Les nouvelles lignes directrices sur les intermédiaires et le code d'éthique des médias numériques (« règles 2021 ») du gouvernement indien posent d' énormes problèmes pour la liberté d'expression et la vie privée des internautes . Ils incluent des exigences dangereuses pour les plates-formes pour identifier les origines des messages et du contenu de pré-écran, ce qui casse fondamentalement le cryptage fort pour les outils de messagerie. Bien que WhatsApp et d'autres contestent les règles devant les tribunaux, les règles de 2021 sont déjà entrées en vigueur.
Trois rapporteurs spéciaux des Nations Unies – les rapporteurs pour la liberté d'expression, la vie privée et l'association – ont entendu et en grande partie affirmé les critiques de la société civile à l'égard des Règles de 2021, reconnaissant qu'elles n'étaient « pas conformes aux normes internationales des droits humains ». En effet, les rapporteurs ont exprimé de sérieuses inquiétudes quant au fait que la règle 4 des lignes directrices pourrait compromettre le droit à la vie privée de chaque internaute et ont appelé le gouvernement indien à procéder à un examen détaillé des règles et à consulter toutes les parties prenantes concernées, y compris les ONG spécialisées dans la vie privée et la liberté d'expression.
Les Règles 2021 contiennent deux dispositions particulièrement pernicieuses : la Règle 4(4) du Mandat de Filtrage de Contenu et la Règle 4(2) Mandat de Traçabilité.
Mandat de filtrage de contenu
La règle 4(4) oblige le filtrage du contenu, exigeant que les fournisseurs soient en mesure d'examiner le contenu des communications, ce qui non seulement brise fondamentalement le cryptage de bout en bout, mais crée un système de censure. Les principaux intermédiaires des médias sociaux (c'est-à-dire Facebook, WhatsApp, Twitter, etc.) doivent « s'efforcer de déployer des mesures basées sur la technologie », y compris des outils automatisés ou d'autres mécanismes, pour « identifier de manière proactive les informations » qui ont été interdites en vertu des règles. Cela ne peut pas être fait sans rompre les promesses de niveau supérieur d'une messagerie cryptée sécurisée de bout en bout.
L'analyse côté client a été proposée comme moyen d'appliquer le blocage de contenu sans casser techniquement le chiffrement de bout en bout. C'est-à-dire que le propre appareil de l'utilisateur pourrait utiliser sa connaissance du contenu non crypté pour appliquer des restrictions en refusant de transmettre, ou peut-être d'afficher, certaines informations interdites, sans les révéler au fournisseur de services qui tentait de communiquer ou d'afficher ces informations. C'est faux. L'analyse latérale du client nécessite un robot-espion dans la pièce. Un espion dans un endroit où les gens parlent en privé n'en fait pas une conversation privée. Si cet espion est un robot-espion comme avec l'analyse côté client, c'est toujours un espion tout autant que s'il s'agissait d'un espion humain.
Comme nous l'avons expliqué l'année dernière , l'analyse côté client brise intrinsèquement les promesses de haut niveau des communications cryptées sécurisées de bout en bout. Si le fournisseur contrôle le contenu de l'ensemble de contenus interdits, il peut effectuer des tests par rapport à des déclarations individuelles. Par conséquent, un test par rapport à un ensemble de taille 1 revient en pratique à déchiffrer un message. Et avec l'analyse côté client, il n'y a aucun moyen pour les utilisateurs, les chercheurs ou la société civile d'auditer le contenu de la liste des matériaux interdits.
Le gouvernement indien définit le mandat comme étant dirigé contre le terrorisme, l'obscénité et le fléau du matériel pédopornographique, mais le mandat est en réalité beaucoup plus large. Il impose également une application proactive et automatique des dispositions de retrait de contenu de la section (3)1(d) de la règle 2021 exigeant le blocage proactif du matériel précédemment considéré comme « des informations interdites par toute loi », y compris spécifiquement les lois pour la protection de « la souveraineté et l'intégrité de l'Inde ; la sécurité de l'Etat ; relations amicales avec les États étrangers; ordre publique; décence ou moralité ; en matière d'outrage au tribunal; diffamation », et l'incitation à un tel acte. Cela inclut la loi sur la prévention des activités illégales, largement critiquée , qui aurait été utilisée pour arrêter des universitaires, des écrivains et des poètes pour avoir organisé des rassemblements et publié des messages politiques sur les réseaux sociaux.
