IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

USA : les amendements au projet de loi EARN IT donnent aux États le pouvoir de restreindre le chiffrement
Des défenseurs des droits numériques appellent les Sénateurs à le supprimer

Le , par Stéphane le calme
97 commentaires

71PARTAGES

5  0 
Le comité judiciaire du Sénat a adopté une version modifiée du projet de loi EARN IT. Cette version du projet de loi controversé va maintenant être débattue au sein du Sénat tout entier. Bien que les amendements incluent des changements substantiels, des groupes comme l'ACLU et Free Press Action sont toujours préoccupés par les ramifications que le projet de loi pourrait avoir pour la liberté d'expression et les groupes marginalisés.

En apparence, le projet de loi EARN IT vise à protéger contre la maltraitance des enfants. Mais dans sa forme initiale, le projet de loi menaçait également le chiffrement de bout en bout. La version modifiée du projet de loi EARN IT garantit que les entreprises ne seront pas davantage tenues responsables de la création d'outils de cybersécurité tels que le chiffrement, mais le débat sur le chiffrement n'est pas terminé. Au lieu de cela, les législateurs l’ont déjà déplacé dans le domaine d’un accès légal aux données chiffrées, qui obligerait les entreprises à créer des portes dérobées sur leurs produits pour permettre au gouvernement d’y avoir accès. En théorie, cela pourrait empêcher les criminels et les trafiquants de drogue de communiquer secrètement, mais cela pourrait également menacer les droits fondamentaux à la vie privée.

L'autre préoccupation majeure soulevée par les opposants à la loi EARN IT Act concerne l'article 230 de la Communications Decency Act, qui stipule que les entreprises ne sont pas responsables de la majorité du contenu que les utilisateurs publient. À l'origine, le projet de loi EARN IT proposait d'exiger que les entreprises « méritent » les protections de l'article 230 en suivant les pratiques recommandées décrites par une commission du ministère de la Justice. Sans ces protections, des entreprises comme Twitter ou Facebook pourraient être obligées de retirer tout ce qui pourrait entraîner une contestation judiciaire, ce qui pourrait menacer la liberté d'expression.

Les amendements adoptés privent la commission du ministère de la Justice de toute autorité légale et n'obligeront pas les entreprises à bénéficier de la protection de l'article 230 en suivant les pratiques recommandées. Mais le projet de loi viendrait également apporter des amendements à l'article 230 afin d’autoriser les poursuites des États, et les assemblées législatives des États pourraient restreindre ou interdire les technologies de chiffrement. De plus, cela pourrait conduire à des lois incohérentes qui varient d'un État à l'autre.

« Les auteurs de ce projet de loi veulent évidemment remédier aux véritables préjudices causés par les documents abusifs, mais le projet de loi modifié conduit à une énorme ouverture pour la responsabilité au niveau de l'État », a déclaré Gaurav Laroia, conseiller principal en politique de Free Press Action, dans un communiqué. « Même tel que modifié aujourd'hui, il invite les États à commencer à adopter toutes sortes de lois sous prétexte de protéger contre les abus, mais à reproduire les problèmes qui accompagnaient le texte original du projet de loi EARN IT ».


Des amendements qui ne résolvent pas le problème

L'ACLU, qui affirme que le projet de loi ne fait pas grand-chose pour « aborder de manière significative la question de la maltraitance des enfants », s'oppose également aux nouveaux amendements :

« L'ACLU a toujours soutenu les efforts visant à garantir que ceux qui subissent des abus sexuels, en particulier les enfants, n'aient pas peur de se manifester et que, lorsqu'ils le font, ils soient traités de manière juste et équitable. Bien que les objectifs déclarés de la loi EARN IT de protéger les enfants contre l'exploitation sexuelle des enfants en ligne soient louables, elle ne parvient pas à résoudre de manière significative le problème qu'elle prétend résoudre. Par exemple, le projet de loi ne fait rien du tout pour s'attaquer aux causes profondes de l'exploitation sexuelle des enfants afin d'empêcher que les enfants soient des victimes en premier lieu. Il ne fournit également aucune assistance aux victimes pour qu'elles reçoivent un soutien, des soins et des conseils pour atténuer les préjudices causés par des événements traumatisants ou toute protection contre les éventuelles conséquences négatives en matière d'immigration, criminelles ou autres de dénoncer les crimes contre elles. Le projet de loi ne fera rien pour résoudre ces problèmes fondamentaux, tout en créant une multitude d'autres.

