{"id":127211,"date":"2020-11-27T16:24:56","date_gmt":"2020-11-27T16:24:56","guid":{"rendered":"http:\/\/www.internetsociety.org\/?post_type=resources&#038;p=127211"},"modified":"2020-12-01T11:46:43","modified_gmt":"2020-12-01T11:46:43","slug":"tracabilite-et-cybersecurite-serie-dateliers-dexperts-sur-le-chiffrement-en-inde","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/fr\/resources\/doc\/2020\/tracabilite-et-cybersecurite-serie-dateliers-dexperts-sur-le-chiffrement-en-inde\/","title":{"rendered":"Tra\u00e7abilit\u00e9 et cybers\u00e9curit\u00e9"},"content":{"rendered":"<p>La tra\u00e7abilit\u00e9 ou la capacit\u00e9 de retrouver le cr\u00e9ateur d&rsquo;un contenu ou d&rsquo;un message particulier est au centre du d\u00e9bat en Inde \u00e0 propos des r\u00e8gles pour les plates-formes en ligne et les prestataires de communications. \u00c0 la fin 2018, le minist\u00e8re indien de l&rsquo;\u00e9lectronique et de l&rsquo;informatique (MeiTy) a propos\u00e9 des amendements aux r\u00e8gles pour l&rsquo;informatique (directives interm\u00e9diaires) dans le cadre de la loi sur l&rsquo;informatique (Information Technology Act).<a href=\"#_ftn1\" name=\"_ftnref1\"><sup>[1]<\/sup><\/a> Parmi les changements envisag\u00e9s figure une demande de tra\u00e7abilit\u00e9, d\u00e9crite comme \u00e9tant \u00ab la possibilit\u00e9 de retrouver le cr\u00e9ateur <a href=\"#_ftn2\" name=\"_ftnref2\"><sup>[2]<\/sup><\/a> des informations sur sa plate-forme \u00bb. L&rsquo;amendement rendrait la plate-forme en ligne ou le fournisseur responsable des contenus publi\u00e9s par leurs utilisateurs, si une tra\u00e7abilit\u00e9 n&rsquo;\u00e9tait pas fournie. Le MeiTY a sollicit\u00e9 des commentaires du public \u00e0 propos du projet d&rsquo;amendement d\u00e9but 2019<a href=\"#_ftn3\" name=\"_ftnref3\"><sup>[3]<\/sup><\/a> et, en outre, presque 30 experts en cybers\u00e9curit\u00e9 et cryptographie ont, d\u00e9but 2020, envoy\u00e9 une lettre ouverte au MeiTY exprimant leurs pr\u00e9occupations concernant les amendements envisag\u00e9s.<a href=\"#_ftn4\" name=\"_ftnref4\"><sup>[4]<\/sup><\/a> La tra\u00e7abilit\u00e9 fait \u00e9galement l&rsquo;objet d&rsquo;un litige devant le tribunal de grande instance de Madras, opposant plusieurs plates-formes en ligne aux pouvoirs publics, concernant plus particuli\u00e8rement l&rsquo;acc\u00e8s des forces de l&rsquo;ordre aux contenus g\u00e9n\u00e9r\u00e9s par les utilisateurs.<a href=\"#_ftn5\" name=\"_ftnref5\"><sup>[5]<\/sup><\/a><\/p>\n<p>Les aspects suivants sont au c\u0153ur du d\u00e9bat actuel :<\/p>\n<ul>\n<li>la concr\u00e9tisation de la tra\u00e7abilit\u00e9 dans les communications chiffr\u00e9es de bout en bout ;<a href=\"#_ftn6\" name=\"_ftnref6\"><sup>[6]<\/sup><\/a><\/li>\n<li>les m\u00e9thodes disponibles pour activer la tra\u00e7abilit\u00e9 ;<\/li>\n<li>les ramifications associ\u00e9es \u00e0 chaque m\u00e9thode.<\/li>\n<\/ul>\n<p>L&rsquo;utilisation <strong>de<\/strong> <strong>signatures num\u00e9riques<\/strong> et <strong>le recours<\/strong> \u00e0 des m\u00e9tadonn\u00e9es, sont deux m\u00e9thodes envisag\u00e9es pour permettre la tra\u00e7abilit\u00e9 des communications de bout en bout telles que celles des applications de messagerie (par ex. WhatsApp). Cependant, pour respecter les exigences de tra\u00e7abilit\u00e9, les plates-formes risquent d&rsquo;\u00eatre forc\u00e9es d&rsquo;autoriser l&rsquo;acc\u00e8s aux contenus des communications de leurs utilisateurs,<strong> en supprimant le chiffrement de bout en bout<\/strong> et en affaiblissant consid\u00e9rablement la s\u00e9curit\u00e9 et la confidentialit\u00e9 de leur produit, afin de permettre la tra\u00e7abilit\u00e9.<\/p>\n<p>Au cours d&rsquo;une s\u00e9rie de discussions bas\u00e9es sur la r\u00e8gle de Chatham House et organis\u00e9es par l&rsquo;Internet Society en partenariat avec Medianama, un groupe international d&rsquo;experts en cybers\u00e9curit\u00e9 et en politiques publiques ont examin\u00e9 le probl\u00e8me de la tra\u00e7abilit\u00e9 des messages dans un contexte indien. Les experts ont exprim\u00e9 de fortes inqui\u00e9tudes \u00e0 propos des deux techniques souvent propos\u00e9es pour activer la tra\u00e7abilit\u00e9 : l&rsquo;utilisation des signatures num\u00e9riques et le recours aux m\u00e9tadonn\u00e9es. Non seulement ces m\u00e9thodes sont consid\u00e9r\u00e9es comme des menaces sur la confidentialit\u00e9 et la s\u00e9curit\u00e9 des utilisateurs, elles ne constituent pas forc\u00e9ment une preuve irr\u00e9futable \u00e0 propos de l&rsquo;origine d&rsquo;un message. La cr\u00e9ation d&rsquo;un acc\u00e8s tiers aux communications des utilisateurs pour permettre la tra\u00e7abilit\u00e9 engendre d&rsquo;autres inqui\u00e9tudes \u00e0 propos de la s\u00e9curit\u00e9 et de la confidentialit\u00e9.