Risques de l'analyse côté client: un espion dans notre poche
Le chiffrement apporte une solution aux risques liés à la sécurité, mais il peut entraver les enquêtes de police. Une nouvelle technologie appelée «analyse côté client» (CSS, Client-Side Scanning) permettrait de révéler du contenu ciblé par une analyse de l’appareil, sans affaiblir le chiffrement ni fournir de clés de déchiffrement. Cependant, un groupe international d’experts dont l'EPFL fait partie vient de publier un rapport qui tire la sonnette d’alarme, en arguant le fait que la CSS n’empêche pas la criminalité ni une surveillance injustifiée.
Le chiffrement de bout en bout protège vos données en transit, à chaque extrémité. Bien que la CSS n’interfère pas avec ce chiffrement, elle analyse votre contenu avant sa transmission, directement sur votre appareil. Dit ainsi, les forces de l’ordre limiteraient les recherches au contenu ciblé, c’est-à-dire au contenu qui est clairement illégal. Si un tel contenu se trouvait sur un appareil, son existence et potentiellement sa source seraient détectées, ce qui permettrait de prévenir la criminalité tout en laissant passer librement les communications privées légales.
Selon ses partisans, la CSS devrait être installée sur tous les appareils, et pas seulement en cas de soupçons avérés d’utilisation criminelle des communications, en affirmant que cela est nécessaire pour assurer des contrôles efficaces et ne porte pas atteinte aux droits des utilisateurs. «Il existe une fausse impression de sécurité parce que le chiffrement de bout en bout est encore utilisé», explique Carmela Troncoso de l’EPFL, qui fait partie des auteurs du rapport. «En fait, avec le déploiement universel, le chiffrement de bout en bout ne sert à rien car le contenu de votre appareil a déjà été analysé.»
Si les partisans de la CSS affirment qu’elle permet aux utilisateurs de contrôler leurs propres appareils, elle n’en est pas plus sûre pour autant. «Les appareils que nous utilisons chaque jour ont des vulnérabilités qui peuvent être exploitées», explique Carmela Troncoso, professeure assistante en sécurité et confidentialité des données. «Il serait difficile de garantir que seules les autorités procèdent à l’analyse et uniquement selon des modalités convenues. Il serait également difficile de s’assurer que seul le contenu ciblé est analysé. Par ailleurs, contrairement à d’autres méthodes de surveillance, une fois la CSS en place, elle ne se limite pas nécessairement aux communications. Elle peut être étendue à tout contenu présent sur le smartphone, que vous ayez l’intention de le partager ou non.»
Si la CSS était déployée de manière universelle, sans tenir compte des vulnérabilités des appareils des utilisateurs, le résultat serait une «expérience sociétale extrêmement dangereuse». Nombreux sont ceux qui s’engouffreraient rapidement dans cette brèche, comme cela a été démontré, par exemple, avec la cyberingérence lors d’élections.
Combattre la criminalité est d’une importance capitale. La CSS n’est tout simplement pas la bonne méthode pour y parvenir.
Parmi les risques de la CSS, les abus potentiels par des parties autorisées, les abus par des parties non autorisées et les attaques par des personnes proches de l’utilisateur, comme un ex-partenaire autoritaire ou un enfant harceleur à l’école. Les risques pour la vie privée commencent avec la capacité du système à aller au-delà des communications, en révélant le contenu d’autres appareils, de manière délibérée ou fortuite. Et avec la CSS, ces risques ne font que s’accentuer. La définition de la notion «contenu ciblé» est en cause. Le contenu relatif à l’abus sexuel d’enfants, clairement considéré comme un crime, est évidemment le premier élément de la liste. Vous pouvez ajouter à cette liste le terrorisme et le crime organisé, comme l’a fait l’UE. Des définitions divergentes et des zones d’ombre s’ensuivent rapidement.
Parallèlement aux problèmes de confidentialité des données et de sécurité soulevés par les auteurs, on constate que la CSS n’est pas efficace pour combattre la criminalité. Les algorithmes de correspondance n’étant pas exacts, les fausses correspondances peuvent créer des problèmes. Plusieurs types de fraude délibérée sont également possibles: ceux qui le souhaitent peuvent masquer le contenu ciblé de manière à déjouer l’efficacité de la correspondance basée sur l’apprentissage machine, ou encombrer le système de faux positifs de sorte que les détections sont inutiles.
Certains fournisseurs de services réfléchissent à des solutions pour fournir des capacités CSS tout en assurant une certaine confidentialité des données aux utilisateurs. Mais à ce jour, la protection de leurs propositions est illusoire, concluent les auteurs.
Les auteurs du rapport identifient également de nombreux obstacles pratiques au déploiement: préoccupations en matière d’équité et de discrimination, obstacles techniques et bureaucratiques, questions de politique générale, problèmes de juridiction et incompatibilité fondamentale entre secret et responsabilité. En examinant l’architecture de la CSS, les auteurs concluent qu’il serait impossible de déployer la CSS en toute sécurité.
«L’équilibre des pouvoirs qui limite le champ d’application des méthodes de surveillance précédentes dans les démocraties n’existe tout simplement pas avec le déploiement à grande échelle de la CSS. En tant que citoyens honnêtes, nous devrions être libres d’utiliser nos appareils pour nous simplifier la vie, sans craindre d’être mis sur écoute comme le méchant dans un film d’espionnage», déclare Carmela Troncoso. «C’est la liberté d’expression, c’est au cœur de ce que nous considérons comme la démocratie. Oui, combattre la criminalité est d’une importance capitale. La CSS n’est tout simplement pas la bonne méthode pour y parvenir.»