France : l'Assemblée nationale adopte le projet de loi pour la sécurisation de l"espace numérique (SREN)

Qui prépare une surveillance généralisée sur un modèle similaire en étude au niveau de l'UE

Fraude en ligne : la France se prépare à imposer aux développeurs de navigateurs de bloquer des sites sur liste noire,
Mozilla craint que cette mesure ne nuise gravement à l'internet ouvert mondial

L’article 6 du projet de loi SREN, qui vise à lutter contre la fraude en ligne, prévoit d’imposer aux développeurs de navigateurs web de bloquer les sites web figurant sur une liste noire fournie par le gouvernement. Cette mesure, qui pourrait entrer en vigueur en 2023, suscite de vives critiques de la part des défenseurs d’un internet libre et ouvert, qui y voient une atteinte à la neutralité du net, à la liberté d’expression et à la sécurité des utilisateurs.

L'enfer est pavé de bonnes intentions

Les gouvernements ont la responsabilité de protéger leurs citoyens. Au nom de cette responsabilité, ils estiment parfois devoir fouiller dans la vie privée de leurs concitoyens, brandissant des jokers comme la sécurité nationale, la protection des enfants et autres motifs qui suscitent de vives émotions.

Le problème qui se profile est qu'une fois que les « mesures de protection » sont mises en place, même avec les meilleures intentions du monde, elles sont généralement vulnérables à la dérive de la mission.

Parlons par exemple du système de blocage de contenu Cleanfeed mis en œuvre au Royaume-Uni par BT, le plus grand fournisseur Internet de Grande-Bretagne, le premier à bloquer la liste de contenu d'images d'abus d'enfants de l'Internet Watch Foundation. Il a été créé en 2003 et mis en ligne en juin 2004.

Développé à un coût estimé à 500 000 £, le but déclaré était d'empêcher l'accès au matériel pédopornographique. Pour la plupart des gens dans la société, cela était considéré comme une décision positive, mais quelques années plus tard, l'existence même de Cleanfeed était considérée comme une opportunité.

Dans un effort pour supprimer l'indexeur Usenet Newzbin, les studios hollywoodiens ont demandé et obtenu une injonction qui obligeait BT à utiliser Cleanfeed pour bloquer le site, les studios admettant que la société était ciblée parce qu'elle disposait des outils nécessaires pour mettre en œuvre le blocage.

La situation était donc loin de correspondre à sa mission première relative à la protection de l'enfance : la technologie mise sur place dans cette optique a été détournée de son objectif. Ainsi, rien qu'en juin 2023, plus de 850 nouvelles entrées sont apparues sur les listes de blocage des FAI britanniques.

Le gouvernement français dit vouloir protéger sa population

La volonté du gouvernement français d'empêcher les enfants d'accéder à du contenu pornographique en ligne est bien documentée. Peu de gens contestent que les sites largement disponibles et librement accessibles ne conviennent pas aux mineurs, mais dans un monde où la responsabilité parentale est considérée comme démodée, pour ne pas dire inefficace, la France estime que la législation est le seul moyen de protéger les enfants du pays.

Parallèlement, le gouvernement est sur le point d'adopter une nouvelle loi visant à protéger les adultes des dangers de la fraude en ligne. Compte tenu de l'ampleur du problème et de l'absence de réponse des forces de l'ordre à l'échelle mondiale, qu'est-ce qui pourrait mal se passer ? Selon Mozilla, la structure derrière le navigateur Firefox, presque rien - si c'est fait correctement, du moins.


Quels sont les risques d’un blocage des sites web via le navigateur ?

Le blocage des sites web via le navigateur est une mesure technique qui consiste à empêcher l’accès à certains contenus en fonction de leur adresse URL. Contrairement au filtrage par les fournisseurs d’accès à internet (FAI), qui peut être contourné par l’utilisation d’un VPN ou d’un proxy, le blocage par le navigateur rend impossible la consultation des sites web interdits, sauf à changer de navigateur ou à modifier son fichier hosts.