« Plutôt que de protéger les enfants contre les préjudices, la loi EARN IT porterait atteinte à la vie privée et aux droits de parole en ligne de chaque personne dans ce pays. En modifiant une loi fédérale clé qui prend en charge le discours en ligne, elle nuira également de manière disproportionnée à la communauté LGBTQ et à la communauté des travailleuses du sexe de manière similaire à SESTA / FOSTA, une loi qui a modifié la même disposition en 2018. SESTA / FOSTA visait à protéger les personnes engagées dans le travail du sexe de la traite contre leur gré. Cependant, les professionnel (le) s du sexe utilisent des plateformes en ligne pour filtrer les clients potentiellement violents, partager des informations concernant la santé et la sécurité, et autrement communiquer en privé et en toute sécurité. SESTA / FOSTA a éliminé de nombreux espaces utilisés par les professionnel (le) s du sexe pour maintenir la sécurité et protéger leur santé et a renvoyé les professionnel (le) s du sexe dans les rues dans des situations dangereuses. Plutôt que de protéger les personnes contre le trafic illégal, SESTA / FOSTA a mis en danger la santé, la sécurité et le bien-être encore plus loin qu'il ne l'avait été. Le représentant Khanna a présenté un projet de loi que l'ACLU soutient en faveur d'une étude fédérale pour quantifier ce préjudice. De plus, SESTA / FOSTA a également provoqué une censure disproportionnée du discours des personnes LGBTQ en ligne ».

Dans une note adressée aux Sénateurs, l’ACLU a noté que :

« Bien que des changements importants aient été apportés à la version modifiée, ces changements ne dissipent pas les craintes selon lesquelles la loi EARN IT compromettra la vie privée de chaque Américain, étouffera notre capacité à communiquer librement en ligne et nuira aux personnes LGBTQ, aux travailleuses du sexe et aux manifestants »

L'Electronic Frontier Foundation, un défenseur des droits numériques, a fait valoir que cet amendement n'était pas une réponse. Alors que la version précédente du projet de loi suggérait que les plateformes en ligne pourraient conserver leur immunité en vertu de l'article 230 si elles suivent les directives de la commission gouvernementale, la version modifiée ne leur donne pas cette opportunité. « Les propriétaires de sites Web - en particulier ceux qui permettent le chiffrement - ne peuvent pas "gagner" leur immunité de responsabilité pour le contenu des utilisateurs selon le nouveau projet de loi. Ils devront simplement se défendre au tribunal, dès qu'un seul procureur, ou même un simple avocat exerçant en privé, décidera que le fait d'offrir un chiffrement de bout en bout était un signe d'indifférence à l'égard des crimes contre les enfants », a regretté l'EFF.

Sources : amendement pour exclure le chiffrement de la responsabilité des fournisseurs de services informatiques interactifs, ACLU (1, 2)

Une erreur dans cette actualité ? Signalez-nous-la !

97 commentaires
Commenter Signaler un problème
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 04/02/2022 à 18:48
Comment faisait-on avant internet ? A part déranger les utilisateurs dans leur vie privée, je ne vois pas ce que cette nouvelle loi va servir. En cas de soupçon, au lieu d'un espionnage de masse, faire appel à un juge pour mettre sur écoute par dérogation . Les écoutes doivent demeurer une exception. Et enplus, c'est plus discret qu'une loi qui annonce le total droit des communications.

