Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Il y a quatre lumières : la loi EARN IT est de retour et toujours mathématiquement incohérente
La politique se fait sur la base de compromis et d'accords. Une vie politique enseigne l'art de la réalisation partielle. Lorsque la politique se heurte à une constante universelle, ou à une vérité des mathématiques et de la physique, souvent, les politiciens ne peuvent tout simplement pas croire qu'il y a des choses qu'ils ne peuvent pas changer, qu'ils ne peuvent pas négocier, qu'ils ne peuvent pas quitter le fondement de leur vérité. L'une de ces choses est l'arme et le bouclier les plus puissants du monde sur Internet : la cryptographie. L'apparition continue du projet de loi zombie, la loi EARN IT, démontre à maintes reprises que les technologues ne parviennent pas à expliquer et que les décideurs politiques ne comprennent pas qu'il n'existe pas de cryptage partiellement brisé.
Le EARN IT Act, un projet de loi bipartite destiné à sanctionner les entreprises qui n'espionnent pas leurs clients en cassant leur cryptage de bout en bout, a été récemment réintroduit pour la troisième fois il y a plusieurs semaines. La loi créerait, entre autres, une exception à l'article 230 de la Communications Decency Act qui exposerait les entreprises à une responsabilité légale supplémentaire pour l'hébergement de matériel d'exploitation sexuelle d'enfants (CSAM). Cela semble être une bonne chose à faire, mais les incitations à ne pas détenir de CSAM existent déjà dans la loi (et dans la morale). Tenir sciemment CSAM, c'est déjà comme tenir un sac de fentanyl ; le rendre extra-spécial, le double cross-our-hearts illégal n'a aucun sens. Il est déjà tout à fait illégal pour les entreprises d'héberger sciemment du CSAM, et de nombreuses entreprises tentent actuellement de le détecter de manière proactive tout en respectant la vie privée de leurs utilisateurs.
Plus sur:
La cyber-sécurité
Confidentialité
Les parrains du projet de loi, cependant, pensent que les efforts actuels ne suffisent pas, en partie parce que les méthodes de détection CSAM standard ne fonctionnent pas dans les environnements chiffrés de bout en bout. Les auteurs de la loi EARN IT ont déclaré que l'objectif de la loi est d'encourager les entreprises à augmenter considérablement leur analyse des fichiers et des communications des utilisateurs. EARN IT oblige les entreprises à espionner leurs utilisateurs en supprimant les protections de l'article 230 des entreprises qui, même sans le savoir, hébergent du matériel illégal, et le cryptage fait partie de ce manque de connaissances. Dans le domaine de la sécurité et de la technologie de l'information, ce manque de connaissances est une bonne chose ; c'est la vie privée de quiconque utilise les services en ligne pour faire quoi que ce soit, et c'est sans doute la raison du succès de l'internet moderne. Pour atteindre les objectifs d'EARN IT (et éviter toute responsabilité) dans la pratique, les entreprises devraient casser le cryptage et étendre considérablement leur surveillance des citoyens américains, tout en remettant ce matériel sur demande aux forces de l'ordre américaines.
Si ce projet de loi visait les propriétaires et les locataires, ce serait l'équivalent numérique d'exiger des propriétaires qu'ils fouillent constamment les maisons de leurs locataires sans le savoir et sans leur consentement pour toute preuve de crimes sexuels sur des enfants. Il est déjà illégal pour les propriétaires d'autoriser sciemment des crimes, mais exiger qu'ils fouillent à plusieurs reprises les maisons de leurs locataires pour remettre des preuves devient terriblement dystopique et les oblige à devenir des agents involontaires de l'État au lieu de citoyens ou d'entreprises privées. (Ce qui est d'ailleurs inconstitutionnel : si une loi oblige un propriétaire numérique à devenir un agent de l'État, ses perquisitions sans mandat dans le domicile en ligne du locataire violent le quatrième amendement.) Poursuivant la métaphore de la brique et du mortier, les auteurs d'EARN IT veulent que les propriétaires remplacent les verrous solides des locataires par des verrous qui s'ouvrent chaque fois que quelqu'un veut rechercher des crimes sexuels sur des enfants, qu'il y ait une raison de le faire ou non. Et ils jurent que la vie privée et la sécurité de ces locataires ne seront pas affectées de manière significative.