Ce large mandat est tout ce qui est nécessaire pour supprimer automatiquement la dissidence, les protestations et les activités politiques qu'un gouvernement n'aime pas, avant même qu'elles ne puissent être transmises. La réponse du gouvernement indien aux rapporteurs écarte cette préoccupation, écrivant « Les références démocratiques de l'Inde sont bien reconnues. Le droit à la liberté de parole et d'expression est garanti par la Constitution indienne.
La réponse manque le point. Même si un État démocratique n'applique ce pouvoir incroyable de supprimer préventivement l'expression que rarement et dans les limites des droits internationalement reconnus à la liberté d'expression, Rule(4)4 met en place la boîte à outils pour une répression autoritaire, automatiquement appliquée non seulement en public discours, mais même dans des messages privés entre deux personnes.
Une partie d'un engagement en faveur des droits de l'homme dans une démocratie nécessite une hygiène civique, refusant de créer les outils d'un pouvoir antidémocratique.
De plus, des règles comme celles-ci donnent du réconfort et du crédit aux efforts autoritaires visant à faire appel à des intermédiaires pour les aider dans leur répression. Si cette règle était disponible pour la Chine, mot pour mot, elle pourrait être utilisée pour exiger des sociétés de médias sociaux qu'elles bloquent la transmission des images de Winnie l'ourson comme cela s'est produit en Chine, même dans des messages directs «cryptés».
Les filtres automatisés violent également la procédure régulière, renversant le fardeau de la censure. Comme l' ont clairement indiqué les trois rapporteurs spéciaux de l'ONU , un
l'obligation générale de surveillance qui conduira à la surveillance et au filtrage du contenu généré par les utilisateurs au moment de la mise en ligne … permettrait le blocage du contenu sans aucune forme de procédure régulière avant même sa publication, renversant la présomption bien établie selon laquelle les États, pas des individus, portent la charge de justifier les restrictions à la liberté d'expression.
Mandat de traçabilité
La disposition sur la traçabilité, dans la règle 4(2), exige que tout grand intermédiaire de médias sociaux qui fournit des services de messagerie « permette l'identification du premier expéditeur des informations sur sa ressource informatique » en réponse à une ordonnance du tribunal ou à une demande de décryptage émise en vertu les règles de décryptage de 2009 . Les règles de décryptage permettent aux autorités de demander l'interception ou la surveillance de toute information décryptée générée, transmise, reçue ou stockée dans n'importe quelle ressource informatique.
Le gouvernement indien a répondu au rapport du rapporteur, affirmant respecter le droit à la vie privée :
« Le gouvernement indien reconnaît et respecte pleinement le droit à la vie privée, tel que prononcé par la Cour suprême de l'Inde dans l' affaire KS Puttaswamy . La vie privée est l'élément central de l'existence d'un individu et, à la lumière de cela, les nouvelles règles informatiques ne recherchent des informations que sur un message déjà en circulation qui a abouti à une infraction.
Cette vision étroite de la Règle (4)4 est fondamentalement erronée. La mise en œuvre de la règle nécessite que le service de messagerie collecte des informations sur tous les messages, même avant que le contenu ne soit considéré comme un problème, permettant au gouvernement d'effectuer une surveillance avec une machine à remonter le temps. Cela modifie le modèle de sécurité et empêche la mise en œuvre d'un cryptage fort qui est un filet de sécurité fondamental pour protéger les droits de l'homme à l'ère numérique.