Face à la recrudescence des morts par arme à feu aux Etats-Unis, il y a peut-être plus urgent à écouter. Je suis curieux de savoir combien il y a de meurtrier par rapport aux enfants battus. Pas qu'un enfant battu ne risque pas de mourir sous les coups, mais peut-être valide-t-on par cette loi un état de faits : des écoutes massives illégales.
5  0 
Christian_B
Avatar de Christian_B
Membre éclairé https://www.developpez.com
Le 12/02/2022 à 11:01
Prétexte, prétexte ...
Il me semble que la complexité du chiffrement était déjà limitée légalement aux USA.
Mais ça ne suffit pas à la NSA et autres sénateurs mégalomanes. Ils veulent espionner plus facilement, pour moins cher et accumuler encore plus de données.
De vrais malades mentaux.
Poursquoi ne pas interdire le https pendant qu'ils y sont ?

Tant pis pour la vie privée et même pour le bon fonctionnement de l'économie d'ailleurs, si c'est facile de pirater des données sur internet, ils ne seront pas les seuls à le faire, c'est déjà le cas d'ailleurs quand il n'y a pas une bonne protection, bien fait.
Le prétexte de la maltraitance (ou la pédophilie, ou les Big Tech ou ce qu'on voudra), c'est un peu gros pour espionner tout le monde. Pas nouveau, ça s'adresse aux simples d'esprit (assez nombreux malheureusement).

En réalité la répression des réseaux criminels sur internet se fait en les infiltrant (comme faux "client", etc). Quand aux "Big Tech", c'est un autre problème. Il s'agit de freiner leur domination et leurs pratiques abusives. Pas gagné mais il y a quand même aux E-U une tradition de lutte contre les monopoles. On verra.

Riana Pfefferkorn et d'autres on bien vu le problème.
5  0 
SimonKenoby
Avatar de SimonKenoby
Membre confirmé https://www.developpez.com
Le 22/04/2023 à 19:51
Le problème c'est que le grand publique ne se rend pas compte de ce que ça implique... J'en discutais avec mes parents il y a quelques semaines, en leur expliquant que j'étais contre. Ils ne comprenaient pas trop bien pourquoi c'était un problème, "tant qu'on a rien a se reprocher". Ensuite je leur ai demandé ce qu'ils penseraient si l'était installait dans chaque bureau de poste des agents chargé d'ouvrir et de lire tout le courrier et colis transitant par la, même si on ne faisait rien d'illégal.

Si non, si je suis un criminel et que je veux protéger mes communications, je n'utiliserais pas whatsapp... Ou j'échange mes clé publique avec mes complices via une clé USB, et ensuite je chiffres les messages sur mon ordinateur avant de les envoyer. Leur algo de détection ne pourrons rien faire contre des messages déjà chiffré.
5  0 
lsbkf
Avatar de lsbkf
Membre actif https://www.developpez.com
Le 08/09/2023 à 12:10
Citation Envoyé par ddoumeche Voir le message
La dysphorie de genre est toujours une maladie mentale, quand on écoutes ceux qui en sont atteint et qui prétendent qu'on peut se faire couper la queue le mardi pour devenir une femme, et redevenir un homme la semaine suivant sans doute en se faisant greffer une cote entre les cuisses.
Ces gens là ont l'intelligence d'enfants de 3 ans, ils ont eu un pet au casque au moment de la présexualisation et le mieux qu'on puisse leur proposer est un psychothérapie ou des électrochocs.
C'est incroyable qu'on puisse appeler à la torture sur des gens qui ont fait du mal à personne, se faire upvote, et que la modération s'en touche la nouille. Ce n'est même plus une question de liberté d'expression, la torture des transgenres c'est quelque chose qui arrive encore aujourd'hui en France. Et après on nous dit qu'on en fait des caisses et que c'est les LGBT+ qui sont extrémistes. Comment voulez-vous débattre sereinement dans cet environnement ?
6  1 
alexetgus
Avatar de alexetgus
Membre averti https://www.developpez.com
Le 22/04/2023 à 19:59
Une clé publique, tu peux la donner en direct live sur le web, personne ne pourra rien en faire à part t'écrire. Tant que tu gardes bien au chaud ta clé privée, tu n'as rien à craindre.
PGP a été inventé pour ça. C'est la bête noire des curieux ! Et donc des états...