<\/p>\n<h4>Signatures num\u00e9riques<\/h4>\n<p>Il a \u00e9t\u00e9 sugg\u00e9r\u00e9 que la signature num\u00e9rique<a href=\"#_ftn7\" name=\"_ftnref7\"><sup>[7]<\/sup><\/a> de l&rsquo;exp\u00e9diteur soit ajout\u00e9e aux messages afin de pouvoir identifier le cr\u00e9ateur du message. Par exemple, dans le cadre du litige devant le tribunal de grande instance de Madras, le Dr V. Kamakoti a propos\u00e9 l&rsquo;utilisation des signatures num\u00e9riques pour identifier le cr\u00e9ateur d&rsquo;un message transf\u00e9r\u00e9 au sein de WhatsApp.<a href=\"#_ftn8\" name=\"_ftnref8\"><sup>[8]<\/sup><\/a> Selon cette suggestion, la signature serait soit visible par tous dans la cha\u00eene de message ou serait chiffr\u00e9e en utilisant une cl\u00e9 publique fournie par WhatsApp. En utilisant la cl\u00e9 priv\u00e9e correspondante, WhatsApp serait en mesure de d\u00e9chiffrer les informations du cr\u00e9ateur, en r\u00e9ponse \u00e0 une d\u00e9cision de justice \u00e9ventuelle.<\/p>\n<p>Toutefois, de nombreuses personnes, y compris les experts participant aux discussions de l&rsquo;Internet Society, ont des inqui\u00e9tudes \u00e0 propos de l&rsquo;utilisation des signatures num\u00e9riques en tant qu&rsquo;outil de tra\u00e7abilit\u00e9 :<\/p>\n<ul>\n<li><strong>L&rsquo;attribution num\u00e9rique n&rsquo;est pas absolue et est vuln\u00e9rable \u00e0 l&rsquo;usurpation d&rsquo;identit\u00e9 : <\/strong>pour \u00e9tablir la responsabilit\u00e9 p\u00e9nale, la culpabilit\u00e9 doit \u00eatre prouv\u00e9e au-del\u00e0 du doute raisonnable, un seuil difficile \u00e0 franchir \u00e9tant donn\u00e9 que l&rsquo;usurpation d&rsquo;identit\u00e9 en ligne est tr\u00e8s facile et tr\u00e8s r\u00e9pandue. Prouver que la personne A, utilisatrice du portable\/de l&rsquo;ordinateur A, a en r\u00e9alit\u00e9 envoy\u00e9 ces messages dans le cadre d&rsquo;une campagne de d\u00e9sinformation est une t\u00e2che tr\u00e8s ardue m\u00eame si les forces de l&rsquo;ordre poss\u00e8dent l&rsquo;identifiant de l&rsquo;exp\u00e9diteur. Pour \u00e9tablir si <em>l&rsquo;utilisation<\/em> de l&rsquo;appareil d&rsquo;une personne constitue n\u00e9cessairement une preuve de <em>l&rsquo;utilisation de l&rsquo;appareil par celle-ci<\/em>, il faut disposer d&rsquo;informations suppl\u00e9mentaires.<a href=\"#_ftn9\" name=\"_ftnref9\"><sup>[9]<\/sup><\/a> Plus grave encore est l&rsquo;implication d&rsquo;utilisateurs innocents dans des activit\u00e9s ill\u00e9gales entreprises par des cyberd\u00e9linquants usurpant l&rsquo;identit\u00e9 de ces utilisateurs. Cette inqui\u00e9tude a \u00e9t\u00e9 soulign\u00e9e dans la r\u00e9ponse de WhatsApp \u00e0 la proposition de V. Komakoti selon laquelle des \u00ab acteurs malveillants pourraient utiliser des versions modifi\u00e9es de WhatsApp pour attribuer un num\u00e9ro de t\u00e9l\u00e9phone diff\u00e9rent \u00e0 un message \u00bb.<a href=\"#_ftn10\" name=\"_ftnref10\"><sup>[10]<\/sup><\/a><\/li>\n<li><strong>Les signatures num\u00e9riques ajoutent des vuln\u00e9rabilit\u00e9s. <\/strong>Les cl\u00e9s priv\u00e9es pour les signatures num\u00e9riques, en particulier si elles sont d\u00e9tenues par des tiers \u00e0 la communication, comme le prestataire de services de communication, constitueraient une cible de choix pour les acteurs malveillants. Par exemple, dans la proposition de V. Kamokoti, une tierce partie compromise aurait la possibilit\u00e9 de voir lorsqu&rsquo;un utilisateur particulier envoie un message, en recevant et en d\u00e9chiffrant les coordonn\u00e9es du cr\u00e9ateur. Si utilis\u00e9e \u00e0 mauvais escient, la m\u00e9thode de la \u00ab signature num\u00e9rique \u00bb repr\u00e9sente un risque consid\u00e9rable pour la libert\u00e9 d&rsquo;expression des citoyens et risque d&rsquo;exposer les individus (y compris les plus vuln\u00e9rables et marginalis\u00e9s) \u00e0 l&#8217;emprunt d&rsquo;identit\u00e9, au harc\u00e8lement et \u00e0 la pers\u00e9cution.