Cela, bien sûr, est un non-sens. Il n'est pas mathématiquement possible, comme les législateurs l'exigent à plusieurs reprises, de ne casser qu'un peu le cryptage afin de rechercher le CSAM. Une fois que le cryptage est cassé, il est complètement cassé. Voici une analogie pour illustrer. Vous souvenez-vous de 1984 de George Orwell ? Il y a un moment où Winston Smith voit O'Brien lever quatre doigts, et on lui dit que s'il dit seulement qu'il y a cinq doigts, il peut se libérer. Pour ceux d'entre vous qui se souviennent des incroyables performances de Sir Patrick Stewart et de David Warner dans Star Trek: The Next Generation, le récit de l'histoire d'Orwell dans le brillant épisode en deux parties Chain Of Command, le capitaine Picard se fait dire par son ravisseur cardassien qu'il doit dire qu'il y a cinq lumières dans la pièce, bien qu'il n'y en ait que quatre. Et si O'Brien ou Gul Madred, dans cette situation, avaient été prêts à faire des compromis, comme le gouvernement américain dit souvent qu'ils sont prêts à le faire ? Tout ce que Winston avait à faire était de dire qu'il y avait 4,5 doigts vers le haut. La seule chose que Picard devait faire était de dire qu'il y avait 4,5 lumières. C'est rencontrer leurs adversaires à mi-chemin, n'est-ce pas ? C'est peut-être un compromis, mais ce n'est ni significatif, ni vrai. Il n'est physiquement pas possible qu'il y ait 4,5 doigts vers le haut ou 4,5 lumières ; il y a ou il n'y a pas un doigt supplémentaire ou une lumière de plus, et dire n'importe quoi d'autre peut arrêter la torture mais cela ne la rend pas vraie. Nous ne pouvons pas dire aux décideurs politiques qu'il est possible de faire des compromis sur le chiffrement, car il n'y a pas de compromis à faire. C'est cassé ou pas. Il y a quatre doigts. IL Y A QUATRE LUMIÈRES. Dire qu'il y en a 5 parce que c'est ce qu'un décideur veut entendre, ou dire qu'il y en a 4,5 parce que cela ressemble à un compromis, fait de nous des menteurs sans résoudre aucun des problèmes sous-jacents.
La vie privée et la protection sont des caractéristiques des technologies et de la relation entre parent et enfant, ou État et citoyen. Mais le cryptage n'est pas une caractéristique d'une relation ou d'un compromis politique. C'est un principe mathématique fondamental qui n'a rien à voir avec nos souhaits et nos désirs. Des algorithmes de cryptage célèbres comme DES et SHA-1 ont été largement utilisés jusqu'à ce qu'ils soient cryptés, même si beaucoup de gens trouvaient extrêmement gênant de mettre à jour leurs protocoles de cryptage. La plupart des experts pensent qu'un algorithme cryptographique de nombres aléatoires vendu par la société RSA a été délibérément détourné. Une fois qu'un algorithme de chiffrement est brisé, il peut s'écouler quelques minutes avant que la vulnérabilité ne soit connue dans le monde entier.
J'ai écrit sur la façon dont l'interdiction largement ridiculisée du Montana TikTok n'est exécutoire qu'avec la création d'un État de surveillance à la chinoise. EARN IT oblige les entreprises à participer à cet État de surveillance à la chinoise au mépris des principes constitutionnels. Le gouvernement chinois a ce niveau d'accès aux données de ses citoyens parce qu'il détient les clés de cryptage de presque tous les logiciels et produits Internet grand public en Chine - et deux trop nombreux sénateurs américains (Blumenthal et Graham) tentent obstinément de reproduire le même état de surveillance avec EARN IT sous la bannière "pensez aux enfants".
