Loi CSAR : comment l'Europe se prépare à nous espionner

Concrètement? La première couche de surveillance proposée est un système de détection automatique d'images pédopornographiques par comparaison d'empreintes numériques. À l'instar du projet international Arachnid auquel participe l'association belge Child Focus. Basés notamment sur l'outil PhotoDNA de Microsoft, ces algorithmes comparent les empreintes ("hash" en anglais) des photos et des vidéos diffusées avec celles des images d'abus sexuels connues détenues par les polices afin de trouver des correspondances. Théoriquement, ces algorithmes sont aussi capables de détecter des images qui ne sont pas identiques mais similaires - qui ont été recadrées, par exemple. "Ce système fonctionne très bien et a déjà permis de traiter 160 milliards d'images, se réjouit Tijana Popovic, conseillère politique chez Child Focus. Pour les victimes, c'est très important car la circulation de ces images, la peur de se faire reconnaître sont souvent plus traumatisantes encore que l'abus lui-même."

Comment Child Focus veut lutter contre la pédopornographie sur le Net

Arachnid sur la Toile

Pourquoi alors vouloir renforcer la surveillance? “ Arachnid scanne le Web et le darknet mais n’est pas en mesure de détecter des contenus dans les conversations. Or de nombreux enfants se font manipuler par des pédophiles sur ces messageries. Les abus sexuels qui vont ensuite circuler sur le Net commencent souvent là. Il faut donc s’attaquer à la source. Voilà pourquoi nous soutenons cette loi CSAR. Car le nombre d’images illicites augmente chaque année et cela prouve que les mesures existantes ne sont pas suffisantes. Meta (Facebook, Instagram, WhatsApp - NDLR) aura crypté l’ensemble de ses services d’ici la fin de l’année. Même logique chez de nombreuses applis concurrentes. Sans oublier le développement des métavers (univers virtuels - NDLR), les progrès de l’intelligence artificielle, les algorithmes de deepfake… Si on ne vote pas cette loi, le nombre d’images d’abus sexuels non rapportées va exploser .”

Et pourtant… Professeur au département informatique de l’UNamur et expert en technologies de protection de la vie privée, Florentin Rochet est l’un des six académiciens belges à avoir cosigné une carte blanche avec 465 scientifiques et chercheurs de 38 nationalités afin de s’opposer à ce projet de loi. “ Je comprends très bien que Child Focus soit dans l’émotion, mais développer ces technologies extrémistes ne va pas freiner cette explosion de contenus pédopornographiques. Croire que les ingénieurs vont résoudre un problème de société, c’est du solutionnisme technologique. C’est non seulement liberticide mais aussi contre- productif .” Et de cibler d’abord cette première couche de surveillance. “ Ces algorithmes de comparaison d’empreintes sont efficaces pour identifier des images identiques à celles qui sont connues. Mais il est très facile de perturber une photo d’abus sexuels, par exemple, pour que l’empreinte soit complètement différente et passe sous les radars. ” C’est ce qu’on appelle des faux négatifs. “ Les pédocriminels seront donc toujours capables de cacher leurs contenus malveillants. Cela fait des années qu’on essaie de réduire ces faux négatifs mais on n’y arrive pas. Et on ne pense pas en être un jour capable. Et puis, si demain l’Union européenne impose à WhatsApp ou Signal d’intégrer ce type de filtre, ces criminels vont utiliser d’autres technologies ou développer leur propre système de communication. ”

[caption id="attachment_271129" align="aligncenter" width="2560"]

Les défenseurs du projet arguent que sans cette loi, le nombre d’images d’abus sexuels pourrait exploser. © Adobe Stock[/caption]

Casier judiciaire virtuel

Qu’en est-il des faux positifs? C’est-à-dire des contenus privés qui seraient malencontreusement interceptés par ce système, comme une photo dénudée échangée par un couple d’ados consentants ou une vidéo d’un enfant en maillot de bain envoyée à la famille par WhatsApp. Ces outils permettraient-ils aussi de différencier une ado de 16 ans d’une jeune adulte? “ Si les images ne sont pas identiques mais similaires, il y a alors une intervention humaine, rassure Child Focus. De plus en plus d’experts sont formés pour différencier deux personnes en fonction de leur âge, par exemple. ” Florentin Rochet valide: “ On pourrait en effet réduire le nombre de faux positifs pour que cela reste gérable. Mais le problème des faux négatifs est, lui, insolutionnable! ” Et de pointer un autre problème de taille. Après ce premier niveau de surveillance, le projet CSAR en prévoit d’autres, comme le recours à l’intelligence artificielle pour identifier des anomalies et détecter des images qui auraient été trafiquées. Mais ces algorithmes ont un taux très élevé de faux positifs.