<\/li>\n<li><strong>Une fonctionnalit\u00e9 multiplateforme serait irr\u00e9alisable. <\/strong>\u00c9tant donn\u00e9 que diff\u00e9rents protocoles r\u00e9gissent diff\u00e9rents services et plates-formes, les m\u00e9thodes essayant d&rsquo;\u00e9tablir la collaboration entre les plates-formes ne fonctionneraient pas. La tra\u00e7abilit\u00e9 inter plates-formes est \u00e9galement difficile dans les syst\u00e8mes f\u00e9d\u00e9r\u00e9s comme les messageries \u00e9lectroniques ou l&rsquo;Internet Relay Chat (IRC). Les m\u00e9thodes pour fournir la tra\u00e7abilit\u00e9 \u00e0 travers les plates-formes, comme l&rsquo;utilisation de la m\u00eame signature num\u00e9rique obligatoire dans le texte de chaque message sur chaque plate-forme, \u00e0 l&rsquo;\u00e9chelle mondiale, seraient difficiles \u00e0 mettre en \u0153uvre. Un registre central de <em>chaque<\/em> appareil et de <em>chaque <\/em>application client dans le monde serait probablement n\u00e9cessaire pour authentifier les signatures num\u00e9riques. Cela aurait pour effet de freiner gravement l&rsquo;innovation en for\u00e7ant les d\u00e9veloppeurs dans le monde entier \u00e0 coordonner leurs travaux avec les exploitants de la base de donn\u00e9es centrale. En outre, une signature num\u00e9rique obligatoire constituerait un risque accru pour la confidentialit\u00e9 et la s\u00e9curit\u00e9 des utilisateurs en \u00e9tablissant un point de d\u00e9faillance unique ou une vuln\u00e9rabilit\u00e9 unique que les acteurs malveillants pourraient cibler pour compromettre ou contr\u00f4ler les activit\u00e9s d&rsquo;un utilisateur.<a href=\"#_ftn11\" name=\"_ftnref11\"><sup>[11]<\/sup><\/a> Il serait \u00e9galement n\u00e9cessaire de pouvoir r\u00e9voquer ces signatures num\u00e9riques ou de les recr\u00e9er facilement, ce qui soul\u00e8ve le probl\u00e8me de la s\u00e9curit\u00e9 des cl\u00e9s priv\u00e9es associ\u00e9es. Si cela d\u00e9pend des donn\u00e9es biom\u00e9triques des utilisateurs, alors une couche suppl\u00e9mentaire de complexit\u00e9 technique et op\u00e9rationnelle est ajout\u00e9e.<\/li>\n<\/ul>\n<h4>M\u00e9tadonn\u00e9es<\/h4>\n<p>L&rsquo;utilisation des m\u00e9tadonn\u00e9es dans la tra\u00e7abilit\u00e9 a \u00e9galement \u00e9t\u00e9 \u00e9voqu\u00e9e par plusieurs entit\u00e9s au cours du d\u00e9bat sur le chiffrement. Les m\u00e9tadonn\u00e9es, qui contiennent des informations sur la communication mais pas sur son contenu, peuvent \u00eatre utilis\u00e9es pour d\u00e9terminer, par exemple, la source, l&rsquo;heure, la date et la destination d&rsquo;une communication, et potentiellement l&#8217;emplacement du destinataire, ou m\u00eame \u00eatre utilis\u00e9es pour estimer certaines caract\u00e9ristiques des contenus de la communication.<\/p>\n<p>Certains ont soulign\u00e9 que les m\u00e9tadonn\u00e9es \u00e0 propos de la taille du message, en particulier un message multim\u00e9dia, peuvent potentiellement \u00eatre utilis\u00e9es pour v\u00e9rifier la distribution non contr\u00f4l\u00e9e de messages particuliers. Par exemple, WhatsApp maintient un journal chiffr\u00e9 des messages multim\u00e9dia envoy\u00e9s. WhatsApp n&rsquo;a pas acc\u00e8s au contenu du fichier multim\u00e9dia qui est affich\u00e9 comme un groupe de donn\u00e9es d&rsquo;une taille sp\u00e9cifique. Chaque fois que ce message multim\u00e9dia est transf\u00e9r\u00e9, le serveur obtient une estimation du nombre de fois que le groupe de donn\u00e9es est transf\u00e9r\u00e9 et utilise cette information pour lutter contre les courriers ind\u00e9sirables sur sa plate-forme. Il peut \u00eatre possible d&rsquo;\u00e9tablir l&rsquo;historique du message avec l&rsquo;acc\u00e8s \u00e0 une copie non chiffr\u00e9e du fichier multim\u00e9dia et supprimer par cons\u00e9quent la confidentialit\u00e9 de la communication.<\/p>\n<p>D&rsquo;autres pensent que les m\u00e9tadonn\u00e9es peuvent \u00eatre analys\u00e9es pour \u00e9tablir des tendances comme des associations d&rsquo;interlocuteurs, la fr\u00e9quence de leurs interactions et leurs dates. Des graphes sociaux de base peuvent \u00eatre cr\u00e9\u00e9s par les plates-formes pour \u00e9tablir des r\u00e9seaux d&rsquo;interactions. Les structures de r\u00e9pertoire, qui sont fondamentales pour n&rsquo;importe quelle plate-forme de communication, pourraient \u00eatre mises \u00e0 contribution dans le cadre d&rsquo;enqu\u00eates sans acc\u00e9der aux contenus. Ces r\u00e9pertoires enregistrent les interactions sans cependant intercepter les contenus proprement dits.<\/p>\n<p>Toutefois, des experts, y compris ceux participant aux discussions de l&rsquo;Internet Society, ont formul\u00e9 des inqui\u00e9tudes \u00e0 propos de l&rsquo;utilisation des m\u00e9tadonn\u00e9es pour la tra\u00e7abilit\u00e9 :<\/p>\n<ul>\n<li><strong>L&rsquo;attribution num\u00e9rique n&rsquo;est pas absolue, notamment par le biais des m\u00e9tadonn\u00e9es. <\/strong>Il est encore plus difficile d&rsquo;\u00e9tablir la responsabilit\u00e9 criminelle sur la base des m\u00e9tadonn\u00e9es. Des changements mineurs dans les contenus d&rsquo;un message peuvent alt\u00e9rer ses m\u00e9tadonn\u00e9es et limiter la capacit\u00e9 de suivre la cha\u00eene de m\u00e9tadonn\u00e9es similaires vers un cr\u00e9ateur. Comme pour les signatures num\u00e9riques, il est difficile d&rsquo;associer un utilisateur \u00e0 un message lorsque l&#8217;emprunt d&rsquo;identit\u00e9 en ligne est si facile et omnipr\u00e9sent. Encore plus inqui\u00e9tant est le risque que court un utilisateur innocent d&rsquo;\u00eatre incrimin\u00e9 de conduite criminelle uniquement sur la base de m\u00e9tadonn\u00e9es falsifi\u00e9es.<\/li>\n<li><strong>Mise \u00e0 mal des principes de minimisation des donn\u00e9es et de respect de la vie priv\u00e9e lors de la conception. <\/strong>La d\u00e9pendance sur les m\u00e9tadonn\u00e9es pourrait \u00eatre nuisible aux efforts en faveur de la minimisation des donn\u00e9es et la protection int\u00e9gr\u00e9e de la vie priv\u00e9e qu&rsquo;un nombre croissant de politiques de protection des donn\u00e9es exigent d\u00e9sormais. Cela engendre des risques encore plus grands pour la confidentialit\u00e9 et la s\u00e9curit\u00e9 des personnes en r\u00e9duisant les normes de s\u00e9curit\u00e9 pour tout le monde. Les m\u00e9tadonn\u00e9es conserv\u00e9es pour \u00eatre utilis\u00e9es dans la tra\u00e7abilit\u00e9 repr\u00e9senteraient une cible de valeur pour les acteurs malveillants. Les criminels et les adversaires \u00e9trangers pourraient utiliser les m\u00e9tadonn\u00e9es stock\u00e9es pour \u00e9laborer des graphes sociaux des utilisateurs ou pour recueillir des informations permettant de monter des attaques comme des extorsions, de l&rsquo;ing\u00e9nierie sociale ou du chantage.<\/li>\n<li><strong>Risques de profilage social. <\/strong>Lorsque les m\u00e9tadonn\u00e9es sont utilis\u00e9es pour \u00e9laborer des graphes sociaux afin de permettre la tra\u00e7abilit\u00e9, ces graphes courent le risque d&rsquo;\u00eatre compromis par des criminels ou des adversaires \u00e9trangers. Le risque de mon\u00e9tisation des graphes sociaux par les plates-formes est \u00e9galement pr\u00e9sent, ce qui peut provoquer la divulgation d&rsquo;informations sensibles concernant des fonctionnaires, des \u00e9lus, des journalistes, des activistes, des avocats et des dissidents pour le b\u00e9n\u00e9fice de revendeurs de donn\u00e9es et de leurs clients.<\/li>\n<li><strong>Des p\u00e9riodes plus longues de conservation des donn\u00e9es engendrent des risques de s\u00e9curit\u00e9 : <\/strong>les r\u00e8gles de conservation des m\u00e9tadonn\u00e9es incluent souvent l&rsquo;obligation de conserver les donn\u00e9es pendant une dur\u00e9e sp\u00e9cifique. Si les pouvoirs publics imposent des p\u00e9riodes de conservation plus longues pour les m\u00e9tadonn\u00e9es, cela aggrave les risques pour la confidentialit\u00e9 et la s\u00e9curit\u00e9 en augmentant la quantit\u00e9 de m\u00e9tadonn\u00e9es potentiellement compromises en cas de violation des donn\u00e9es. Plus la quantit\u00e9 de donn\u00e9es conserv\u00e9es est importante, plus l&rsquo;int\u00e9r\u00eat des criminels et des adversaires \u00e9trangers est \u00e9lev\u00e9.<\/li>\n<li><strong>Les plates-formes ne recueillent pas toutes la m\u00eame quantit\u00e9 de m\u00e9tadonn\u00e9es : <\/strong>par exemple, Signal recueille la quantit\u00e9 minimale requise de m\u00e9tadonn\u00e9es pour permettre les communications sans recueillir de donn\u00e9es suppl\u00e9mentaires.<a href=\"#_ftn12\" name=\"_ftnref12\"><sup>[12]<\/sup><\/a> Les obligations de conservation de plus grandes quantit\u00e9s de m\u00e9tadonn\u00e9es pourraient forcer les plates-formes \u00e0 reconfigurer de fa\u00e7on consid\u00e9rable leurs syst\u00e8mes, g\u00e9n\u00e9rant des co\u00fbts et augmentant les risques d&rsquo;introduction de nouvelles vuln\u00e9rabilit\u00e9s.<\/li>\n<\/ul>\n<h4>Interruption du chiffrement de bout en bout<\/h4>\n<p>\u00c9tant donn\u00e9 que l&rsquo;utilit\u00e9 des signatures num\u00e9riques et des m\u00e9tadonn\u00e9es pour la tra\u00e7abilit\u00e9 n&rsquo;est pas claire, les plates-formes peuvent \u00eatre amen\u00e9es \u00e0 utiliser des m\u00e9thodes permettant \u00e0 des tierces parties d&rsquo;acc\u00e9der aux contenus des communications, ce qui est parfois appel\u00e9 acc\u00e8s exceptionnel, afin de respecter la conformit\u00e9 avec les exigences de tra\u00e7abilit\u00e9. En cr\u00e9ant un acc\u00e8s aux contenus des messages des utilisateurs, une plate-forme ou un service administratif pourrait \u00e9ventuellement examiner les messages envoy\u00e9s par les utilisateurs, leur permettant ainsi d&rsquo;identifier des contenus r\u00e9pr\u00e9hensibles et le compte \u00e0 l&rsquo;origine du message.<\/p>\n<p>De nombreuses techniques ont \u00e9t\u00e9 propos\u00e9es pour fournir un acc\u00e8s tiers aux communications chiffr\u00e9es.<br \/>\nCes techniques comprennent :<\/p>\n<ul>\n<li><em>Entiercement de cl\u00e9<\/em> &#8211; Les cl\u00e9s utilis\u00e9es pour d\u00e9chiffrer les messages sont d\u00e9tenues (partiellement ou compl\u00e8tement) par un tiers (comme le fournisseur de la plate-forme) pour permettre l&rsquo;acc\u00e8s aux contenus des communications chiffr\u00e9es.<\/li>\n<li><em>Participant fant\u00f4me<\/em> &#8211; Un tiers est silencieusement ajout\u00e9 \u00e0 une communication.<\/li>\n<li><em>Analyse c\u00f4t\u00e9 client &#8211; <\/em>Les communications ou les codes de hachage<a href=\"#_ftn13\" name=\"_ftnref13\"><sup>[13]<\/sup><\/a> cr\u00e9\u00e9s \u00e0 partir des communications sont examin\u00e9s pour \u00e9tablir des correspondances avec une base de donn\u00e9es de contenus avant l&rsquo;envoi du message au destinataire pr\u00e9vu.<\/li>\n<\/ul>\n<p>Cependant, le consensus parmi les experts, y compris les participants aux discussions de l&rsquo;Internet Society, est que les m\u00e9thodes d&rsquo;acc\u00e8s pour les tierces parties auraient pour effet d&rsquo;interrompre le chiffrement de bout en bout en permettant aux tierces parties d&rsquo;acc\u00e9der aux contenus, et affaibliraient la s\u00e9curit\u00e9 et la protection de la confidentialit\u00e9 des utilisateurs.<\/p>\n<ul>\n<li><strong>Un acc\u00e8s pour un utilisateur constitue un acc\u00e8s pour tous les utilisateurs. <\/strong>Lorsqu&rsquo;on donne \u00e0 un tiers une m\u00e9thode d&rsquo;acc\u00e8s aux communications chiffr\u00e9es des utilisateurs, de nouvelles vuln\u00e9rabilit\u00e9s sont en fait introduites dans le syst\u00e8me. Une fois identifi\u00e9es par des acteurs malveillants, les m\u00eames m\u00e9thodes utilis\u00e9es pour fournir un acc\u00e8s aux forces de l&rsquo;ordre ou aux plates-formes peuvent \u00eatre utilis\u00e9es pour des activit\u00e9s malveillantes. Par exemple, si un acteur malveillant obtient l&rsquo;acc\u00e8s aux cl\u00e9s de d\u00e9chiffrement entierc\u00e9es, il est en mesure de d\u00e9chiffrer toutes les communications envoy\u00e9es par l&rsquo;interm\u00e9diaire d&rsquo;un syst\u00e8me de communication<sup>.<\/sup> Il n&rsquo;y a aucun moyen de garantir que les vuln\u00e9rabilit\u00e9s cr\u00e9\u00e9es par une m\u00e9thode d&rsquo;acc\u00e8s exceptionnelle ne tomberont pas entre de mauvaises mains. <a href=\"#_ftn14\" name=\"_ftnref14\"><sup>[14]<\/sup><\/a><\/li>\n<li><strong>L&rsquo;acc\u00e8s exceptionnel ne peut pas \u00eatre cibl\u00e9, et affaiblit la s\u00e9curit\u00e9 pour tous les utilisateurs<\/strong><sup>.