Le chiffrement face à une menace existentielle en Europe

Publié le 4 janvier 2023

Le PDG de Proton affirme que les nouvelles lois sur la concurrence lui ont enfin permis de se faire entendre à Bruxelles, même s’il se bat contre la campagne anti-cryptage de l’UE.

Andy Yen se positionne comme la réponse européenne au cofondateur de Google, Larry Page. Comme Google, la société de Yen, Proton, propose des services tels que la messagerie électronique, l’agenda, le stockage sur disque dur et le VPN, mais avec une touche de confidentialité. Tous ses produits sont chiffrés. Mais contrairement à Google, Proton, neuf ans, a dû essayer de développer son activité dans l’ombre des géants de la technologie. Cela a été un énorme désavantage, dit Yen, car des entreprises comme Google et Apple peuvent exploiter leur domination pour pousser les utilisateurs à utiliser leurs applications ainsi que leurs téléphones. 

Lorsqu’une personne achète un Android de Google ou un iPhone d’Apple, elle se voit proposer par défaut un service de messagerie, un moteur de recherche et une application de calendrier. « Il se trouve que les services par défaut sont ceux que [ces entreprises] fournissent elles-mêmes », s’est plaint Yen en 2021. Il était bien conscient que les gens privilégient la commodité. « Ce que nous savons des études, c’est que 95 % des gens ne changeront pas les valeurs par défaut ».

Mais 2022 est l’année où l’Union européenne a finalement pris des mesures. En mars, les législateurs du bloc se sont mis d’accord sur de nouvelles règles destinées à relâcher l’emprise de Big Tech sur les consommateurs européens et à aider les entreprises internet locales à concurrencer les géants américains pour attirer les clients. La loi sur les marchés numériques obligera les entreprises qui exploitent les systèmes d’exploitation des téléphones à proposer des « écrans de choix » afin que les utilisateurs puissent mieux contrôler les services qu’ils utilisent. Techniquement, la DMA est entrée en vigueur en novembre, mais elle ne prendra pleinement effet qu’en mars 2024. Le siège de Proton est situé à Genève, en Suisse, qui n’est pas membre de l’UE. Mais M. Yen pense que cette loi aidera les entreprises européennes, comme Proton, à avoir enfin une voix à Bruxelles.

L’élan de l’Europe dans la réécriture des règles de l’internet n’est cependant pas tout à fait favorable à Proton, qui a atteint 70 millions de comptes. L’entreprise observe avec circonspection une vague de propositions au Royaume-Uni et dans l’UE qui, selon les défenseurs de la vie privée, menacent le chiffrement, comme le projet de loi britannique sur la sécurité en ligne et les propositions de l’UE visant à lutter contre les documents relatifs à l’exploitation sexuelle des enfants. Yen a pris la parole en octobre lors de la conférence commerciale de WIRED, WIRED Smarter. À cette occasion, nous avons discuté de la manière dont il envisage les avancées et les préoccupations qui émergent de l’attention croissante que l’Europe porte à la législation technologique. Cette interview a été modifiée dans un souci de clarté et de longueur. 

WIRED : Vous avez été un grand défenseur de la loi européenne sur les marchés numériques. Maintenant que les nouvelles règles ont été adoptées, êtes-vous préoccupé par leur application ? 

Andy Yen : J’ai eu un appel au début de l’année avec Margrethe Vestager, qui est la responsable de la concurrence à la Commission européenne. Et je peux vous dire que la volonté politique de faire appliquer ces règles est là. Vous pouvez voir le feu en elle. Elle veut que cela soit fait. 

Mais la volonté politique est-elle la même chose que d’avoir les ressources pour forcer les grandes entreprises technologiques à se conformer ? 

C’est exactement le problème. La capitalisation boursière combinée de ces grandes entreprises technologiques était, il y a quelques mois, de 7000 milliards de dollars, soit plus que le PIB de la plupart des pays européens. 

Cela fait beaucoup d’avocats.

