les journalistes n'y comprennent rien et préfèrent parler d'autres choses ;
les politiques n'y comprennent rien mais trouvent ça très bien ;
les cerveaux ont été tellement lavé à la surveillance et au déballage public de vies privées qu'il ne reste aucune tâche de compréhension des enjeux de secrets des correspondances.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Ne détenez-vous pas nombre d'éléments de la réponse ? Pour en reprendre deux principaux directement de votre analyse :
— La lassitude face à un sujet en serpent de mer : rejeté par un vote, il revient, encore et encore, comme mue par une force inexorable de marée.
— Une stratégie de report de la charge de travail : documents préparatoire verbeux à l'envie, suintant l'absence de sérieux, et partant en tout sens, ce qui rend la construction de contre argumentaire délicate : « Comment en trois pages prétendez-vous démonter nos X années d'études, et les 400 pages de notre rapport ? »
Posté par jihele .
Évalué à 6 (+4/-0).
Dernière modification le 09 octobre 2024 à 10:04.
c'est les chats cons drôles.
OK, OK => []
Merci pour le billet de blog.
Le chiffrement de bout en bout avec un logiciel non libre, je comprends pas bien. Comment être sûr que c'est vraiment chiffré ? Que le logiciel client ne regarde pas dans le message avant ou après la transmission ?
Pour WhatsApp, je crois qu'on est juste obligé de faire confiance à l'entreprise. Je préfère Signal bien sûr, mais vu la taille de WhatsApp et de son propriétaire Meta, je pense que ça se saurait vite s'ils mentaient sur le fait que les messages sont encryptés de bout en bout.
il y a quelques mois on apprend à l'arrestation de pavel durov, mythique fondateur et pdg de telegram, que sa messagerie n'est pas chiffrée de bout en bout.
Y a t-il eu un exode à la "wapp vs signal" comme en 2021?
Non.
Car les gens s'en foutent.
Ils parlent de réseaux sociaux, vous leur répondez "vie privée?", ils lèvent les yeux au ciel et passent à la question suivante.
la vie privée est un lointain voeu, une espèce disparue dont les gens se préoccupent pas (dans le cas contraire, facebook aurait fait faillite)
Ce qui n'est pas vraiment abordé dans ce billet, c'est la technique utilisée pour ce contrôle, qui va être en gros de greffer le système de surveillance sur une technologie existante, et qui fonctionne bien à priori.
Et quand on parle de point de greffe, on arrive vite à imaginer que ça risque bien d'être fait à la rache, avec des recommandations de technocrates parfois peu au courant de l'état de l'art, et que la sécurité risque bien de passer au second plan.
Et quand ce truc va se faire perforer par les « méchants hackers », quelque soit leur appartenance, ça va faire très mal…
La manœuvre est probablement de tuer la concurrence par la Loi : les "petits" serveurs mails (ou autres protocoles) ne pourront pas avoir la Sainte Certification.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Je ne comprends absolument pas que ce projet avance dans l'indifférence médiatique la plus totale
C'est le truc le plus récurrent qu'on peut lire sur les blogs, sur les communiqués des organisations de défense de la vie privée, ou ici même. On blâme les politiques, les journalistes, les entreprises et leur lobbying… en fait, toutes ces explications reviennent à nier la réalité : la très grande majorité des gens n'en n'ont rien à faire. Soit ils n'utilisent pas ces services, soit ils ne sont pas intéressés par les enjeux techniques ou sociétaux, soit ils sont d'accord avec l'intrusion de l'État et/ou des entreprises qui leurs fournissent le service dans leur correspondance.
Il faut quand même parfois revenir sur terre et repartir de la base : 1. Ce qui vous intéresse vous n'intéresse pas forcément les gens (et donc, pas les journalistes, qui ne sont pas des militants et qui ne vont pas faire d'enquêtes que personne n'a envie de voir ou de lire), 2. les gens qui ne sont pas d'accord avec vous ne sont pas tous corrompus, stupides, ou mal informés. Il est normal que les différences de culture, d'origine, d'âge, ou d'idées politiques puissent faire qu'on n'a pas tous les mêmes valeurs et les mêmes principes.
