Le client-side scanning (CSS ou analyse côté client en français) est, si l’on s’en réfère à la définition :
« Un terme générique faisant référence aux systèmes qui analysent les données du message (ex. : texte, images, vidéos, tous types de fichiers) afin de rechercher des correspondances ou des similitudes avec une base de données de contenu répréhensible avant l’envoi du message à son destinataire. Par exemple, votre logiciel antivirus peut y avoir recours pour trouver et désactiver des logiciels malveillants avant qu’ils ne nuisent à votre ordinateur. »
L’idée de scanner les fichiers du côté du client pour détecter les menaces existe depuis les débuts de l’informatique. Cela a toujours soulevé des questionnements relatifs à la confidentialité et la fiabilité des communications , et a pris de l’importance avec la popularisation d’Internet et l’augmentation des menaces en ligne.
Pédopornographie et client-side scanning « No limit » : un texte européen fait polémique
L’Europe se propose désormais d’aller encore plus loin dans l’usage du client-side scanning, qui, jusqu’ici, se voyait imposer certaines limites.
La technologie se voyait en effet interdite d’être utilisée pour scruter des correspondances privées par des tiers – quels qu’ils soient – fut-ce les prestataires eux-mêmes ! Ces dernières étant, jusqu’à ce jour, protégées de toute intrusion par le chiffrement de bout en bout (End-to-end encryption ou E2EE ). Pour « mieux » lutter contre la pédopornographie, c’est ce « rempart » (E2EE) qui est remis en cause par le texte en approche.
Là commence la polémique, et pour cause.
Ce projet de texte dédié à la protection de l’enfance sur internet a été porté par Ylva Johansson qui déclarait en 2021 : « Les défenseurs de la vie privée parlent très fort. Mais il faut aussi que quelqu’un parle pour les enfants. »
Ce texte, qui se donne pour ambition de proposer de nouvelles règles pour protéger les enfants, mettrait à mal les correspondances privées. Il a immédiatement inquiété les géants du secteur concerné… Notons qu’il devrait également inquiéter tous les usagers européens.
De prime abord, l’intention est louable, la cause est juste, pour autant, la fin justifie-t-elle les moyens suggérés ? Rien n’est moins sûr !
Vers la fin des correspondances privées ?
En souhaitant s’arroger le droit d’accéder aux communications privées des usagers, en prévoyant d’obliger les grandes plateformes à utiliser le client-side scanning pour scanner l’ensemble des données de ces derniers, c’est une violation inédite de la vie privée qui est en jeu.
Comme le rappellent « les décodeurs » :
« Cela est impossible sans affaiblir le chiffrement de bout en bout , une technologie qui protège les communications privées, empêchant même les plateformes d’y accéder ».
Que dire, dès lors, de cette fausse bonne idée qui pourrait être à la démocratie ce que le Roundup est au chiendent : pas vraiment fertile, et pour le moins dangereuse et périlleuse, si elle n’était pas, de surcroît, contre-intuitive.
À ceci plusieurs raisons.
La première, c’est que cela implique une surveillance de masse de conversations privées…
La seconde, la mise en place de ce scan augmenté pourrait faire exploser le nombre de faux positifs, annihilant l’efficacité attendue d’une telle approche : Par exemple, des enseignants parlant de l’éducation sexuelle des enfants pourraient être suspectés, tout comme des parents envoyant des photos de leurs petits-enfants nus dans une piscine à leurs grands-parents… et la liste de malentendus potentiels est pour le moins longue. À ce jour, les algorithmes de détection peuvent parfois confondre des images innocentes avec des images explicites en raison de similitudes visuelles, ils peuvent se révéler incapables de comprendre le contexte dans lequel une image est partagée. Les organismes de lutte contre la pédopornographie, leurs salariés, leurs bénévoles pourraient eux-mêmes se retrouver « piégés ». Les algorithmes peuvent également mal interpréter un texte associé à une image, entraînant une mauvaise classification du contenu. Des œuvres artistiques ou créatives impliquant des nus peuvent être confondues avec de la pornographie/pédopornographie (rappelez-vous L’Origine du monde). Des personnes opposées à cette législation pourraient exploiter les systèmes de CSS en envoyant délibérément des fichiers modifiés pour déclencher de faux positifs, dans le but de perturber le processus de détection et le rendre totalement inopérant…
Autant de situations qui, in fine, noieraient les véritables délinquants dans une masse de faux positifs.
