Les propositions du projet de loi sur la sécurité en ligne visant à donner au régulateur des télécommunications Ofcom le pouvoir d’obliger les entreprises technologiques à utiliser un logiciel de numérisation pour surveiller les messages cryptés à la recherche de contenu illégal devraient être abandonnées, a-t-on affirmé cette semaine.
Selon Ross Anderson, professeur d’ingénierie de la sécurité à l’Université de Cambridge, les propositions qui pourraient obliger les entreprises technologiques à utiliser un logiciel pour analyser en masse les messages sur des services cryptés tels que WhatsApp pour attraper les criminels violents étaient “totalement invraisemblables”.
Un document politique rédigé par Anderson et Sam Gilbert affirme que l’utilisation d’une analyse basée sur l’intelligence artificielle (IA) pour examiner le contenu des messages déclencherait un nombre ingérable de fausses alarmes et s’avérerait « irréalisable ».
Le document, qui a été présenté lors d’une table ronde par l’Institut Adam Smith lors de la conférence du parti conservateur, soutient que bien que le projet de loi sur la sécurité en ligne ait raison d’imposer une obligation de diligence aux entreprises de technologie et de médias sociaux, le coût de certaines de ses propositions les mesures l’emporteraient sur les avantages.
Anderson et Gilbert soutiennent que les pouvoirs de «dernier recours» dans le projet de loi de l’Ofcom pour obliger les entreprises technologiques à utiliser des «technologies proactives», telles que la numérisation côté client, devraient être abandonnés.
Ils affirment que la technologie est “techniquement inefficace et peu pratique comme moyen d’atténuer l’extrémisme violent en ligne et le matériel d’abus sexuel d’enfants”.
L’article fait suite à un document de discussion rédigé par Ian Levy, directeur technique du National Cyber Security Center (NCSC) du Royaume-Uni, et Crispin Robinson, directeur technique de la cryptanalyse au GCHQ, en juillet 2022 qui a plaidé en faveur de l’analyse côté client.
Les responsables du GCHQ ont écrit qu’il était possible pour les entreprises de technologie de surveiller les services de messagerie cryptés pour d’éventuels abus d’enfants tout en préservant la confidentialité et la sécurité des personnes qui les utilisent.
Leurs propositions ont été critiquées par le propriétaire de Facebook Meta, des universitaires et des groupes de campagne.
Facture de sécurité en ligne
Le projet de loi sur la sécurité en ligne vise à protéger les personnes qui utilisent des services en ligne contre le matériel légal mais préjudiciable, en donnant un devoir de diligence aux grandes entreprises technologiques qui fournissent des services en ligne, en plus de la responsabilité de supprimer les contenus illégaux.
Le projet de loi crée des coûts de conformité élevés que seules les grandes entreprises technologiques telles que Facebook, Google et Twitter pourront payer, selon Anderson et Gilbert.
Mais ils soutiennent que le projet de loi sur la sécurité en ligne devrait être étendu pour couvrir les plateformes de jeux en ligne, qui peuvent exposer les enfants à des risques financiers et à des abus de la part de joueurs plus âgés.
L’Ofcom a indiqué qu’il prévoyait de réglementer entre 30 et 40 fournisseurs de services, qui pourraient faire face à des amendes de 10 % de leur chiffre d’affaires annuel ou de 18 millions de livres sterling, selon le montant le plus élevé, pour non-respect des codes de conduite. Les récidivistes pourraient être bloqués.
Protection de l’enfance
Selon le journal, certains fournisseurs de services en ligne, tels que Gmail et Facebook, analysent déjà les communications à la recherche d’images connues pour être illégales.
Certains services ont récemment commencé à utiliser l’IA pour rechercher des images inconnues qui pourraient être illégales, mais la technologie a un taux d’erreur plus élevé, ce qui entraîne un grand nombre de faux négatifs et de faux positifs.
Dans un cas, lorsqu’un père a pris une photo de son fils à la demande d’une infirmière, il a ensuite reçu la visite de la police et a perdu l’accès à ses comptes Google parce que l’IA de l’entreprise avait signalé la photo comme abusive.
Propositions européennes
La Commission européenne a proposé séparément un règlement, qui est en cours d’examen par le Parlement européen, pour étendre l’analyse par IA des images au texte et pour exiger l’analyse automatisée des messages envoyés par des services cryptés de bout en bout tels que WhatsApp.
Cela augmenterait considérablement le nombre de fausses alertes et le nombre de personnes prises dans le “filet de surveillance”, affirment Anderson et Gilbert dans l’article publié par le Bennet Institute for Public Policy et l’Université de Cambridge.
Selon un document de la Commission européenne, la commission a admis en interne qu’il pourrait y avoir un taux de fausses alarmes de 10 %, mais a calculé à tort que s’il y avait un million de messages de toilettage, cela conduirait à 100 000 fausses alarmes – un nombre qui pourrait être géré.
Or, selon Anderson et Gilbert, il y a 10 milliards de SMS envoyés chaque jour en Europe, ce qui produirait un milliard de fausses alertes.
« Les 1,6 million de policiers européens devraient scanner 625 d’entre eux chaque jour. Un tel système serait tout simplement inapplicable », déclarent-ils dans le journal.
L’Ofcom et le GCHQ ont proposé d’utiliser la technologie de numérisation côté client sur les téléphones et les ordinateurs portables pour détecter les images illégales et le contenu de toilettage potentiel sur les services de messagerie cryptés, avant que les messages ne soient cryptés ou après leur réception.
La technologie a également été suggérée comme moyen de détecter les activités des terroristes en ligne.
Anderson et Gilbert soutiennent que la numérisation côté client constituerait une dérogation importante à la législation britannique existante, telle que la loi de 2016 sur les pouvoirs d’enquête, qui interdit l’interception massive de citoyens britanniques, et tomberait sous le coup de la Cour européenne des droits de l’homme.
Des solutions plus efficaces
Ils disent que le problème serait mieux résolu en obligeant les entreprises technologiques à fournir aux utilisateurs un moyen efficace de signaler les contenus illégaux et de les faire supprimer rapidement.
“Les entreprises technologiques le font déjà pour les titulaires de droits d’auteur [so] la loi devrait les obliger à traiter les utilisateurs vulnérables, comme les femmes ou les enfants, avec la même considération », indique le document.
Les utilisateurs doivent pouvoir contacter rapidement les modérateurs afin qu’ils puissent conserver les preuves, supprimer le matériel illégal et bloquer les personnes qui tentent de les exploiter.
“La protection de l’enfance est un problème complexe, ancré dans les communautés locales, et nécessite une action coordonnée de la part des parents, de la police, des travailleurs sociaux et des écoles”, indique-t-il.
Le document soutient également qu’il existe des outils plus efficaces que la numérisation des messages pour lutter contre le terrorisme. Par exemple, la recherche suggère que le prédicteur le plus puissant de l’extrémisme politique violent est la violence contre les femmes.
Cela suggère que le travail de la police locale et d’autres interventions locales, plutôt que la surveillance en ligne, est le meilleur moyen de lutter contre les menaces, selon le document.
“Il est difficile de voir un cas pour briser la vie privée de chacun, en violation de la tradition britannique établie, pour intercepter les communications à grande échelle lorsque des routes plus efficaces sont disponibles”, dit-il.
Un rapport de 15 informaticiens de premier plan, Des bugs dans nos poches : les risques du scan côté clientpublié par l’Université de Columbia en octobre 2021, a identifié de multiples façons dont les États, les acteurs malveillants et les agresseurs pourraient détourner la technologie d’analyse côté client pour nuire à autrui ou à la société.