Je n'arrête pas de l'écrire (et de me faire envoyer bouler), mais ça ne sert absolument à rien de demander le retrait de ce genre d'initiatives, car elles se fondent sur un processus démocratique tout à fait sain. La question n'est pas complexe : il est illégal de diffuser certains fichiers même dans une correspondance privée (images pédoporno, incitation au terrorisme, fichiers protégés par le droit d'auteur, etc.). Ces le rôle des instances de normalisation de mettre en place les moyens pour que la loi puisse être appliquée, tout en garantissant les libertés individuelles. Par conséquent, toute opinion tournant autour de "il n'est pas possible de faire respecter la loi tout en garantissant les libertés individuelles" est hors-sujet, elle n'entre pas dans les attributions de ces commissions et groupes de reflexions, qui ne sont pas censées porter de jugement sur la pertinence des lois—c'est même le principe de la séparation des pouvoirs. Éventuellement, les commissions peuvent prévenir les instances concernées qu'il est difficilement possible de faire respecter les lois, et qu'il faut les revoir pour les rendre applicables, mais ça n'empêche qu'elles doivent quand même proposer des solutions techniques.
Ce que les militants de la vie privée font très rarement, c'est de proposer des moyens techniques alternatifs qui permettraient de faire respecter les lois tout en garantissant mieux la vie privée. Partir du principe que "la loi est mauvaise" et qu'il n'y a aucune solution satisfaisante permet de rester "propre" : on ne propose rien, donc il n'y a rien à critiquer, proposer, ou argumenter. Et on peut faire les faux énonnés "Quoi? Comment ça se fait que ce sujet revienne encore? On en a parlé déja l'année dernière!" Bah oui, et il reviendra encore et encore, tant que les lois exigeront que la police puisse avoir accès sous contrôle du juge à la correspondance privée.
Par exemple, j'ai du mal à comprendre pourquoi la solution des hash serait inadmissible. L'État met en place un serveur qui liste les hashs de fichiers "problématiques" identifiés par la police; les applications installées sur le matériel des clients hashent les pièces jointes et les transmettent au serveur de l'application (en métadonnées du message chiffré par exemple), le serveur de l'application compare alors les hashs avec la base de données, et signalent les comptes à la police au-delà d'un certain seuil de partage de fichiers problématiques. La police peut alors chercher à saisir le matériel et vérifier le contexte dans lequel les fichiers ont été partagés. Le fournisseur de service n'a jamais accès au contenu des messages, il ne sait pas que le fichier qu'il a identifié est un pédonazi tout nu, il a juste signalé que le compte xxx a partagé cette liste de fichiers répertoriés sur un serveur de l'État. Il semble même que ce mécanisme puisse être implémenté dans un logiciel libre.
Bien entendu, c'est techniquement contournable, puisqu'il suffirait par exemple de modifier le client pour qu'il fournisse des hashs aléatoires; de manière plus pragmatique encore il suffit de recadrer les images avec un pixel de moins pour que le hash ne détecte plus rien. Mais ça n'est pas de ça dont on parle, puisqu'il est complètement fallacieux d'imaginer qu'une procédure informatique quelle qu'elle soit ne puisse être contournée avec suffisamment d'habileté.
En tout cas, le texte initial contient un raisonnement fallacieux assez pathétique : détecter des images connues n'empêcherait pas la commission de crimes. Bah… oui. Mais vous ne croyez pas que le type qui partage des images pédopornographiques ou d'incitation au terrorisme ne mérite pas de faire l'objet d'une enquête pour vérifier, par exemple, que parmi les 99% des fichiers qui n'ont pas matché la base de données, il n'y aurait pas d'autres trucs rédhibitoires? Je pense que c'est ça l'argument de la police, il faut leur fournir les moyens techniques pour qu'ils puissent enquêter et remonter les filières. Et une remontée de données en masse permet de trouver le petit fil qu'ils vont pouvoir tirer.
la très grande majorité des gens n'en n'ont rien à faire
C'est probable, mais l'influence des intérêts de la majorité est à nuancer : la plupart des gens sont contre réforme des retraites et pourtant on nous la fourgue quand même.
ça ne sert absolument à rien de demander le retrait de ce genre d'initiatives, car elles se fondent sur un processus démocratique tout à fait sain
Qui est à l'origine de chat control? Quel est le processus démocratique en question ? Il y a eu une campagne politique sur le sujet lors des élections européennes ? Non. De grandes manifestations en sa faveur avec des relais partout dans la société civile ? Non. Une pétition avec des millions de signatures ? Non plus.
Ce que les militants de la vie privée font très rarement, c'est de proposer des moyens techniques alternatifs qui permettraient de faire respecter les lois tout en garantissant mieux la vie privée.
Moi président, je propose d'interdire les relations physiques entre êtres humains afin de mettre un terme définitif aux violences sexuelles et à terme à la crise climatique.
Si vous n'êtes pas d'accord, vous devez me proposer une solution au minimum aussi radicale et efficace (que je n'étudierais pas, car de toute façon je prends mes ordres du lobby des fabricants de cages de chasteté).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
D'abord, merci d'avoir pris le temps de répondre de manière détaillée.