<\/sup> Lorsqu&rsquo;un syst\u00e8me est modifi\u00e9 pour permettre un acc\u00e8s exceptionnel, tous les utilisateurs sont expos\u00e9s \u00e0 un plus grand risque. Il n&rsquo;est pas possible de fournir un acc\u00e8s exceptionnel \u00e0 un utilisateur sans cr\u00e9er une vuln\u00e9rabilit\u00e9 pour tous les utilisateurs. Par exemple, pour cr\u00e9er un participant fant\u00f4me, le processus de distribution de cl\u00e9s doit \u00eatre modifi\u00e9 en distribuant secr\u00e8tement les cl\u00e9s \u00e0 des personnes n&rsquo;appartenant pas \u00e0 la discussion de groupe, et les prestataires doivent supprimer les notifications signifiant aux utilisateurs que des tiers non autoris\u00e9s ont acc\u00e8s \u00e0 leurs communications. En modifiant la distribution des cl\u00e9s et la notification dans un service de communication, la plate-forme introduit de nouvelles vuln\u00e9rabilit\u00e9s qui pourraient \u00eatre utilis\u00e9es sur tous ses utilisateurs. <a href=\"#_ftn15\" name=\"_ftnref15\"><sup>[15]<\/sup><\/a><\/li>\n<li><strong>L&rsquo;analyse c\u00f4t\u00e9 client introduit des vuln\u00e9rabilit\u00e9s.<\/strong> Pour certains, l&rsquo;analyse c\u00f4t\u00e9 client est s\u00fbre, particuli\u00e8rement lorsque les communications sont hach\u00e9es avant d&rsquo;\u00eatre compar\u00e9es \u00e0 une base de donn\u00e9es de contenus r\u00e9pr\u00e9hensibles. Cependant, cette m\u00e9thode engendre encore des vuln\u00e9rabilit\u00e9s qui mettent la s\u00e9curit\u00e9 et la vie priv\u00e9e des utilisateurs en danger. Les acteurs malveillants qui acc\u00e8dent \u00e0 une base de donn\u00e9es de contenus peuvent ajouter de nouveaux contenus pour cr\u00e9er des faux positifs ou pour v\u00e9rifier \u00e0 qui, quand et o\u00f9 certains contenus ont \u00e9t\u00e9 communiqu\u00e9s.<sup> <a href=\"#_ftn16\" name=\"_ftnref16\">[16]<\/a><\/sup> Les syst\u00e8mes d&rsquo;analyse c\u00f4t\u00e9 client qui envoient les contenus de message \u00e0 une tierce partie pour une revue manuelle, suite \u00e0 une mise en correspondance avec une base de donn\u00e9es, sont particuli\u00e8rement dangereux car ils fournissent aux acteurs malveillants une nouvelle opportunit\u00e9 d&rsquo;acc\u00e9der aux communications non chiffr\u00e9es.<\/li>\n<li><strong>Inqui\u00e9tudes pour la s\u00e9curit\u00e9 nationale. <\/strong>Si des pouvoirs publics ou un organisme de maintien de l&rsquo;ordre pouvaient acc\u00e9der aux communications d&rsquo;un utilisateur, la m\u00eame capacit\u00e9 serait disponible pour n&rsquo;importe quel autre pays, y compris les pays adversaires. Les fonctionnaires et les organismes de maintien de l&rsquo;ordre ne pourraient pas non plus acc\u00e9der \u00e0 des canaux de communication s\u00e9curis\u00e9s et pourraient potentiellement devenir des cibles de surveillance pour leurs adversaires. De nombreuses administrations, y compris la Commission europ\u00e9enne et<a href=\"#_ftn17\" name=\"_ftnref17\"><sup>[17]<\/sup><\/a> les forces arm\u00e9es des \u00c9tats-Unis, <a href=\"#_ftn18\" name=\"_ftnref18\"><sup>[18]<\/sup><\/a>ont demand\u00e9 \u00e0 leurs employ\u00e9s d&rsquo;utiliser des services de communication chiffr\u00e9e de bout en bout de masse, dans le but de prot\u00e9ger leurs communications.<\/li>\n<\/ul>\n<h4>Conclusion<\/h4>\n<p>Dans le cadre du d\u00e9bat sur les r\u00e8gles applicables aux plates-formes num\u00e9riques et aux prestataires de services de communication, la tra\u00e7abilit\u00e9 va probablement continuer d&rsquo;\u00eatre un probl\u00e8me saillant en Inde. Toutefois, il existe des pr\u00e9occupations cr\u00e9dibles concernant la s\u00e9curit\u00e9, la confidentialit\u00e9 et l&rsquo;efficacit\u00e9 des deux m\u00e9thodes les plus souvent propos\u00e9es pour permettre la tra\u00e7abilit\u00e9, \u00e0 savoir <strong>l&rsquo;utilisation de signatures num\u00e9riques <\/strong>et <strong>l&rsquo;utilisation de m\u00e9tadonn\u00e9es. <\/strong>Pour respecter les exigences de tra\u00e7abilit\u00e9, les prestataires de services de communication seraient oblig\u00e9s d&rsquo;acc\u00e9der aux contenus des communications des utilisateurs entra\u00eenant ainsi une r\u00e9duction consid\u00e9rable de la s\u00e9curit\u00e9 et de la confidentialit\u00e9 du syst\u00e8me, pour tous les utilisateurs,\u00a0 et introduisant un risque accru pour la s\u00e9curit\u00e9 nationale.<\/p>\n<p>Lorsque les d\u00e9cideurs politiques, les l\u00e9gislateurs et les magistrats examinent les actions susceptibles de cr\u00e9er des exigences de tra\u00e7abilit\u00e9, ils doivent tenir compte des implications graves de l&rsquo;exigence de conformit\u00e9 impos\u00e9e aux fournisseurs de contenus et de services.