Plus sur:
La cyber-sécurité
Confidentialité
L'un des choix les plus fondamentaux que nous faisons tous en tant que citoyens américains est le degré de protection que nous voulons par rapport au degré de confidentialité pour faire nos propres choix sans surveillance. Ce n'est pas un choix offert aux citoyens chinois. Nous pouvons faire des compromis entre confidentialité et protection. De nombreux parents le font pour leurs enfants, en leur achetant un téléphone portable lorsqu'ils sont jeunes, principalement pour suivre leur emplacement, superviser leurs communications pour les protéger et leur donner un moyen d'appeler à l'aide si nécessaire. Au fur et à mesure que les enfants grandissent, les parents réduiront idéalement leur surveillance et la protection du téléphone de leur enfant à mesure que l'enfant devient plus digne de confiance et démontre qu'il est capable de prendre de bonnes décisions, avec le droit et en fait la responsabilité légale de regarder s'il s'inquiète. Mais forcer simplement les entreprises à commencer à surveiller tous les citoyens tout en ne jurant que les meilleures intentions ne fonctionne pas. Alors qu'il était interviewé par Tom Brokaw lors d'une discussion en 2006 au Council on Foreign Relations, Michael Chertoff l'a magnifiquement dit :
Il y a un énorme désir que le gouvernement dise aux gens que nous les protégerons en fait contre tous les risques, partout et à tout moment. Et je vous dirai que nous ne pouvons pas faire cela, et nous ne le ferons pas. Le prix à payer serait de transformer notre société, qui est une société libre et ouverte, en un État policier en faillite.
Ce que nous devons faire, c'est évaluer intelligemment et honnêtement les compromis. Nous devons comprendre quels sont les avantages, quels sont les risques et quels sont les coûts. Et puis nous devons avoir une discussion ouverte et honnête sur les coûts que nous sommes prêts à supporter pour atteindre un niveau de sécurité raisonnable mais pas parfait.
Traditionnellement, lorsque nous disposions d'énormes piles de données sur des crimes potentiels, les forces de l'ordre ne se sont jamais arrêtées de rechercher dans cette pile de données un seul type de crime et, en fait, justifieront les utilisations illégales de cette pile de données pour attraper des criminels. Ils utiliseront de nouvelles lectures des lois pour promouvoir de nouvelles utilisations des données qu'ils ont collectées pour d'autres raisons ou tenteront des assignations à comparaître pour ces données, y compris pour refroidir le journalisme d'investigation. Ils trouveront toujours une raison de rechercher le deuxième, le troisième et le douzième type de crime, car les données sont là pour être trouvées et utilisées. C'est en partie la raison pour laquelle nous avons un droit du quatrième amendement contre la perquisition et la saisie illégales. Les fondateurs de ce pays savaient bien qu'une fois que la surveillance de masse et l'application excessive de la loi prendront pied, cela ne s'arrêtera pas et, pire, peut conduire à une spirale vicieuse d'autocensure et de collecte de données qui ruine notre liberté d'expression de manière irréparable.
Je peux sympathiser avec et comprendre la profonde colère des responsables de l'application des lois qui ne peuvent pas accéder à une pile de données existante qui pourrait les aider à résoudre des crimes dévastateurs contre les membres les plus vulnérables de notre société. Ce que je ne peux pas dire, c'est s'il y a une fin à la quantité de données que ces agents des forces de l'ordre veulent détenir sur nous tous. Pour être parfaitement précis, la meilleure pile de données que ces agents des forces de l'ordre pourraient utiliser pour résoudre tous les crimes serait chaque conversation vocale ou textuelle que nous avons tous eue. Il est difficile de peser les compromis entre la vie privée et la protection, et c'est quelque chose que nous, en tant que société, devons continuer à affronter à l'avenir. Il est facile d'aller trop loin ou pas assez loin en allant vers l'un ou l'autre, mais, fondamentalement, donner plus d'intimité à quelqu'un signifie moins le surveiller. Cependant, il y a une différence entre la vie privée et la protection, qui sont des valeurs et des droits, et qui peuvent donc être équilibrées, et des vérités immuables comme le fonctionnement des mathématiques.
Plus déprimant, le premier, le deuxième et maintenant le troisième EARN IT sont de mauvaises mathématiques bipartites - il y a des partisans républicains et démocrates d'EARN IT - reflétant encore une fois le fait que les décideurs veulent désespérément utiliser une pénalité symptomatique en aval plus facile pour résoudre un problème social en amont plus complexe capable d'être atténué et prévenu. EARN IT est un autre cas de politiciens qui ne comprennent pas ou ignorent les réalités techniques derrière le cryptage. Vous ne pouvez pas être un peu enceinte, vous ne pouvez pas être un peu morte, et le cryptage ne peut pas être à moitié brisé.