C'est le truc le plus récurrent qu'on peut lire sur les blogs, sur les communiqués des organisations de défense de la vie privée, ou ici même. On blâme les politiques, les journalistes, les entreprises et leur lobbying…
Ce n'était peut-être pas complètement clair, mais je ne blâme pas les journalistes, je dis juste que je ne les comprends pas. Je suis un jeune con naïf qui découvre petit à petit le monde politique, et dont quelques illusions sont en train de tomber, voilà tout.
Il faut quand même parfois revenir sur terre et repartir de la base : 1. Ce qui vous intéresse vous n'intéresse pas forcément les gens (et donc, pas les journalistes, qui ne sont pas des militants et qui ne vont pas faire d'enquêtes que personne n'a envie de voir ou de lire),
Je comprends tout à fait que le sujet soit technique, mais comme je l'explique à la fin du billet, il y a une conséquence très simple, concrète et facile à comprendre, c'est que dix millions de personnes (ordre de grandeur) perdraient le contact avec leurs proches sur une messagerie. Ça veut dire que chacune de ces personnes va s'embêter à passer à un autre service, que les groupes de discussion qui peuvent inclure des dizaines de personnes doivent être recréés à la main ailleurs, et comme Signal permet de contacter quelqu'un sans connaître son numéro, ça veut aussi dire que des gens pourraient perdre le contact parce qu'ils avaient juste une conversation Signal. Quand j'entends les râleries de certains de mes proches parce que « je suis habitué à cette application, je ne veux pas changer », j'ai du mal à comprendre que ça n'intéresse personne.
2 les gens qui ne sont pas d'accord avec vous ne sont pas tous corrompus, stupides, ou mal informés. Il est normal que les différences de culture, d'origine, d'âge, ou d'idées politiques puissent faire qu'on n'a pas tous les mêmes valeurs et les mêmes principes.
Où lisez-vous que je considère tous les gens qui ne sont pas d'accord avec moi comme corrompus, stupides ou mal informés ?
Je n'arrête pas de l'écrire (et de me faire envoyer bouler), mais ça ne sert absolument à rien de demander le retrait de ce genre d'initiatives, car elles se fondent sur un processus démocratique tout à fait sain. La question n'est pas complexe : il est illégal de diffuser certains fichiers même dans une correspondance privée (images pédoporno, incitation au terrorisme, fichiers protégés par le droit d'auteur, etc.). Ces le rôle des instances de normalisation de mettre en place les moyens pour que la loi puisse être appliquée, tout en garantissant les libertés individuelles. Par conséquent, toute opinion tournant autour de "il n'est pas possible de faire respecter la loi tout en garantissant les libertés individuelles" est hors-sujet, elle n'entre pas dans les attributions de ces commissions et groupes de reflexions, qui ne sont pas censées porter de jugement sur la pertinence des lois—c'est même le principe de la séparation des pouvoirs. Éventuellement, les commissions peuvent prévenir les instances concernées qu'il est difficilement possible de faire respecter les lois, et qu'il faut les revoir pour les rendre applicables, mais ça n'empêche qu'elles doivent quand même proposer des solutions techniques.
Ce que les militants de la vie privée font très rarement, c'est de proposer des moyens techniques alternatifs qui permettraient de faire respecter les lois tout en garantissant mieux la vie privée. Partir du principe que "la loi est mauvaise" et qu'il n'y a aucune solution satisfaisante permet de rester "propre" : on ne propose rien, donc il n'y a rien à critiquer, proposer, ou argumenter. Et on peut faire les faux énonnés "Quoi? Comment ça se fait que ce sujet revienne encore? On en a parlé déja l'année dernière!" Bah oui, et il reviendra encore et encore, tant que les lois exigeront que la police puisse avoir accès sous contrôle du juge à la correspondance privée.
La loi punit, en effet, le partage de pédopornographie, et heureusement. Pour autant, cela n'entraîne pas que les violations de la loi doivent être recherchées à l'exclusion de toute autre considération.
La loi impose aussi, en effet, que la police puisse avoir accès, sous le contrôle du juge, aux communications privées. Mais ici, il s'agit de données envoyées sans intervention de la justice, ce qui est différent d'une perquisition où les enquêteurs vont (très légitimement) fouiller les appareils de l'accusé.
Le projet en question est un projet de règlement, ce qui est en gros l'équivalent européen d'une loi (ça passe par le Parlement Européen, etc.), règlement qui crée de nouvelles obligations pour les fournisseurs de messagerie. C'est donc bien un changement de l'état du droit, et non pas une application du droit existant.
