieur Priti Patel – a la forme pour essayer de bloquer l’utilisation du cryptage de bout en bout. En effet, comme Le gardien noté, tout le problème a explosé lorsque Meta a annoncé son intention d’adopter le cryptage E2E pour Facebook Messenger et Instagram (WhatsApp utilise déjà le cryptage E2E).

Compte tenu de l’analphabétisme technique du gouvernement, l’argent intelligent serait sur cet amendement n’étant qu’une autre tentative de rendre illégale la messagerie cryptée E2E, sans même se rendre compte que la numérisation côté client est une autre option.

Quoi qu’il en soit, cela ramènera l’analyse CSAM côté client sous les projecteurs et exercera une pression renouvelée sur Apple pour qu’elle clarifie sa propre position. Le fabricant d’iPhone n’a jusqu’à présent rien dit depuis qu’il a promis de proposer d’autres améliorations de la confidentialité, espérant apparemment qu’il pourrait simplement garder la tête baissée et attendre que l’agitation disparaisse. Cet amendement, s’il était adopté, rendrait impossible le maintien de son silence.

Mise à jour : le projet de loi devrait être reporté à l’automne

politique rapporte que le vote sur le projet de loi – initialement prévu pour la semaine prochaine – devrait être reporté à l’automne, comme l’un des effets de la démission forcée du Premier ministre Boris Johnson.

Les progrès sur la nouvelle proposition de loi britannique sur la réglementation du contenu devraient être retardés jusqu’à l’automne, au milieu des retombées de la démission de Boris Johnson en tant que chef du Parti conservateur.

Le projet de loi sur la sécurité en ligne, que les ministres espéraient faire adopter à la Chambre des communes avant que les députés ne partent en vacances d’été le 21 juillet, devrait être retiré du calendrier parlementaire la semaine prochaine, selon un ministère du numérique, de la culture, des médias et Officiel sportif […]

Si le projet de loi est abandonné, cela indique qu’il ne sera pas attribué de temps parlementaire avant que Johnson ne quitte Downing Street le 6 septembre, le lendemain du retour du Parlement britannique.

Nous le saurons avec certitude plus tard dans la journée, lorsque le calendrier parlementaire de la semaine prochaine sera officiellement annoncé.

---

Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :