Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

European Court of Human Rights Confirms: Weakening Encryption Violates Fundamental Rights

✇Electronic Frontier Foundation
Par : Christoph Schmon
5 mars 2024 à 09:09

In a milestone judgment—Podchasov v. Russiathe European Court of Human Rights (ECtHR) has ruled that weakening of encryption can lead to general and indiscriminate surveillance of the communications of all users and violates the human right to privacy.  

In 2017, the landscape of digital communication in Russia faced a pivotal moment when the government required Telegram Messenger LLP and other “internet communication” providers to store all communication data—and content—for specified durations. These providers were also required to supply law enforcement authorities with users’ data, the content of their communications, as well as any information necessary to decrypt user messages. The FSB (the Russian Federal Security Service) subsequently ordered Telegram to assist in decrypting the communications of specific users suspected of engaging in terrorism-related activities.

Telegram opposed this order on the grounds that it would create a backdoor that would undermine encryption for all of its users. As a result, Russian courts fined Telegram and ordered the blocking of its app within the country. The controversy extended beyond Telegram, drawing in numerous users who contested the disclosure orders in Russian courts. A Russian citizen, Mr Podchasov, escalated the issue to the European Court of Human Rights (ECtHR), arguing that forced decryption of user communication would infringe on the right to private life under Article 8 of the European Convention of Human Rights (ECHR), which reads as follows:  

Everyone has the right to respect for his private and family life, his home and his correspondence (Article 8 ECHR, right to respect for private and family life, home and correspondence) 

EFF has always stood against government intrusion into the private lives of users and advocated for strong privacy guarantees, including the right to confidential communication. Encryption not only safeguards users’ privacy but also protects their right to freedom of expression protected under international human rights law. 

In a great victory for privacy advocates, the ECtHR agreed. The Court found that the requirement of continuous, blanket storage of private user data interferes with the right to privacy under the Convention, emphasizing that the possibility for national authorities to access these data is a crucial factor for determining a human rights violation [at 53]. The Court identified the inherent risks of arbitrary government action in secret surveillance in the present case and found again—following its stance in Roman Zakharov v. Russiathat the relevant legislation failed to live up to the quality of law standards and lacked the adequate and effective safeguards against misuse [75].  Turning to a potential justification for such interference, the ECtHR emphasized the need of a careful balancing test that considers the use of modern data storage and processing technologies and weighs the potential benefits against important private-life interests [62-64]. 

In addressing the State mandate for service providers to submit decryption keys to security services, the court's deliberations culminated in the following key findings [76-80]:

  1. Encryption being important for protecting the right to private life and other fundamental rights, such as freedom of expression: The ECtHR emphasized the importance of encryption technologies for safeguarding the privacy of online communications. Encryption safeguards and protects the right to private life generally while also supporting the exercise of other fundamental rights, such as freedom of expression.
  2. Encryption as a shield against abuses: The Court emphasized the role of encryption to provide a robust defense against unlawful access and generally “appears to help citizens and businesses to defend themselves against abuses of information technologies, such as hacking, identity and personal data theft, fraud and the improper disclosure of confidential information.” The Court held that this must be given due consideration when assessing measures which could weaken encryption.
  3. Decryption of communications orders weakens the encryption for all users: The ECtHR established that the need to decrypt Telegram's "secret chats" requires the weakening of encryption for all users. Taking note again of the dangers of restricting encryption described by many experts in the field, the Court held that backdoors could be exploited by criminal networks and would seriously compromise the security of all users’ electronic communications. 
  4. Alternatives to decryption: The ECtHR took note of a range of alternative solutions to compelled decryption that would not weaken the protective mechanisms, such as forensics on seized devices and better-resourced policing.  

In light of these findings, the Court held that the mandate to decrypt end-to-end encrypted communications risks weakening the encryption mechanism for all users, which was a disproportionate to the legitimate aims pursued. 

In summary [80], the Court concluded that the retention and unrestricted state access to internet communication data, coupled with decryption requirements, cannot be regarded as necessary in a democratic society, and are thus unlawful. It emphasized that a direct access of authorities to user data on a generalized basis and without sufficient safeguards impairs the very essence of the right to private life under the Convention. The Court also highlighted briefs filed by the European Information Society Institute (EISI) and Privacy International, which provided insight into the workings of end-to-end encryption and explained why mandated backdoors represent an illegal and disproportionate measure. 

Impact of the ECtHR ruling on current policy developments 

The ruling is a landmark judgment, which will likely draw new normative lines about human rights standards for private and confidential communication. We are currently supporting Telegram in its parallel complaint to the ECtHR, contending that blocking its app infringes upon fundamental rights. As part of a collaborative efforts of international human rights and media freedom organisations, we have submitted a third-party intervention to the ECtHR, arguing that blocking an entire app is a serious and disproportionate restriction on freedom of expression. That case is still pending. 

The Podchasov ruling also directly challenges ongoing efforts in Europe to weaken encryption to allow access and scanning of our private messages and pictures.

For example, the controversial UK's Online Safety Act creates the risk that online platforms will use software to search all users’ photos, files, and messages, scanning for illegal content. We recently submitted comments to the relevant UK regulator (Ofcom) to avoid any weakening of encryption when this law becomes operational. 

In the EU, we are concerned about the European Commission’s message-scanning proposal (CSAR) as being a disaster for online privacy. It would allow EU authorities to compel online services to scan users’ private messages and compare users’ photos to against law enforcement databases or use error-prone AI algorithms to detect criminal behavior. Such detection measures will inevitably lead to dangerous and unreliable Client-Side Scanning practices, undermining the essence of end-to-end encryption. As the ECtHR deems general user scanning as disproportionate, specifically criticizing measures that weaken existing privacy standards, forcing platforms like WhatsApp or Signal to weaken security by inserting a vulnerability into all users’ devices to enable message scanning must be considered unlawful. 

The EU regulation proposal is likely to be followed by other proposals to grant law enforcement access to encrypted data and communications. An EU high level expert group on ‘access to data for effective law enforcement’ is expected to make policy recommendations to the next EU Commission in mid-2024. 

We call on lawmakers to take the Court of Human Rights ruling seriously: blanket and indiscriminate scanning of user communication and the general weakening of encryption for users is unacceptable and unlawful. 

Aboutissement du trilogue sur le Cyber Resilience Act : le pire est évité, mais des flous demeurent

✇April
Par : egonnu
15 janvier 2024 à 08:12

Le Cyber Resilience Act est un projet de règlement européen visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels en Europe. Des communautés libristes avaient partagé leurs profondes inquiétudes quant au texte initial de la Commission européenne1. Depuis, la procédure législative a fait son chemin et ce qui devrait être le texte final a été publié et semble, dans les grandes lignes, avoir adressé les craintes portant sur le logiciel libre.

La procédure législative européenne a cela de particulier que les textes qu'elle produit sont le résultat d'un équilibre trouvé entre trois institutions : la Commission européenne qui propose des projets de directive ou de règlement, le Conseil de l'UE (réunion des représentants des gouvernements des différents États membres) et du Parlement. Après une navette législative plus ou moins longue entre ces deux dernières, les trois institutions mènent des négociations interinstitutionnelles, souvent appelées trilogues, dans l'objectif de produire un texte de consensus qui sera enfin ratifié par les parlementaires. Le trilogue relatif au Cyber Resilience Act a abouti le 20 décembre 2023, le texte est désormais en ligne (en anglais)

Stéfane Fermigier (coprésident du CNLL2) – une des personnes les plus impliquées sur ce dossier dans les communautés libristes en France – considère dans un billet publié sur LinuxFR que le « consensus des observateurs sur le document final semble être que celui-ci a "patché"3 les problèmes les plus graves qui ont été soulevés par les acteurs du logiciel libre au cours du processus législatif ».

Pour rappel, le texte initial, que l'April avait qualifié « d'épée de Damoclès » sur le logiciel libre, faisait peser une très lourde responsabilité sur toutes celles et ceux qui produisent du code et qui le diffusent, rendant de fait le développement de logiciels libres extrêmement risqué, donc économiquement intenable. Largement critiqué par les communautés libristes, et pas seulement, le texte a évolué au cours de la procédure législative. En particulier, en clarifiant la notion « d'activité commerciale » afin qu'elle intègre mieux les réalités, multiples, propres au développement de logiciels libres. Parallèlement, le texte semble mieux prendre en compte les petites et moyennes entreprises — majoritaires parmi les entreprises du libre. Nous mettrons à jour cette actu en renvoyant à des analyses détaillées de ces évolutions lorsqu'elles seront publiées.

Toutefois, comme le fait remarquer S. Fermigier, si le texte a indéniablement progressé, des flous demeurent, notamment sur la manière dont, de façon très pratique, seront mises en œuvre ces nouvelles obligations. Il partage également son interrogation sur la manière dont le texte définit le logiciel libre. S'il s'appuie sur les quatre libertés inscrites dans une licence, telles qu'elles sont définies par la FSF – ce qui est bienvenu – le projet de règlement fait potentiellement du mode de développement un critère juridique en affirmant que les logiciels sont développés, maintenus et distribués de manière ouverte 4. C'est indéniablement souhaitable, mais ce n'est pas constitutif de ce qu'est un logiciel libre. Il s'agira donc d'être vigilant sur ce point dans le futur.

Le texte doit encore être ratifié par le Parlement européen avant d'avoir force de loi et devrait entrer en application 36 mois après, à quelques exceptions près, tel que cela est stipulé à l'article 57 du texte. Ce délai est censé permettre aux acteurs, publics comme privés, de s'organiser pour répondre à leurs nouvelles obligations.

  • 1. Voire notamment une lettre ouverte signée en avril 2023 par « les principales institutions de gouvernance au sein de la communauté européenne et mondiale des logiciels open source »
  • 2. Union des entreprises du logiciel libre et du numérique ouvert
  • 3. « Patcher » est un anglicisme commun en informatique que l'on peut traduire par « corriger »
  • 4. Voir le considérant (10c) du texte. En anglais : « Free and open-source software is developed, maintained, and distributed openly, including via online platforms. »

Cyber Resilience Act : le futur du logiciel libre en suspend en attendant le trilogue

✇April
Par : egonnu
2 août 2023 à 09:50

Le Cyber Resilience Act est un projet de règlement européen visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels en Europe. Projet, tel que présenté par la Commission européenne, que l'April avait qualifié d'épée de Damoclès sur le logiciel libre puisque il faisait peser une très lourde responsabilité sur toutes celles et ceux qui produisent du code et qui le diffusent. L'April a également relayé une lettre ouverte cosignée par un ensemble d'organisations actrices de l'écosystème du logiciel libre à l'échelle européenne. Point d'étape alors que le Parlement et le Conseil de l'Union européenne ont avancé sur le sujet et que les négociations interinstitutionnelles auront, semble-t-il, lieu à l'automne.

La procédure législative européenne a cela de particulier que les textes qu'elle produit sont le résultat d'un équilibre trouvé entre trois institutions : la Commission européenne qui propose des projets de directive ou de règlement, le Conseil de l'UE (réunion des représentants des gouvernements des différents États-membres) et du Parlement. Après une navette législative plus ou moins longue entre ces deux dernières, les trois institutions mènent des négociations interinstitutionnelles, souvent appelées trilogues, dans l'objectif de produire un texte de consensus qui sera enfin ratifié par les parlementaires.

Depuis que l'April a qualifié le Cyber Resilience Act d'« épée de Damoclès », la procédure législative a suivi son cours.

Au Parlement, c'est la commission ITRE (Commission de l'industrie, de la recherche et de l'énergie) qui a été saisie au fond. Elle a donc la responsabilité de la conduite des travaux sur ce texte pour le Parlement, notamment dans le cadre du trilogue à venir. Le 19 juillet, cette commission a voté sa version amendée du texte. Malheureusement, ses amendements ne contribuent aucunement à clarifier la situation pour les logiciels libres. Plus précisément, elle a adopté deux nouveaux considérants – 10a et 10b – qui, d'une part, apportent de la confusion en prenant deux extrêmes en exemple : le cas d'une communauté de développement complètement décentralisée sans qu'aucune entreprise n'ait de pouvoir de décision et celui d'un logiciel libre développé majoritairement par une entreprise qui, elle seule, dégage des revenus. Il reste beaucoup d'incertitudes pour tout l'entre-deux existant, en particulier pour les petites et moyennes entreprises du Libre. D'autre part, les donations récurrentes par des entités commerciales seraient de nature à qualifier une activité commerciale… 1
Lire le texte de la commission ITRE (en anglais).

Particularité supplémentaire : là où, habituellement, le texte issu de la commission au fond devrait être débattu et voté en séance plénière, avant de poursuivre la navette législative, ITRE a simultanément voté, conformément à l'article 71 du règlement intérieur du Parlement, que le texte qu'elle a voté servirait directement de base aux négociations interinstitutionnelles. Cette entrée directement en négociation devra toutefois être adoptée par le Parlement qui siégera à nouveau à compter du 11 septembre 2023.