Par exemple, j'ai du mal à comprendre pourquoi la solution des hash serait inadmissible. L'État met en place un serveur qui liste les hashs de fichiers "problématiques" identifiés par la police; les applications installées sur le matériel des clients hashent les pièces jointes et les transmettent au serveur de l'application (en métadonnées du message chiffré par exemple), le serveur de l'application compare alors les hashs avec la base de données, et signalent les comptes à la police au-delà d'un certain seuil de partage de fichiers problématiques. La police peut alors chercher à saisir le matériel et vérifier le contexte dans lequel les fichiers ont été partagés. Le fournisseur de service n'a jamais accès au contenu des messages, il ne sait pas que le fichier qu'il a identifié est un pédonazi tout nu, il a juste signalé que le compte xxx a partagé cette liste de fichiers répertoriés sur un serveur de l'État. Il semble même que ce mécanisme puisse être implémenté dans un logiciel libre.
Plusieurs soucis :
Comme mentionné dans le billet, cela crée un service très sensible car une infiltration (en ajoutant dans la base de données une URL ou image qui ne devrait pas y être) peut permettre de se renseigner sur les graphes de relations sociales. Ce n'est pas hypothétique puisque la Chine a récemment mené une cyberattaque réussie contre les États-Unis sur les services analogues. Après toutes les fuites de données de France Travail etc., on n'en avait pas vraiment besoin.
Également mentionné, le risque de mauvaise utilisation dans les pays où l'indépendance de la justice est mise à mal, Hongrie et Pologne en ce moment.
Et il y a aussi le fait que le hash n'est pas juste un hash de l'image brute mais un hash « perceptuel » qui doit permettre d'identifier des photos proches, ce qui induit un risque de faux positifs. Impossible de quantifier le risque vu que l'information de l'étude d'impact est le chiffre non-crédible de 1 faux positif sur 50 milliards pour PhotoDNA, néanmoins l'étude de cas sur l'Irlande en page 53 de ce document de l'EDRi (tiens, je devrais aussi mettre ce lien) indique que la police irlandaise classifie 80% des signalements comme non-valides, et il est probable qu'une grosse partie de ces signalements viennent d'entreprises qui appliquent PhotoDNA.
En tout cas, le texte initial contient un raisonnement fallacieux assez pathétique : détecter des images connues n'empêcherait pas la commission de crimes.
L'expression « signalements vraiment utiles » était malheureuse et a dépassé ma pensée. Je vais modifier ce paragraphe.
« Également mentionné, le risque de mauvaise utilisation dans les pays où l'indépendance de la justice est mise à mal, Hongrie [, France] et Pologne en ce moment. »
Juste cette petite nuance à ne pas oublier : en France les procureurs sont dirigés par leur ministre garde des sceaux de tutelle, et la justice est (trop) largement aux ordres, comme le rappel sans arrêts une foule de gens compétents à commencer par les syndicats de magistrats, les constitutionnalistes, ou encore la cours européennes des droits de l'homme (cf. par exemple cet article).
Pour se donner une idée de ce que peut être concrètement le problème, imaginons par exemple la fiction suivante : Le garde des sceaux fait savoir qu'il faut mettre un coup de pression à tel type de criminalité, un fléau particulièrement grave de son point de vue, tous les dossiers doivent conduire à des poursuites. Les procureurs vont globalement s’exécuter, le nombre d'infractions recensées, ensuite relaté dans la presse, va augmenter de manière importante et presque parallèlement au nombre de relaxes prononcées dans les trois années suivantes. Mais on voit d'ici les gros titres : augmentation de x% de [tel type d'infraction]. À l'inverse, pour désengorger les tribunaux le ministère public pourrait être encouragé à ne pas trop poursuivre dans tel autre type de délit avec l'effet inverse.
En pratique pas de gros changements en termes de condamnations. Les procureurs sont vraisemblablement des gens intègres et compétents. Mais des titres de presse de nature à orienter l'opinion à loisir. Sans oublier au passage les vies affectés par des tracasseries de poursuites plus ou moins pertinentes des mis en cause que les procureure n'auraient pas poursuivis, eussent-ils été indépendants.
Posté par Psychofox (Mastodon) .
Évalué à 3 (+0/-0).
Dernière modification le 10 octobre 2024 à 08:03.
la très grande majorité des gens n'en n'ont rien à faire
Plus que n'en avoir rien à faire, la plupart des gens sont défaitistes et fatalistes à ce sujet.