Pour ce qui est du "j'ai rien à cacher", on me fait toujours le coup.
Mais quand tu dis à la personnes "alors ça ne te dérange pas si je viens te regarder sous la douche, tu n'as rien à cacher", elle devient plus nuancée. "Oui à la surveillance mais..."
4  0 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 23/04/2023 à 9:46
Citation Envoyé par SimonKenoby Voir le message
Le problème c'est que le grand publique ne se rend pas compte de ce que ça implique... J'en discutais avec mes parents il y a quelques semaines, en leur expliquant que j'étais contre. Ils ne comprenaient pas trop bien pourquoi c'était un problème, "tant qu'on a rien a se reprocher"
Le commun des mortels se fout royalement qu'il soit espionné jusque dans ses WC pour une raison très simple: Il ne comprend rien au fonctionnement de ce qu'il utilise!!!

Pour s'en convaincre, il suffit de prendre quelques exemples:

1. L'utilisateur d'un PC Windows qui "protège" ses données en chiffrant les données de son disque dur à l'aide de "BitLockers" dont les clés de déchiffrement sont stockées chez... Microsoft!

2. Ce même utilisateur qui archive ses données privées en clair sur OneDrive, Dropbox ou autres services Cloud

3. Ce gars si heureux de sa télévision dernier cri connectée à internet qui lui évite d'utiliser sa télécommande en répondant à sa voix: Un mot et tu changes de chaîne TV, un autre mot et tu augmentes le son... Est-ce que le gars émerveillé de cette technologie a poussé sa réflexion jusqu'à penser que sa télévision l'écoute en permanence pour détecter ses ordres?
4  0 
el_slapper
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 06/07/2020 à 15:34
Tous les experts en sécurité m'ont dit la même chose :

  1. une porte dérobée, c'est une porte
  2. une porte, pour un hacker, c'est toujours une porte ouverte


Et j'ai tendance à les croire.
3  0 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 06/07/2020 à 16:41
Citation Envoyé par el_slapper Voir le message
Tous les experts en sécurité m'ont dit la même chose :

  1. une porte dérobée, c'est une porte
  2. une porte, pour un hacker, c'est toujours une porte ouverte


Et j'ai tendance à les croire.
Mmmm.... je serais un peu plus nuancé, c'est juste mon esprit de contradiction et de pinaillage.

Le problème des backdoors est qu'elles sont généralement très peu sécurisées, et se reposent sur une sécurité par l'obscurité (très nul), ou donnent accès à bien trop de données si jamais elles étaient exploitées.

Par exemple, un compte backdoor sur Windows n'a pas de raison d'être moins sécurisé que votre e.g. mot de passe. Le problème c'est que si on vole votre mot de passe, on n'a accès qu'à votre compte, alors que si on exploite la backdoor, on a accès à tous les ordinateurs Windows.

Les backdoors deviennent alors très attractives, dont les attaquants, sont bien plus motivés et y mettent bien plus de moyens. Par sûr e.g. que la Chine utilise tous ses super-calculateurs pour trouver mon mot de passe Windows... en revanche, pour trouver une backdoor sur l'ensemble des ordinateurs Windows... c'est tout de suite bien plus intéressant.

Après il existe des technologies de fonctions avec trappes, de dés-anonymisations, qui sont un peu comme des backdoors. Mais quand on le fait, c'est pas des guignols de politiciens qui se penchent dessus. C'est pas une clé globale stockée n'importe où qui donne accès à toutes les données, ni même censée être très utilisée.