Ils [les grandes entreprises technologiques] consacrent littéralement des centaines de millions d’euros à ce problème. Et même si Mme Vestager s’est engagée à lutter contre ce problème, elle doit faire face à une bataille difficile contre les énormes ressources de pouvoirs bien établis. Ce sera donc un combat difficile. Mais ce qui me rend très optimiste, c’est que, pour la première fois, je vois la Commission tendre la main à de petites entreprises comme Proton pour comprendre réellement la nature du problème et aller au fond des choses. 

C’est un changement. Au lieu de se contenter d’écouter ce que les consultants et les avocats de Big Tech crachent, ils prennent le temps de parler aux petites entreprises et, pour la première fois - peut-être de tous les temps -, j’ai l’impression que nous avons une voix à Bruxelles. 

Quand ce changement s’est-il produit ? Après l’adoption du DMA ? 

Juste au cours de l’année dernière. Je pense que cela montre vraiment un changement de mentalité à Bruxelles qui, jusqu’à présent, ne s’est pas encore produit aux États-Unis. Aux États-Unis, la lutte antitrust est beaucoup plus compliquée. 

Qu’en est-il des autres réglementations européennes ? Je sais que la législation élaborée par la commissaire européenne aux affaires intérieures, Ylva Johansson, suscite beaucoup d’inquiétude. Elle propose d’obliger les plates-formes chiffrées à effectuer des recherches automatisées de matériel pédopornographique. Pensez-vous que cela pourrait vous affecter ?

Bien sûr, cela pourrait nous concerner. Il y a aussi le projet de loi sur la sécurité en ligne ici au Royaume-Uni. Il semble qu’il revienne d’entre les morts. 

Mais si ces mesures sont adoptées, le cryptage risque d’être diabolisé à un moment où des avancées sont réalisées dans d’autres domaines. 

Le problème de ces législations est qu’elles sont rédigées de manière trop générale ; elles tentent de couvrir trop de questions sans rapport les unes avec les autres. Je vais vous donner un exemple tiré du débat sur la sécurité en ligne au Royaume-Uni. Il porte en partie sur la modération du contenu sur les médias sociaux. Mais il y a une différence entre la messagerie sur les médias sociaux et la messagerie privée. Ces deux éléments doivent être découplés. Personne ne dit qu’il n’y a pas de problèmes et que nous ne devons pas essayer de les résoudre. Mais je pense que nous devons définir clairement ce que nous essayons de résoudre et comment le remède est orienté vers le problème réel. Sinon, on aboutit à une législation qui a beaucoup de conséquences imprévues. 

C’est peut-être le cas dans le projet de loi sur la sécurité en ligne au Royaume-Uni, qui tente de s’attaquer à de nombreux problèmes différents. Mais la proposition de l’UE sur le contrôle des chats fait valoir que la messagerie chiffrée crée un espace où l’on peut craindre que des enfants soient maltraités. Comment abordez-vous ce débat ? Parce qu’il est très émotionnel. 

En général, l’objectif de la législation est d’intervenir lorsque les marchés ne créent pas les bonnes structures d’incitation pour obtenir un résultat qui soit bon pour la société, n’est-ce pas ? Et si vous regardez, disons, le débat sur le contrôle des abus sexuels sur les enfants, y a-t-il une entreprise dans le monde qui soit incitée à ne pas s’attaquer à ce problème ? Je dirais que non. C’est un énorme problème du point de vue des relations publiques, du point de vue commercial. Les grandes et petites entreprises technologiques comme Proton consacrent déjà toutes les ressources possibles à la lutte contre ce problème. Donc, étant donné que c’est déjà le cas, la législation n’est peut-être pas nécessaire parce que les incitations à s’attaquer au problème sont déjà là. 