Le danger du cryptage
Les mandats de traçabilité et de filtrage mettent en danger le cryptage, appelant les entreprises à connaître des informations détaillées sur chaque message que leurs conceptions de cryptage et de sécurité permettraient aux utilisateurs de garder privées. Un cryptage fort de bout en bout signifie que seuls l'expéditeur et le destinataire prévu connaissent le contenu des communications entre eux. Même si le fournisseur ne compare que deux messages cryptés pour voir s'ils correspondent, sans examiner directement le contenu, cela réduit la sécurité en offrant plus d'opportunités de deviner le contenu.
Ce n'est pas un hasard si les Règles de 2021 s'attaquent au chiffrement. Riana Pfefferkorn, chercheuse à l'Observatoire Internet de Stanford, a écrit que les règles visaient intentionnellement le chiffrement de bout en bout, car le gouvernement insisterait sur les modifications logicielles pour vaincre les protections de chiffrement :
S'adressant anonymement à The Economic Times , un responsable du gouvernement a déclaré que les nouvelles règles forceraient les grandes plateformes en ligne à « contrôler » ce que le gouvernement considère comme du contenu illégal : en vertu des nouvelles règles, « des plateformes comme WhatsApp ne peuvent pas fournir de bout en bout cryptage comme excuse pour ne pas supprimer un tel contenu », a déclaré le responsable .
L'exigence tacite des règles de 2021 de briser le cryptage va au-delà du mandat de la loi sur les technologies de l'information (IT), qui a autorisé les règles de 2021. L' analyse juridique et constitutionnelle détaillée des règles du Center for Internet & Society de l'Inde explique : « Il n'y a rien dans l'article 79 de la loi sur l'informatique qui suggère que le législateur avait l'intention d'habiliter le gouvernement à imposer des modifications à l'architecture technique des services, ou à saper les utilisateurs intimité." Les deux sont tenus de se conformer au Règlement.
Il existe de meilleures solutions. Par exemple, WhatsApp a trouvé un moyen de décourager le transfert massif de messages en chaîne sans en connaître lui-même le contenu. L'application note le nombre de fois qu'un message a été transféré à l'intérieur du message lui-même afin que l'application puisse ensuite modifier son comportement en fonction de cela. Étant donné que le nombre de transferts se trouve à l'intérieur du message crypté, le serveur WhatsApp et la société ne le voient pas. Ainsi, votre application peut ne pas vous permettre de transférer une chaîne de lettres, car le contenu de la lettre montre qu'elle a été transférée massivement, mais l'entreprise ne peut pas consulter le message crypté et connaître son contenu.
De même, permettre aux utilisateurs de signaler du contenu peut atténuer bon nombre des dommages qui ont inspiré les règles indiennes 2021. Le principe clé du chiffrement de bout en bout est qu'un message parvient en toute sécurité à sa destination, sans être intercepté par des espions. Cela n'empêche pas le destinataire de signaler des messages abusifs ou illégaux, y compris le contenu désormais déchiffré et les informations de l'expéditeur. Un intermédiaire peut être en mesure de faciliter le signalement des utilisateurs tout en étant en mesure de fournir le cryptage fort nécessaire à une société libre. En outre, il existe des techniques cryptographiques permettant à un utilisateur de signaler un abus de manière à identifier le contenu abusif ou illégal sans possibilité de falsifier une plainte et de préserver la vie privée des personnes non directement impliquées.
Les règles de 2021 mettent en danger le cryptage, affaiblissant la vie privée et la sécurité des gens ordinaires dans toute l'Inde, tout en créant des outils qui pourraient trop facilement être utilisés à mauvais escient contre les droits humains fondamentaux, et qui peuvent inspirer des régimes autoritaires à travers le monde. Les Règles devraient être retirées, révisées et reconsidérées, en faisant entendre la voix de la société civile et des défenseurs des droits humains internationaux, afin de garantir que les Règles aident à protéger et à préserver les droits fondamentaux à l'ère numérique.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/07/indias-draconian-rules-internet-platforms-threaten-user-privacy-and-undermine le Wed, 21 Jul 2021 00:14:26 +0000.