Par exemple, un cas d'usage est pour les dossiers médicaux. Seul vous et votre médecin devez pouvoir consulter vos données médicales, donc être chiffrées de sorte à ce que celui vous et votre médecin puissiez y accéder. Le problème est... que se passe-t-il si vous vous retrouvez à l'hôpital inconscient dans un cas urgent ? Votre médecin n'est pas là, et vous êtes inconscient. Il y a alors besoin d'une "backdoor", que certains personnels médicaux pourront utiliser... mais en conservant les traces des accès avec tout un cadre protocolaire et juridique.

Si on reprend la problématique, en soit avoir une backdoor sur nos communications chiffrées, ça peut se faire... il faudrait tout un protocole, avec plusieurs personnes possédant une "partie" de clé personnelle, e.g. un juge, un policier, le FAI, avec un enregistrement des accès, une procédure juridique, et sur un ensemble de données limitées, à la fois temporellement, et cibler une personne précise. C'est compliqué, cela fait intervenir des pans de recherches en crypto, c'est loin d'être trivial.

Pas comme ce qu'ils veulent faire et donner une clé à la NSA pour que ce soit la fête du slip.
3  0 
el_slapper
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 07/07/2020 à 9:20
oui, on est d'accord. J'ai donné le principe de base, tu rentres beaucoup plus dans les détails.

D'ailleurs, ton histoire de dossiers médicaux, je connais bien. On appelle ça le "bris de glace". Et c'est soumis à autorisation et audité de partout, en effet. Pour moi, ce n'est pas une backdoor, c'est un accès autorisé aux données. Avec des procédures bien particulières. Une backdoor, c'est donner les clefs de la base à quelqu'un. Un bris de glace, c'est tamponner administrativement le droit, via l'interface utilisateur, le droit à quelques professionnels de santé d'accéder à un dossier médical unique.

En hospitalier, il est interdit de faire des delete. On met à jour les données. Si elles sont obsolètes, voire fausses, le système rajoute une date de fin de validité. Mais jamais de suppression. C'est interdit. Ca (plus d'autres mécanismes) permet d’auditer tout ce qui c'est passé. Effectivement, si tu donnes les clefs de la base à quelqu'un, le Delete devient possible. Outre le fait que ça corromprait méchamment la base (conçue pour que jamais rien ne soit supprimé), ça donnerait le droit de faire des choses qui sont clairement illégales(et pas par hasard).

Donc je fais la différence entre une backdoor et un bris de glace. La seconde est propre et maîtrisée. Evidemment, ces crétins ivres de leur pouvoir veulent la première - qui est catastrophique à tous les points de vue, sauf quand on veut faire du dégât.
3  0 
el_slapper
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 07/07/2020 à 13:19
Citation Envoyé par Neckara Voir le message
Je ne connaissais pas cette terminologie.

Pour une vraie Backdoor sinon, on a les comptes admins sur les ordinateurs professionnels auxquels les sysadmins ont généralement accès. C'est utile, mais c'est vrai que pour le coup faut leur faire confiance.

Peut-être devraient-ils eux aussi avoir une procédure "bris de glace", pour déverrouiller l'accès à ce compte admin.
C'est une terminologie médicale, je ne sais pas si ça existe ailleurs. Et c'est complètement contrôlé par l'application. Un admin (au sens fonctionnel, souvent un cadre de santé, pas forcément un admin technique) donne à l'utilisateur des droits bris de glace sur un patient, et le docteur/infirmier/pharmacien a soudain accès aux données concernant le patient en question. Un équivalent pourrait être intéressant en effet, mais il nécessite d'abord d'identifier les besoins réels, et de mettre en place une interface et des procédures qui permettent d'agir sur le domaine ou l'urgence l'exige. Ce n'est pas ça qu'ils veulent. Ce qu'ils veulent, c'est les pleins pouvoirs sur les données.
3  0 
Commenter Signaler un problème