Le deuxième aspect est l’accent mis sur le chiffrement. Mais casser le chiffrement est-il le seul moyen de s’attaquer à ce problème ? Je peux vous le dire, ce n’est pas le cas. Il existe de nombreux autres moyens technologiques d’y parvenir - en examinant les modèles de comportement, par exemple. Nous devons toujours trouver le bon équilibre. Et pour moi, exiger que nous sapions, affaiblissions ou cassions le chiffrement, ce n’est pas le bon équilibre. J’ai tendance à penser que la vie privée et le chiffrement peuvent être utilisés à mauvais escient. C’est inévitable. Mais un monde où la vie privée et le chiffrement sont interdits existe déjà. La Russie l’a fait récemment. La Chine est en train de le faire. La Corée du Nord le fait. L’Iran le fait. Et je peux vous dire que les habitants de ces pays ne se sentent pas plus en sécurité. Dans une société démocratique, nous devons accepter et défendre la vie privée, même s’il y a des externalités négatives, car l’alternative, qui est l’absence de vie privée, est pire. Nous ne devrions pas nous efforcer de dire que nous avons la solution parfaite qui éliminera 100 % du CSAM [matériel pédopornographique], aussi répréhensible soit-il. Car si nous faisons cela, nous renonçons à beaucoup plus. C’est l’équilibre qu’il faut trouver. 

Vous avez dit que des entreprises comme Proton sont enfin écoutées en ce qui concerne la politique de concurrence. Mais quelle est l’approche de l’UE en matière de CSAM ? Avez-vous l’impression d’être écouté sur cette question ?

Il s’agit d’un débat. Le problème que je vois ici est que les politiciens ressentent une pression pour affronter le problème. Ils subissent des pressions, également de la part des forces de l’ordre, pour s’attaquer au problème. Mais je pense que les services répressifs utilisent cette question comme un cheval de Troie, ils veulent vraiment [casser le chiffrement] à d’autres fins. En même temps, lorsque je parle à des gens à Bruxelles, ils disent : « Nous n’essayons pas de casser le chiffrement, nous savons que le chiffrement est très important. » Et c’est le problème typique où ils ont besoin de montrer qu’ils font quelque chose, qu’ils veulent faire quelque chose. Mais en même temps, il n’y a pas de solution facile, évidente au problème. Ils sont donc un peu coincés. 

Dans quelle mesure la proposition de l’UE relative au CSAM vous inquiète-t-elle ? Il y a beaucoup d’opposition à cette idée. Pensez-vous qu’elle va passer ou qu’elle est simplement trop impopulaire ? 

En fait, je suis assez inquiet, car dans le passé, cette question a été soulevée, mais elle était liée au terrorisme. Mais cette fois, ils l’ont lié à la maltraitance des enfants, qui est un sujet très toxique. En raison du débat public, certaines des personnes qui s’opposeraient à cette mesure ne seront pas en mesure d’avoir un débat rationnel. 

Il est beaucoup plus difficile d’entrer dans les détails, car beaucoup de gens ne veulent même pas débattre de cette question - c’est très perturbant. 

Vous voulez avoir une discussion nuancée à ce sujet, et puis la réponse est "pensez aux enfants". Il est difficile d’avoir une véritable discussion à ce sujet. Je pense que ce serait mauvais pour la démocratie si nous n’avions pas ce débat. Mais c’est un emballage très astucieux, c’est sûr.

À lire, sur le même thème : https://www.numerama.com/politique/1065344-le-plan-anti-pedopornographie-de-lue-sannonce-calamiteux.html

***

* Source originale :
→ Auteur : Morgan Meaker
→ URL : https://www.wired.co.uk/article/encryption-faces-an-existential-threat-in-europe
→ Date : 3 janvier 2023

* Image d’illustration
→ Source : https://flickr.com/photos/74711243@N06/52475204075
→ Author : Web Summit
→ Date : 3 November 2022, 16:03
→ Description : 3 November 2022 ; Speakers from left, Andy Yen, Founder & CEO, Proton, on FULLSTK stage during day two of Web Summit 2022 at the Altice Arena in Lisbon, Portugal. Photo by Sam Barnes/Web Summit via Sportsfile

***

Retrouvez-moi sur Mastodon →