Aussi il ne faut pas croire que tout le monde est contre la surveillance. Il y a pas mal de monde pour qui la présence de caméras partout ne les dérangent pas et sont près à tout dévoiler tout de leur vie si on leur dit que ça les maintiens en sécurité. Ils n'anticipent pas les hypothétique abus où ne croient pas qu'ils puissent arriver dans nos pays. Alors si on plus ça va sauver nos chtites nenfants pourquoi lutter contre?
Espérons que votre article contribue à faire prendre conscience du sujet à plus de gens dans votre entourage, et à plus qu'1 (!) eurodéputé.
Une correction :
Je n'ai entendu persque personne parler du chat control autour de moi. […] Même sur le site de geeks qu'est LinuxFR, c'est moi qui ai abordé le sujet en premier, et il n'a pas tant attiré l'attention que ça (je devrais peut-être prendre le temps de faire un résumé plutôt que de poster un simple lien).
# Hypothèses
Posté par devnewton 🍺 (site web personnel) . Évalué à 9 (+6/-0).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Hypothèses
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3 (+1/-0).
Notons pour le point trois, que ceux du pont deux sont persuadés que nous la subissons de notre plein gré. Sur ce sujet, le raisonnement est bien expliqué dans cet article dénonçant le comportement prédateur de données de Google (en Anglais).
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Hypothèses
Posté par jeanas (site web personnel, Mastodon) . Évalué à 2 (+1/-0).
Merci pour l'article !
[^] # Re: Hypothèses
Posté par pas_de_bol . Évalué à 2 (+2/-0). Dernière modification le 09 octobre 2024 à 21:18.
Ou les gens qui veulent cela contrôlent - ou ont une certaine influence - sur la ligne éditoriale des journaux ou ont leur propre agenda?
Et Telegram c'est pour les réseaux pedophiles et terroristes.
Où sont les coups de filets en série?
# Pourquoi est-ce que personne ne parle du chat control ?
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3 (+1/-0). Dernière modification le 09 octobre 2024 à 08:59.
Ne détenez-vous pas nombre d'éléments de la réponse ? Pour en reprendre deux principaux directement de votre analyse :
— La lassitude face à un sujet en serpent de mer : rejeté par un vote, il revient, encore et encore, comme mue par une force inexorable de marée.
— Une stratégie de report de la charge de travail : documents préparatoire verbeux à l'envie, suintant l'absence de sérieux, et partant en tout sens, ce qui rend la construction de contre argumentaire délicate : « Comment en trois pages prétendez-vous démonter nos X années d'études, et les 400 pages de notre rapport ? »
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
# Impact assessment by Microsoft ?
Posté par devnewton 🍺 (site web personnel) . Évalué à 6 (+3/-0).
L'impact assessment contient une trentaine d'occurence de "Microsoft", parle de ses solutions et ses études.
Dans le prochain épisode, l'Europe demandera une étude d'impact sur l'opportunité d'interdire la conduite automobile sans IA à Tesla ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Ce qui intéresse les gens sur internet
Posté par jihele . Évalué à 6 (+4/-0). Dernière modification le 09 octobre 2024 à 10:04.
c'est les chats cons drôles.
OK, OK => []
Merci pour le billet de blog.
Le chiffrement de bout en bout avec un logiciel non libre, je comprends pas bien. Comment être sûr que c'est vraiment chiffré ? Que le logiciel client ne regarde pas dans le message avant ou après la transmission ?
[^] # Re: Ce qui intéresse les gens sur internet
Posté par mahikeulbody . Évalué à -2 (+1/-5).
Je crois que tu confonds "libre" et "open source".
[^] # Re: Ce qui intéresse les gens sur internet
Posté par jeanas (site web personnel, Mastodon) . Évalué à 4 (+4/-1).
Pour WhatsApp, je crois qu'on est juste obligé de faire confiance à l'entreprise. Je préfère Signal bien sûr, mais vu la taille de WhatsApp et de son propriétaire Meta, je pense que ça se saurait vite s'ils mentaient sur le fait que les messages sont encryptés de bout en bout.
# La vie privée? les gens n'aiment pas en parler
Posté par tkr . Évalué à 4 (+3/-0).
il y a quelques mois on apprend à l'arrestation de pavel durov, mythique fondateur et pdg de telegram, que sa messagerie n'est pas chiffrée de bout en bout.
Y a t-il eu un exode à la "wapp vs signal" comme en 2021?
Non.
Car les gens s'en foutent.
Ils parlent de réseaux sociaux, vous leur répondez "vie privée?", ils lèvent les yeux au ciel et passent à la question suivante.
la vie privée est un lointain voeu, une espèce disparue dont les gens se préoccupent pas (dans le cas contraire, facebook aurait fait faillite)
# je vois venir le souci...
Posté par Tonton Th (Mastodon) . Évalué à 5 (+3/-0).