En troisième lieu, le dévoiement de ce client-side scanning pourrait amener des États démocratiques qui dérivent à en faire de tout autres usages, notamment d’un point de vue politique, en ciblant par exemple des personnalités, des opposants, des journalistes, etc.
Au regard de ces quelques remarques, il est appréciable que certains arguments, dont certains, que j’ai, comme d’autres, avancés, aient retenu l’attention de quelques législateurs qui se sont mis à douter de la pertinence du projet de la proposition initiée et portée par Ylva Johansson (cf. Pédopornographie en ligne : bataille d’influence autour d’un texte européen controversé ).
Cette dernière déclarait en 2021 :
« Les défenseurs de la vie privée parlent très fort. Mais il faut aussi que quelqu’un parle pour les enfants ».
Ce serait une très belle formule si elle n’était pas naïve.
Les défenseurs de la vie privée n’ont pas besoin d’élever la voix pour parler juste, et expliciter que « parler pour les enfants » ne légitime pas la mise en place de mesures disproportionnées et potentiellement inefficaces.
Ces mesures signeraient l’avènement d’une surveillance de masse inédite des citoyens européens, sans pour autant répondre aux objectifs attendus.
Il faut sauver le droit au secret de nos correspondances !
L’intention – bis repetita placent – peut apparaître louable et convaincra une partie de l’opinion publique, qui clame régulièrement « qu’elle n’a strictement rien à cacher » lorsque de nouveaux reculs de nos droits les plus inaliénables sont attaqués.
Mais il faut convaincre ceux qui en doutent encore que ce n’est pas parce que l’on n’a rien à se reprocher que la liberté d’expression et le droit à la vie privée ne doivent pas être protégés !
Alors, il faut l’affirmer, encore et toujours, à ceux qui ne veulent pas entendre : le droit à la vie privée est un droit pilier de notre fonctionnement démocratique, et dans ce droit figure le droit au secret de nos correspondances, il n’est pas négociable !
En matière de technologies, les choses sont souvent plus complexes que ce qui est exposé au grand public, alors il faut alerter, dès lors que l’on dérive au-delà du raisonnable.
Aussi, les législateurs seraient bien avisés de ne pas voter une loi qui présente autant de failles.
Pour conclure : ce qui fonctionne et ce qui ne fonctionne pas
Pour être efficace contre les criminels ciblés, mettre l’ensemble de la population sous surveillance de ses échanges privés est une aberration démocratique et naturellement un véritable danger.
Il serait plus judicieux d’identifier et de faire tomber des réseaux, et non pas quelques individus qui tomberaient – avec ce texte – éventuellement dans les mailles d’un filet hautement improbable !
Lorsque l’Allemagne s’attaque au problème, les résultats sont là : en 2019, elle a fait tomber l’un des plus grands réseaux de pédopornographie au monde, « boystorm » , qui comptait plus de 400 000 membres. Je n’ai pas souvenir qu’elle ait eu besoin d’ausculter en permanence les correspondances privées de citoyens européens pour faire tomber ce réseau de dimension internationale.
Le mal se combat parfois par le mal, quitte à ce que les enquêteurs se fassent passer pour des pédophiles pour infiltrer les forums dédiés. C’est ce que fait – entre autres – la centrale chargée des cybercrimes de Rhénanie-du-Nord-Westphalie qui est dotée « d’une brigade spéciale uniquement chargée d’identifier les auteurs d’abus sexuels ».
Alors, chers législateurs, ne serait-il pas de l’ordre de la raison que de recourir aux méthodes efficaces et qui ont fait leurs preuves ? D’envisager un renforcement des moyens humains, le déploiement de brigades dédiées (dans l’idéal interconnectées), à l’instar de ce qu’a fait la Rhénanie-du-Nord-Westphalie ?
Ne serait-il pas dans notre intérêt collectif de laisser des pratiques dignes des gouvernements totalitaires ou autoritaires à ces derniers ?
« Le simplisme est le plus court chemin pour se débarrasser du complexe ! » Tonvoisin’