<\/p>\n<h5>Remerciements<\/h5>\n<p>Nous sommes reconnaissants pour la participation de plus de 50 experts techniques et en politiques publiques de l&rsquo;Asie-Pacifique, de l&rsquo;Afrique, de l&rsquo;Europe, de l&rsquo;Am\u00e9rique Latine et de l&rsquo;Am\u00e9rique du Nord, aux discussions des experts techniques mondiaux qui se sont d\u00e9roul\u00e9es entre juin et ao\u00fbt 2020.<\/p>\n<hr \/>\n<p class=\"small-text\"><strong>Notes<\/strong><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref1\" name=\"_ftn1\">[1]<\/a> <u><a href=\"https:\/\/meity.gov.in\/writereaddata\/files\/Draft_Intermediary_Amendment_24122018.pdf\">R\u00e8gles sur l&rsquo;informatique [Directives interm\u00e9diaires (Amendement)] <\/a><\/u>.<\/p>\n<p class=\"small-text\"><a href=\"#_ftnref2\" name=\"_ftn2\">[2]<\/a> Selon la loi indienne sur les technologies de l&rsquo;information, un cr\u00e9ateur est d\u00e9fini comme la personne qui envoie, g\u00e9n\u00e8re, stocke ou transmet tout message \u00e9lectronique ou qui fait en sorte qu&rsquo;un message \u00e9lectronique soit envoy\u00e9, g\u00e9n\u00e9r\u00e9, stock\u00e9 ou transmis \u00e0 toute autre personne, \u00e0 l&rsquo;exception de tout interm\u00e9diaire \u00bb.<\/p>\n<p class=\"small-text\"><a href=\"#_ftnref3\" name=\"_ftn3\">[3]<\/a> <a href=\"https:\/\/www.meity.gov.in\/writereaddata\/files\/public_comments_draft_intermediary_guidelines_rules_2018.pdf\">https:\/\/www.meity.gov.in\/writereaddata\/files\/public_comments_draft_intermediary_guidelines_rules_2018.pdf<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref4\" name=\"_ftn4\">[4]<\/a> <a href=\"https:\/\/www.internetsociety.org\/open-letters\/india-intermediary-guidelines\/\">https:\/\/www.internetsociety.org\/open-letters\/india-intermediary-guidelines\/<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref5\" name=\"_ftn5\">[5]<\/a> <a href=\"https:\/\/www.medianama.com\/2019\/09\/223-sc-adjourns-hearing-on-facebook-transfer-petition-till-september-24\/\">https:\/\/www.medianama.com\/2019\/09\/223-sc-adjourns-hearing-on-facebook-transfer-petition-till-september-24\/<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref6\" name=\"_ftn6\">[6]<\/a> Le chiffrement de bout en bout (en anglais, end-to-end ou E2E) \u2014 dans le cadre duquel les cl\u00e9s n\u00e9cessaires au d\u00e9chiffrage d&rsquo;une communication chiffr\u00e9e sont uniquement stock\u00e9es sur les appareils qui communiquent \u2014 assure le meilleur niveau de s\u00e9curit\u00e9 et de fiabilit\u00e9, car sa conception ne permet qu&rsquo;au destinataire vis\u00e9 de d\u00e9tenir la cl\u00e9 permettant de d\u00e9chiffrer le message.<\/p>\n<p class=\"small-text\"><a href=\"#_ftnref7\" name=\"_ftn7\">[7]<\/a> Une signature num\u00e9rique est un m\u00e9canisme garantissant l&rsquo;authenticit\u00e9 d&rsquo;un message ou des informations envoy\u00e9es. Elle permet \u00e0 l&rsquo;exp\u00e9diteur du message de joindre un code en guise de signature. Comme pour la signature manuscrite d&rsquo;une personne, la signature est unique pour chaque signataire et est comparable \u00e0 un sceau inviolable garantissant que les informations n&rsquo;ont pas \u00e9t\u00e9 alt\u00e9r\u00e9es de quelques fa\u00e7ons que ce soient depuis leur envoi.<\/p>\n<p class=\"small-text\"><a href=\"#_ftnref8\" name=\"_ftn8\">[8]<\/a> <a href=\"https:\/\/www.medianama.com\/2019\/08\/223-kamakoti-medianama-whatsapp-traceability-interview\/\">https:\/\/www.medianama.com\/2019\/08\/223-kamakoti-medianama-whatsapp-traceability-interview\/<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref9\" name=\"_ftn9\">[9]<\/a> Par exemple, quelqu&rsquo;un d&rsquo;autre peut \u00eatre en train d&rsquo;utiliser son appareil.