Ce qui n'est pas vraiment abordé dans ce billet, c'est la technique utilisée pour ce contrôle, qui va être en gros de greffer le système de surveillance sur une technologie existante, et qui fonctionne bien à priori.
Et quand on parle de point de greffe, on arrive vite à imaginer que ça risque bien d'être fait à la rache, avec des recommandations de technocrates parfois peu au courant de l'état de l'art, et que la sécurité risque bien de passer au second plan.
Et quand ce truc va se faire perforer par les « méchants hackers », quelque soit leur appartenance, ça va faire très mal…
[^] # Re: je vois venir le souci...
Posté par devnewton 🍺 (site web personnel) . Évalué à 5 (+2/-0). Dernière modification le 09 octobre 2024 à 13:34.
La manœuvre est probablement de tuer la concurrence par la Loi : les "petits" serveurs mails (ou autres protocoles) ne pourront pas avoir la Sainte Certification.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Déni de réalité
Posté par arnaudus . Évalué à 3 (+5/-5).
C'est le truc le plus récurrent qu'on peut lire sur les blogs, sur les communiqués des organisations de défense de la vie privée, ou ici même. On blâme les politiques, les journalistes, les entreprises et leur lobbying… en fait, toutes ces explications reviennent à nier la réalité : la très grande majorité des gens n'en n'ont rien à faire. Soit ils n'utilisent pas ces services, soit ils ne sont pas intéressés par les enjeux techniques ou sociétaux, soit ils sont d'accord avec l'intrusion de l'État et/ou des entreprises qui leurs fournissent le service dans leur correspondance.
Il faut quand même parfois revenir sur terre et repartir de la base : 1. Ce qui vous intéresse vous n'intéresse pas forcément les gens (et donc, pas les journalistes, qui ne sont pas des militants et qui ne vont pas faire d'enquêtes que personne n'a envie de voir ou de lire), 2. les gens qui ne sont pas d'accord avec vous ne sont pas tous corrompus, stupides, ou mal informés. Il est normal que les différences de culture, d'origine, d'âge, ou d'idées politiques puissent faire qu'on n'a pas tous les mêmes valeurs et les mêmes principes.
Je n'arrête pas de l'écrire (et de me faire envoyer bouler), mais ça ne sert absolument à rien de demander le retrait de ce genre d'initiatives, car elles se fondent sur un processus démocratique tout à fait sain. La question n'est pas complexe : il est illégal de diffuser certains fichiers même dans une correspondance privée (images pédoporno, incitation au terrorisme, fichiers protégés par le droit d'auteur, etc.). Ces le rôle des instances de normalisation de mettre en place les moyens pour que la loi puisse être appliquée, tout en garantissant les libertés individuelles. Par conséquent, toute opinion tournant autour de "il n'est pas possible de faire respecter la loi tout en garantissant les libertés individuelles" est hors-sujet, elle n'entre pas dans les attributions de ces commissions et groupes de reflexions, qui ne sont pas censées porter de jugement sur la pertinence des lois—c'est même le principe de la séparation des pouvoirs. Éventuellement, les commissions peuvent prévenir les instances concernées qu'il est difficilement possible de faire respecter les lois, et qu'il faut les revoir pour les rendre applicables, mais ça n'empêche qu'elles doivent quand même proposer des solutions techniques.
Ce que les militants de la vie privée font très rarement, c'est de proposer des moyens techniques alternatifs qui permettraient de faire respecter les lois tout en garantissant mieux la vie privée. Partir du principe que "la loi est mauvaise" et qu'il n'y a aucune solution satisfaisante permet de rester "propre" : on ne propose rien, donc il n'y a rien à critiquer, proposer, ou argumenter. Et on peut faire les faux énonnés "Quoi? Comment ça se fait que ce sujet revienne encore? On en a parlé déja l'année dernière!" Bah oui, et il reviendra encore et encore, tant que les lois exigeront que la police puisse avoir accès sous contrôle du juge à la correspondance privée.
Par exemple, j'ai du mal à comprendre pourquoi la solution des hash serait inadmissible. L'État met en place un serveur qui liste les hashs de fichiers "problématiques" identifiés par la police; les applications installées sur le matériel des clients hashent les pièces jointes et les transmettent au serveur de l'application (en métadonnées du message chiffré par exemple), le serveur de l'application compare alors les hashs avec la base de données, et signalent les comptes à la police au-delà d'un certain seuil de partage de fichiers problématiques. La police peut alors chercher à saisir le matériel et vérifier le contexte dans lequel les fichiers ont été partagés. Le fournisseur de service n'a jamais accès au contenu des messages, il ne sait pas que le fichier qu'il a identifié est un pédonazi tout nu, il a juste signalé que le compte xxx a partagé cette liste de fichiers répertoriés sur un serveur de l'État. Il semble même que ce mécanisme puisse être implémenté dans un logiciel libre.