Il convient justement de noter que parallèlement à cela la commission IMCO (Commission du marché intérieur et de la protection des consommateurs), saisie pour avis, a également voté sa position sur le projet de règlement. Le texte voté semblerait constituer une sortie de crise intéressante, clarifiant les termes, particulièrement la notion « d'activité commerciale », et les responsabilités, notamment en les faisant avant tout reposer sur le fabricant d'un « produit final » incluant des composantes logicielles. Le texte d'IMCO a également le mérite d'amender non seulement le considérant 10, mais aussi l'article 2 sur le champ d'application du projet de règlement. Il serait donc regrettable que le Parlement ne puisse débattre et voter à la lumière de cette position divergente. Espérons que l'avis de la commission IMCO sera lu avec attention et qu'il éclairera utilement les travaux du trilogue le cas échéant. Lire le texte de la commission IMCO.

Du côté du Conseil de l'UE, la situation semble meilleure. Adopté le 13 juillet 2023, son texte reprend en profondeur le considérant 10 de la proposition de la Commission, afin de le rendre plus clair et didactique. Il pose en principe de base que c'est l'activité commerciale qui fait tomber sous le coup du règlement, il pose plus clairement ce qui caractérise une activité commerciale et il définit les logiciels libres tout en réaffirmant que ce n'est que s'ils sont fournis dans le cadre d'une activité commerciale qu'ils sont concernés. Le texte exclut par ailleurs explicitement les « gestionnaires de paquets », « hébergeurs de code » ou les « plateformes de collaboration » agissant en dehors d'activités commerciales. Le texte du Conseil n'amende en revanche pas l'article 2 sur le champ d'application. Lire le texte du Conseil (en anglais).

Il semble trop tôt pour dire que l'épée de Damoclès n'est plus suspendue au-dessus du logiciel libre, néanmoins ces réactions institutionnelles nous confirment à minima que les craintes de « l'écosystème du logiciel libre » ont été, si ce n'est écoutées, du moins entendues. Reste à voir sur quelles bases le Parlement participera au trilogue, et ce qui en ressortira… L'étape du trilogue étant, par ailleurs, notamment connue pour son faible niveau de transparence.

Le Cyber Resilience Act : une épée de Damoclès sur le logiciel libre

✇April
Par : egonnu
26 avril 2023 à 04:22

La Commission européenne porte un projet de règlement visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels, le Cyber Resilience Act. Comme malheureusement trop souvent, l'approche de la Commission semble traduire une vision strictement industrielle, fondée sur le modèle verticalisé et centralisé des grandes entreprises éditrices d'une informatique privatrice. Ce projet représente une menace très sérieuse pour le logiciel libre, comme en témoigne notamment une lettre ouverte cosignée par un ensemble d'organisations actrices de l'écosystème du logiciel libre à l'échelle européenne.

La sécurité informatique, dès lors qu'elle est un outil au service des utilisatrices et utilisateurs, maîtrisée par elles et eux, est une condition importante de l'exercice des libertés informatiques dans leur ensemble. Les différentes méthodes de développement propres au logiciel libre, fondées notamment sur la transparence, la reproductibilité et la collaboration, qui s'apparentent le plus, en ce sens, à la méthode scientifique, sont bien davantage vectrices de sécurité qu'un modèle basé sur une approche verticale et opaque. Quoi qu'il en soit, la sécurité ne peut-être un prétexte suffisant par lui-même pour justifier la réduction des libertés fondamentales. Toute mesure de « sécurité » se doit de répondre aux principes de proportionnalité et de stricte nécessité, c'est vrai pour l'informatique comme partout ailleurs.

Agir pour une meilleure sécurité informatique est un objectif louable et, en tout état de cause, un levier politique que la Commission européenne a pleine légitimité à vouloir actionner. Toutefois, cela ne peut se faire de manière décorrélée de la réalité des pratiques et sans concertation. Dans une lettre ouverte adressée aux membres du Parlement européen et du Conseil de l’Union Européenne, aux représentants au Conseil de l'Union européenne, des organisations actrices de l'écosystème du logiciel libre à l'échelle européenne ont exprimé leur vive inquiétude et ont pointé l'absence de consultation des communautés du logiciel libre, alors même que « les logiciels libres représentent en Europe plus de 70 % des logiciels présents dans les produits contenant des éléments numériques ».