Cette mesure présente plusieurs risques pour l’internet ouvert mondial :

• Elle remet en cause le principe de neutralité du net, qui garantit que tous les contenus sont traités de manière égale sur internet, sans discrimination ni interférence. En imposant aux navigateurs de bloquer certains sites web, le gouvernement français se donne le pouvoir de décider quels contenus sont légitimes ou non, sans passer par une autorité judiciaire indépendante ni respecter le droit à un recours effectif.
• Elle porte atteinte à la liberté d’expression et au droit à l’information des utilisateurs, qui se voient privés de l’accès à des sources diverses et potentiellement critiques. Le blocage des sites web via le navigateur pourrait avoir un effet dissuasif sur les éditeurs de contenus, qui pourraient s’autocensurer par peur de figurer sur la liste noire du gouvernement. Il pourrait aussi entraîner des erreurs ou des abus, comme le blocage de sites web légitimes par erreur ou pour des raisons politiques.
• Elle compromet la sécurité et la confidentialité des utilisateurs, qui sont exposés à des risques accrus de piratage, de surveillance ou de censure. Le blocage des sites web via le navigateur implique que les navigateurs doivent communiquer avec le gouvernement pour recevoir la liste des sites web interdits, ce qui crée une faille potentielle dans la protection des données personnelles. Il implique aussi que les navigateurs doivent modifier leur fonctionnement normal, ce qui peut affecter leur performance, leur stabilité ou leur compatibilité avec les standards du web.

Mozilla met en garde

Ci-dessous un extrait du billet de Mozilla.

Dans une tentative louable, mais périlleuse de lutter contre la fraude en ligne, la France s’apprête à obliger les créateurs de navigateurs à mettre en œuvre une fonctionnalité technique relevant de la dystopie. L’article 6 du projet de loi SREN obligerait les développeurs de navigateur à créer les moyens de bloquer obligatoirement les sites web figurant sur une liste fournie par le gouvernement et intégrée directement dans le navigateur. Une telle mesure renverserait des décennies de normes établies en matière de modération des contenus. Celle-ci fournira également aux gouvernements autoritaires un moyen de minimiser l’efficacité des outils qui peuvent être utilisés pour contourner la censure.

Malgré sa motivation légitime, cette mesure qui vise à bloquer des sites web directement dans le navigateur serait un désastre pour un Internet libre et serait disproportionnée par rapport aux objectifs du projet de loi, à savoir la lutte contre la fraude. Elle instaurerait également un précédent inquiétant et des capacités techniques que d’autres régimes exploiteront à des fins bien plus néfastes. Pour atteindre les objectifs de cette législation, il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et l‘hameçonnage (phishing) plutôt que de les remplacer par des listes de blocage de sites web imposées par le gouvernement.

Navigateurs et systèmes de protection contre le hameçonnage

Les navigateurs ont été un élément clé de l’expansion du Web, en servant d’agents utilisateurs qui facilitent nos interactions sur Internet. Ce rôle, dont Mozilla est un acteur à part entière depuis plus de 25 ans via Firefox, repose sur quelques présomptions fondamentales qui permettent aux navigateurs de se concentrer sur les intérêts de leurs utilisateurs et utilisatrices tout en laissant les décisions relatives à la réglementation du contenu plus en amont de la chaîne, entre les intermédiaires du réseau (tels que les fournisseurs d’accès à Internet) ou les éditeurs de services (sites web).

Les deux systèmes de protection contre les logiciels malveillants et l’hameçonnage les plus utilisés dans l’industrie sont Safe Browsing de Google et Smart Screen de Microsoft, Mozilla (ainsi qu’Apple, Brave et bien d’autres) utilisant Safe Browsing de Google. Le service Safe Browsing existe depuis au moins 2005 et protège actuellement près de la moitié de la population mondiale en ligne sur divers appareils et logiciels. Il couvre les logiciels malveillants, les logiciels indésirables et l’ingénierie sociale (hameçonnage et autres sites trompeurs). Il dispose également de politiques générales assez robustes et est également disponible via une API gratuite, ce qui en fait un moyen simple pour les organisations de protéger les utilisateurs.

Firefox utilise l’offre Safe Browsing de Google depuis 2007 et dispose d’une implémentation unique qui protège la vie privée des utilisateurs tout en les empêchant d’être victimes de logiciels malveillants et d’hameçonnage. Ce paramètre peut également être désactivé par les utilisateurs à tout moment, ce qui leur permet de garder le contrôle de leur expérience sur le Web.

On pourrait penser que les pratiques actuelles du secteur de la protection contre les logiciels malveillants et le hameçonnage ne sont pas très différentes de la proposition française. C’est loin d’être le cas, car le principal facteur de différenciation est qu’elles ne bloquent pas les sites web, mais se contentent d’avertir les utilisateurs des risques et de leur permettre d’accéder aux sites web s’ils choisissent de l’accepter. Ce type de langage n’est pas présent dans la proposition actuelle, qui se concentre sur le blocage. Il n’y a pas non plus de référence à des implémentations préservant la vie privée ou à des mécanismes empêchant l’utilisation de cette fonction à d’autres fins. En...