Bien entendu, c'est techniquement contournable, puisqu'il suffirait par exemple de modifier le client pour qu'il fournisse des hashs aléatoires; de manière plus pragmatique encore il suffit de recadrer les images avec un pixel de moins pour que le hash ne détecte plus rien. Mais ça n'est pas de ça dont on parle, puisqu'il est complètement fallacieux d'imaginer qu'une procédure informatique quelle qu'elle soit ne puisse être contournée avec suffisamment d'habileté.
En tout cas, le texte initial contient un raisonnement fallacieux assez pathétique : détecter des images connues n'empêcherait pas la commission de crimes. Bah… oui. Mais vous ne croyez pas que le type qui partage des images pédopornographiques ou d'incitation au terrorisme ne mérite pas de faire l'objet d'une enquête pour vérifier, par exemple, que parmi les 99% des fichiers qui n'ont pas matché la base de données, il n'y aurait pas d'autres trucs rédhibitoires? Je pense que c'est ça l'argument de la police, il faut leur fournir les moyens techniques pour qu'ils puissent enquêter et remonter les filières. Et une remontée de données en masse permet de trouver le petit fil qu'ils vont pouvoir tirer.
[^] # Re: Déni de réalité
Posté par devnewton 🍺 (site web personnel) . Évalué à 8 (+5/-0). Dernière modification le 09 octobre 2024 à 16:30.
C'est probable, mais l'influence des intérêts de la majorité est à nuancer : la plupart des gens sont contre réforme des retraites et pourtant on nous la fourgue quand même.
Qui est à l'origine de chat control? Quel est le processus démocratique en question ? Il y a eu une campagne politique sur le sujet lors des élections européennes ? Non. De grandes manifestations en sa faveur avec des relais partout dans la société civile ? Non. Une pétition avec des millions de signatures ? Non plus.
Moi président, je propose d'interdire les relations physiques entre êtres humains afin de mettre un terme définitif aux violences sexuelles et à terme à la crise climatique.
Si vous n'êtes pas d'accord, vous devez me proposer une solution au minimum aussi radicale et efficace (que je n'étudierais pas, car de toute façon je prends mes ordres du lobby des fabricants de cages de chasteté).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Déni de réalité
Posté par jeanas (site web personnel, Mastodon) . Évalué à 2 (+1/-0).
D'abord, merci d'avoir pris le temps de répondre de manière détaillée.
Ce n'était peut-être pas complètement clair, mais je ne blâme pas les journalistes, je dis juste que je ne les comprends pas. Je suis un jeune con naïf qui découvre petit à petit le monde politique, et dont quelques illusions sont en train de tomber, voilà tout.
Je comprends tout à fait que le sujet soit technique, mais comme je l'explique à la fin du billet, il y a une conséquence très simple, concrète et facile à comprendre, c'est que dix millions de personnes (ordre de grandeur) perdraient le contact avec leurs proches sur une messagerie. Ça veut dire que chacune de ces personnes va s'embêter à passer à un autre service, que les groupes de discussion qui peuvent inclure des dizaines de personnes doivent être recréés à la main ailleurs, et comme Signal permet de contacter quelqu'un sans connaître son numéro, ça veut aussi dire que des gens pourraient perdre le contact parce qu'ils avaient juste une conversation Signal. Quand j'entends les râleries de certains de mes proches parce que « je suis habitué à cette application, je ne veux pas changer », j'ai du mal à comprendre que ça n'intéresse personne.
Où lisez-vous que je considère tous les gens qui ne sont pas d'accord avec moi comme corrompus, stupides ou mal informés ?
La loi punit, en effet, le partage de pédopornographie, et heureusement. Pour autant, cela n'entraîne pas que les violations de la loi doivent être recherchées à l'exclusion de toute autre considération.
La loi impose aussi, en effet, que la police puisse avoir accès, sous le contrôle du juge, aux communications privées. Mais ici, il s'agit de données envoyées sans intervention de la justice, ce qui est différent d'une perquisition où les enquêteurs vont (très légitimement) fouiller les appareils de l'accusé.
Le projet en question est un projet de règlement, ce qui est en gros l'équivalent européen d'une loi (ça passe par le Parlement Européen, etc.), règlement qui crée de nouvelles obligations pour les fournisseurs de messagerie. C'est donc bien un changement de l'état du droit, et non pas une application du droit existant.