La Commission veut donc imposer de manière verticale une méthodologie basée sur un système de « norme CE », adossée à une très forte responsabilité de celles et ceux qui produisent du code et de celles et ceux qui le diffusent. Toute personne produisant ou diffusant du code serait ainsi individuellement responsable de la sécurité de ce code, dans le cadre des obligations découlant du règlement. Or, la plupart des logiciels libres sont développés avec des moyens dérisoires, par des bénévoles ou de petites structures, et n’ont pas la capacité financière et humaine de mettre en œuvre les processus lourds et complexes qu’induirait le projet de règlement, notamment en termes de certification.

Position d'autant plus paradoxale que la Commission européenne semble pourtant reconnaître l'importance des logiciels libres dans le socle technologique qui sous-tend Internet, notamment du point de vue des enjeux de sécurité. Elle avait ainsi mené des projets visant justement à soutenir la sécurité des logiciels libres critiques, notamment l'initiative EU-FOSSA, European Union Free and Open Source Software Auditing, qui accordait des primes pour la détection de failles de sécurité dans des logiciels libres utilisés par les institutions européennes1. Pourtant, le Cyber Resilience Act disqualifierait ce socle critique en Europe au lieu de participer à sa sécurisation. Dans le même temps, ce socle technologique continuera à être utilisé et développé dans le reste du monde. Par effet de bord, la Commission va sérieusement démunir et handicaper l’industrie européenne.

Les organisations signataires de la lettre ouverte et notamment le CNLL (l'Union des entreprises du numérique ouvert) dans son communiqué, s'alarment du risque que fait porter le Cyber Resilience Act sur la filière européenne du logiciel libre, qui représente, rappelle le CNLL, « 30 milliards d’euros de chiffre d’affaires direct et environ 100 milliards d’euros d’impact économique total ». En forçant une responsabilité lourde sur les éditeurs de logiciels libres – sans considération de possible relation contractuelle avec les utilisateurs et utilisatrices –, ce projet semble témoigner d'une méconnaissance profonde des logiciels libres, des méthodes de développement qui leur sont propres, ainsi que des communautés qui les font vivre. On rappellera, par exemple, que les acteurs et actrices du logiciel libre n'ont pas attendu la Commission pour proposer des contrats de maintenance et/ou d'assurance, distincts du développement du code.

Dans son projet de règlement, la Commission cherche visiblement à donner des gages vis-à-vis des logiciels libres. Mais, loin de convaincre, celle-ci témoigne, ici encore, d'une méconnaissance importante. Ainsi, dans un des considérants de principe – et non pas dans un article à part entière – le règlement prévoit une exception pour les logiciels libres développés et distribués dans le cadre d'activités non commerciales. Ces activités non commerciales sont définies de manière très restrictive, ce qui rend presque inopérante l'exception2. À titre d'exemple, elle ferait, entre autres, tomber sous le coup des lourdes obligations prévues par le texte les codes publiés sur les plateformes type GitHub et GitLab puisque celles-ci proposent, par ailleurs, des services payants à leurs utilisateurs et utilisatrices.

Le Cyber Resilience Act risquerait d'avoir un effet dissuasif délétère sur le développement et l'utilisation des logiciels libres en Europe et sans doute, par répercussion, à une échelle plus globale. On imagine ainsi aisément que des entreprises puissent d'elles-mêmes exclure le recours à des composants libres, tiers, de leurs propres solutions au profit de logiciels privateurs, préférant laisser à l'éditeur le soin de se conformer aux obligations du règlement, plutôt que de se charger elles-mêmes d'une maintenance pro-active de ces composants tiers.

L'April rappelle la Commission européenne à ses prises de positions passées sur le logiciel libre 3, qui se voulaient, selon elle, ambitieuses, alors que la proposition de Cyber Resilience Act traduit plutôt une perception verticale et centralisée de l'informatique. Si elle ne veut pas porter un grave coup à l'ensemble des vertus du logiciel libre qu'elle prétend elle-même défendre (ouverture, souveraineté, innovation, etc.), elle se doit d'écouter très attentivement les actrices et acteurs concernés et amender en profondeur son projet.

❌
❌