<\/p>\n<p class=\"small-text\"><a href=\"#_ftnref10\" name=\"_ftn10\">[10]<\/a> <a href=\"https:\/\/www.medianama.com\/2019\/08\/223-exclusive-whatsapps-response-kamakotis-submission\/\">https:\/\/www.medianama.com\/2019\/08\/223-exclusive-whatsapps-response-kamakotis-submission\/<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref11\" name=\"_ftn11\">[11]<\/a> <a href=\"https:\/\/www.internetsociety.org\/policybriefs\/identity\/\">https:\/\/www.internetsociety.org\/policybriefs\/identity<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref12\" name=\"_ftn12\">[12]<\/a> <a href=\"https:\/\/signal.org\/blog\/sealed-sender\/\">https:\/\/signal.org\/blog\/sealed-sender\/<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref13\" name=\"_ftn13\">[13]<\/a> Un code de hachage est une \u00ab empreinte \u00bb num\u00e9rique fonctionnellement unique du contenu de l&rsquo;utilisateur<\/p>\n<p class=\"small-text\"><a href=\"#_ftnref14\" name=\"_ftn14\">[14]<\/a> <a href=\"https:\/\/www.schneier.com\/academic\/paperfiles\/paper-keys-under-doormats-CSAIL.pdf\">https:\/\/www.schneier.com\/academic\/paperfiles\/paper-keys-under-doormats-CSAIL.pdf<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref15\" name=\"_ftn15\">[15]<\/a> <a href=\"https:\/\/www.internetsociety.org\/fr\/resources\/doc\/2020\/la-proposition-du-fantome\/\">https:\/\/www.internetsociety.org\/resources\/doc\/2020\/fact-sheet-ghost-proposals\/<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref16\" name=\"_ftn16\">[16]<\/a> <a href=\"https:\/\/www.internetsociety.org\/fr\/resources\/doc\/2020\/fiche-dinformation-lanalyse-cote-client\/\">https:\/\/www.internetsociety.org\/resources\/doc\/2020\/fact-sheet-client-side-scanning\/<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref17\" name=\"_ftn17\">[17]<\/a> <a href=\"https:\/\/www.politico.eu\/article\/eu-commission-to-staff-switch-to-signal-messaging-app\/\">https:\/\/www.politico.eu\/article\/eu-commission-to-staff-switch-to-signal-messaging-app\/<\/a><\/p>\n<p class=\"small-text\"><a href=\"#_ftnref18\" name=\"_ftn18\">[18]<\/a> <a href=\"https:\/\/www.militarytimes.com\/flashpoints\/2020\/01\/23\/deployed-82nd-airborne-unit-told-to-use-these-encrypted-messaging-apps-on-government-cellphones\/\">https:\/\/www.militarytimes.com\/flashpoints\/2020\/01\/23\/deployed-82nd-airborne-unit-told-to-use-these-encrypted-messaging-apps-on-government-cellphones\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La tra\u00e7abilit\u00e9 ou la capacit\u00e9 de retrouver le cr\u00e9ateur d&rsquo;un contenu ou d&rsquo;un message particulier est au centre du d\u00e9bat en Inde \u00e0 propos des r\u00e8gles pour les plates-formes en ligne et les prestataires de communications. \u00c0 la fin 2018, le minist\u00e8re indien de l&rsquo;\u00e9lectronique et de l&rsquo;informatique (MeiTy) a propos\u00e9 des amendements aux r\u00e8gles [&hellip;]<\/p>\n","protected":false},"author":46,"featured_media":0,"template":"","categories":[4316,4909],"tags":[],"region_news_regions":[127],"content_category":[6105],"ppma_author":[4057],"class_list":["post-127211","resources","type-resources","status-publish","hentry","category-cryptage","category-renforcer-internet","region_news_regions-asie-pacifique","resource_types-ressource","content_category-resources-type"],"acf":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false,"square":false,"gform-image-choice-sm":false,"gform-image-choice-md":false,"gform-image-choice-lg":false},"uagb_author_info":{"display_name":"Ivana Trbovic","author_link":"https:\/\/www.internetsociety.org\/fr\/author\/trbovic\/"},"uagb_comment_info":0,"uagb_excerpt":"La tra\u00e7abilit\u00e9 ou la capacit\u00e9 de retrouver le cr\u00e9ateur d&rsquo;un contenu ou d&rsquo;un message particulier est au centre du d\u00e9bat en Inde \u00e0 propos des r\u00e8gles pour les plates-formes en ligne et les prestataires de communications. \u00c0 la fin 2018, le minist\u00e8re indien de l&rsquo;\u00e9lectronique et de l&rsquo;informatique (MeiTy) a propos\u00e9 des amendements aux r\u00e8gles\u2026","_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources\/127211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources"}],"about":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/types\/resources"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/users\/46"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/media?parent=127211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/categories?post=127211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/tags?post=127211"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/region_news_regions?post=127211"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/content_category?post=127211"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/ppma_author?post=127211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}