Plusieurs soucis :
Comme mentionné dans le billet, cela crée un service très sensible car une infiltration (en ajoutant dans la base de données une URL ou image qui ne devrait pas y être) peut permettre de se renseigner sur les graphes de relations sociales. Ce n'est pas hypothétique puisque la Chine a récemment mené une cyberattaque réussie contre les États-Unis sur les services analogues. Après toutes les fuites de données de France Travail etc., on n'en avait pas vraiment besoin.
Également mentionné, le risque de mauvaise utilisation dans les pays où l'indépendance de la justice est mise à mal, Hongrie et Pologne en ce moment.
Et il y a aussi le fait que le hash n'est pas juste un hash de l'image brute mais un hash « perceptuel » qui doit permettre d'identifier des photos proches, ce qui induit un risque de faux positifs. Impossible de quantifier le risque vu que l'information de l'étude d'impact est le chiffre non-crédible de 1 faux positif sur 50 milliards pour PhotoDNA, néanmoins l'étude de cas sur l'Irlande en page 53 de ce document de l'EDRi (tiens, je devrais aussi mettre ce lien) indique que la police irlandaise classifie 80% des signalements comme non-valides, et il est probable qu'une grosse partie de ces signalements viennent d'entreprises qui appliquent PhotoDNA.
L'expression « signalements vraiment utiles » était malheureuse et a dépassé ma pensée. Je vais modifier ce paragraphe.
[^] # Re: Déni de réalité
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 4 (+2/-0). Dernière modification le 10 octobre 2024 à 09:17.
Juste cette petite nuance à ne pas oublier : en France les procureurs sont dirigés par leur
ministregarde des sceaux de tutelle, et la justice est (trop) largement aux ordres, comme le rappel sans arrêts une foule de gens compétents à commencer par les syndicats de magistrats, les constitutionnalistes, ou encore la cours européennes des droits de l'homme (cf. par exemple cet article).Pour se donner une idée de ce que peut être concrètement le problème, imaginons par exemple la fiction suivante : Le garde des sceaux fait savoir qu'il faut mettre un coup de pression à tel type de criminalité, un fléau particulièrement grave de son point de vue, tous les dossiers doivent conduire à des poursuites. Les procureurs vont globalement s’exécuter, le nombre d'infractions recensées, ensuite relaté dans la presse, va augmenter de manière importante et presque parallèlement au nombre de relaxes prononcées dans les trois années suivantes. Mais on voit d'ici les gros titres : augmentation de x% de [tel type d'infraction]. À l'inverse, pour désengorger les tribunaux le ministère public pourrait être encouragé à ne pas trop poursuivre dans tel autre type de délit avec l'effet inverse.
En pratique pas de gros changements en termes de condamnations. Les procureurs sont vraisemblablement des gens intègres et compétents. Mais des titres de presse de nature à orienter l'opinion à loisir. Sans oublier au passage les vies affectés par des tracasseries de poursuites plus ou moins pertinentes des mis en cause que les procureure n'auraient pas poursuivis, eussent-ils été indépendants.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Déni de réalité
Posté par Psychofox (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 10 octobre 2024 à 08:03.
Plus que n'en avoir rien à faire, la plupart des gens sont défaitistes et fatalistes à ce sujet.
Aussi il ne faut pas croire que tout le monde est contre la surveillance. Il y a pas mal de monde pour qui la présence de caméras partout ne les dérangent pas et sont près à tout dévoiler tout de leur vie si on leur dit que ça les maintiens en sécurité. Ils n'anticipent pas les hypothétique abus où ne croient pas qu'ils puissent arriver dans nos pays. Alors si on plus ça va sauver nos chtites nenfants pourquoi lutter contre?
# Personne ? Si, sur LinuxFR !
Posté par anubis . Évalué à 2 (+1/-0).
Espérons que votre article contribue à faire prendre conscience du sujet à plus de gens dans votre entourage, et à plus qu'1 (!) eurodéputé.
Une correction :
J'ai relayé dès 2021 via une dépêche-traduction l'alerte du député Patrick Breyer : https://linuxfr.org/news/la-fin-de-la-vie-privee-pour-la-correspondance-numerique !
Et il y a quelques contenus additionnels taggés sur ce sujet https://linuxfr.org/tags/chat_control/public :)
aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join
[^] # Re: Personne ? Si, sur LinuxFR !
Posté par jeanas (site web personnel, Mastodon) . Évalué à 1 (+0/-0). Dernière modification le 11 octobre 2024 à 10:14.
Merci et désolé pour l'erreur, je corrige. (Je ne lisais pas LinuxFR en 2021.)
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.