Abus sexuels dans l'Église: les victimes belges racontent leur enfer dans une série docu retentissante

“ À nouveau, cela fait vingt ans qu’on essaie de les réduire et on n’y arrivera pas dans vingt ans. C’est un consensus scientifique! On appelle cela le paradoxe du faux positif: comme les images licites sont beaucoup plus nombreuses que celles d’abus sexuels, ces outils vont être noyés sous les contenus légitimes.” Comme la photo de votre apéro que vous envoyez à un pote, celle que vous transférez à votre conjoint et même la photo de votre chien. Ces images seront donc susceptibles d’atterrir directement à la police. “ On pourrait alors tous avoir une sorte de casier virtuel qui contiendrait une partie de nos photos privées et pourrait être consulté par un humain, ce qui me semble extrêmement inquiétant. Les autorités ne doivent pas avoir accès à nos communications personnelles. ”

Mais ce projet de loi CSAR va encore plus loin puisqu’il ne compte pas seulement imposer ces filtres aux fournisseurs de contenus mais aussi surveiller les photos, vidéos et conversations directement dans les smartphones et ordinateurs des citoyens. C’est ce qu’on appelle en anglais du “client-side scanning”. Un système qui pourrait mettre un terme au chiffrement effectué par les messageries de type WhatsApp ou Signal. Là aussi, Child Focus se montre rassurant: “ La détection ne sera pas automatique et interviendra seulement si les services utilisés ne prennent pas assez de mesures pour lutter contre ces crimes. On a donc la possibilité de placer le curseur où on le souhaite. Les critères seront par exemple plus sévères si vous utilisez un forum porno du darkweb que si vous envoyez une vidéo par WhatsApp. Et cette surveillance ne mettra pas un terme au chiffrement des communications puisque les contenus illicites seront interceptés avant leur envoi ”.

Une caméra dans votre chambre

L’association belge reconnaît cependant que certains contenus légitimes seront malencontreusement interceptés. “ Mais ce petit malaise n’en vaut-il pas le prix? De nombreuses personnes pensent qu’on va implémenter un système comparable à une caméra placée dans leur maison, mais c’est faux. Ce sera plutôt un flash qui ne s’activera que si vous dépassez les limites .” Cette comparaison ne convainc pas du tout l’expert en vie privée numérique. “ C’est une incompréhension totale de la cryptographie. Ces applis font ce qu’on appelle du chiffrement de bout en bout, c’est-à-dire que les contenus échangés ne sont déchiffrables que par les appareils des correspondants. Si on envoie une image aux forces de l’ordre avant ce brouillage, on casse par définition ce chiffrement. Et non, ce ne sera pas un flash placé sur la route mais bien dans nos chambres et nos bureaux. Défectueux par essence, je le répète, ce système va donc flasher à tout-va. ”

Ce projet CSAR va-t-il dès lors ouvrir une boîte (noire) de Pandore? “ Une fois implémenté , poursuit Florentin Rochet, ce système sera très facile à modifier sans qu’on s’en aperçoive pour détecter aussi d’autres contenus confidentiels, comme ceux des journalistes, des activistes ou des opposants politiques .” Du pain bénit pour certains États, comme la France ou l’Espagne, qui rêvent de mettre un terme au chiffrement et font pression pour que cette loi soit adoptée? Au cours d’une récente audition devant le Sénat français, le ministre de l’Intérieur Gérald Darmanin a d’ailleurs exprimé sa volonté de casser les communications chiffrées des militants écologistes et de l’ultra- gauche… “ Cette technologie est un indicateur démocratique. Vouloir la supprimer pour les citoyens et la réserver uniquement aux gouvernements est un grave glissement vers une société autoritaire. Ce serait alors une arme très puissante pour les courants populistes. Lesquels ne cessent de progresser en Europe… ” Vu la pression exercée par certains États membres et l’avancée actuelle des discussions, ce “Règlement” serait pourtant sur le point d’être adopté. Le Parlement européen qui doit débattre du texte dans les prochaines semaines fera-t-il marche arrière?

La tech se frotte les mains

Rarement un projet de loi européen n’a été aussi critiqué. Outre cette carte blanche signée par ces centaines d’experts et l’opposition virulente de nombreuses associations actives dans le droit numérique, le propre service juridique du Conseil de l’Europe retoque aussi ce projet. De même que certaines polices… mais aussi des associations de défense des enfants, qui rappellent que la protection des mineurs contre les abus sexuels doit d’abord passer par des politiques de prévention ou d’éducation et que toute éventuelle réponse pénale doit être encadrée par des mesures ciblées et tangibles. Problème, selon l’association de défense des libertés numériques La Quadrature du Net, aucune étude sérieuse n’a été fournie sur la fiabilité ou la pertinence de telles mesures extrêmement intrusives. Pire, une enquête allemande vient de révéler que la Commission fondait sa proposition sur les seules allégations de l’industrie, et particulièrement sur celles de Meta (Facebook). Des géants de la tech dont on sait pertinemment bien qu’ils rêvent de récolter davantage de données personnelles.