Le dernier projet de traité des Nations Unies sur la cybercriminalité constitue un grand pas en arrière
Un nouveau projet de traité controversé des Nations Unies sur la cybercriminalité n’a fait qu’accroître les craintes que le traité criminalise l’expression et la dissidence, crée des pouvoirs de surveillance étendus et facilite la répression transfrontalière. Le traité proposé, initialement destiné à lutter contre la cybercriminalité, s’est transformé en un vaste traité de surveillance , augmentant le risque d’une portée excessive dans les enquêtes nationales et internationales. Le nouveau projet conserve une disposition controversée autorisant les États à contraindre les ingénieurs ou les employés à saper les mesures de sécurité, ce qui constitue une menace pour le cryptage. Ce nouveau projet non seulement ne tient pas compte de nos préoccupations, mais les approfondit également, en permettant aux nations d’élargir leur réseau en accédant aux données stockées par des entreprises à l’étranger, potentiellement en violation des lois sur la protection de la vie privée d’autres pays. Il étend dangereusement sa portée au-delà des cybercrimes spécifiquement définis dans la Convention, englobant une longue liste de non-cybercrimes. Ce projet conserve la question préoccupante de l’élargissement de la portée de la collecte et du partage transfrontalier de preuves pour tout crime grave, y compris les crimes qui violent de manière flagrante le droit des droits de l’homme. En outre, cette nouvelle version va trop loin dans les enquêtes et les poursuites pour des crimes allant au-delà de ceux détaillés dans le traité ; jusqu’à présent, ce pouvoir était limité aux seuls crimes définis à l’article 6-16 de la convention. Nous sommes profondément troublés par le mépris flagrant de notre contribution, qui éloigne encore plus le texte du consensus. Ce n’est pas seulement un oubli ; c’est un pas important dans la mauvaise direction. Initiées en 2022, les négociations sur le traité ont été marquées par des désaccords persistants entre les gouvernements sur la portée du traité et sur le rôle, le cas échéant, que les droits de l’homme devraient jouer dans sa conception et sa mise en œuvre. La nouvelle ébauche a été publiée le mardi 28 novembre ; les gouvernements tiendront des négociations à huis clos les 19 et 20 décembre à Vienne, pour tenter de parvenir à un consensus sur les crimes à inclure dans le traité, et le projet sera examiné lors de la session de négociation finale à New York fin janvier 2024, quand il est censé être finalisé et adopté. Deborah Brown, directrice associée par intérim de Human Rights Watch pour la technologie et les droits de l’homme, a déclaré que cette dernière version « est prêt à faciliter les abus à l’échelle mondiale, grâce à des pouvoirs transfrontaliers étendus pour enquêter sur pratiquement tous les « crimes » imaginables – comme la dissidence pacifique ou l’expression de l’orientation sexuelle – tout en sapant l’objectif du traité de lutter contre la véritable cybercriminalité. Les gouvernements ne devraient pas se précipiter pour conclure ce traité sans veiller à ce qu’il élève nos droits fondamentaux au lieu de les sacrifier. PAR KATITZA RODRIGUEZ Cet article a été publié en partenariat avec EFF ksquadremake.freeti.org
Démystifier le mythe des données « anonymes »
Aujourd’hui, presque tout ce qui concerne nos vies est enregistré numériquement et stocké quelque part. Chaque achat par carte de crédit, diagnostic médical personnel et préférence en matière de musique et de livres est enregistré puis utilisé pour prédire ce que nous aimons et n’aimons pas et, en fin de compte, qui nous sommes. Cela se produit souvent à notre insu ou sans notre consentement. Les informations personnelles que les entreprises collectent à partir de nos comportements en ligne se vendent avec des profits étonnants et incitent les acteurs en ligne à en collecter autant que possible. Chaque clic de souris et chaque balayage d’écran peuvent être suivis puis vendus aux sociétés de technologie publicitaire et aux courtiers en données qui les entretiennent. Pour tenter de justifier cet écosystème de surveillance omniprésent, les entreprises prétendent souvent anonymiser nos données. Ceci est censé supprimer toutes les informations personnelles (telles que le nom d’une personne) du point de données (comme le fait qu’une personne anonyme a acheté un médicament particulier à un moment et un lieu particuliers). Les données personnelles peuvent également être regroupées, les données concernant plusieurs personnes étant combinées dans le but de supprimer les informations d’identification personnelle et de protéger ainsi la vie privée des utilisateurs. Parfois, les entreprises affirment que nos données personnelles sont « anonymisées », ce qui implique un accès à sens unique où elles ne peuvent jamais être désagrégées ni réidentifiées. Mais cela n’est pas possible : les données anonymes le restent rarement. Comme le résume succinctement le professeur Matt Blaze, expert dans le domaine de la cryptographie et de la confidentialité des données : « quelque chose qui semble anonyme, le plus souvent, ne l’est pas, même s’il est conçu avec les meilleures intentions ». Anonymisation… et ré-identification ? Les données personnelles peuvent être considérées sur un spectre d’identifiabilité . En haut se trouvent les données qui peuvent identifier directement les personnes, comme un nom ou un numéro d’identité d’État, que l’on peut appeler des « identifiants directs ». Viennent ensuite les informations indirectement liées aux individus, comme les numéros de téléphone personnels et les adresses e-mail, que certains appellent des « identifiants indirects ». Viennent ensuite les données liées à plusieurs personnes, comme un restaurant ou un film préféré. À l’autre extrémité de ce spectre se trouvent les informations qui ne peuvent être liées à une personne en particulier, comme les données de recensement agrégées et les données qui ne sont pas du tout directement liées aux individus, comme les bulletins météorologiques. L’anonymisation des données est souvent entreprise de deux manières . Premièrement, certains identifiants personnels tels que nos noms et numéros de sécurité sociale peuvent être supprimés. Deuxièmement, d’autres catégories d’informations personnelles peuvent être modifiées, par exemple en masquant nos numéros de compte bancaire. Par exemple, la disposition Safe Harbor contenue dans la loi américaine HIPAA (Health Insurance Portability and Accountability Act) exige que seuls les trois premiers chiffres d’un code postal puissent être déclarés dans les données nettoyées. Cependant, dans la pratique, toute tentative de désidentification nécessite la suppression non seulement de vos informations identifiables, mais également des informations permettant de vous identifier lorsqu’elles sont considérées en combinaison avec d’autres informations connues vous concernant. Voici un exemple : Selon une étude historique , ces trois caractéristiques suffisent à identifier de manière unique 87 % de la population américaine. Une autre étude a montré que 63 % de la population américaine peut être identifiée de manière unique à partir de ces trois faits. Nous ne pouvons pas faire confiance aux entreprises pour s’autoréglementer. L’avantage financier et l’utilité commerciale de nos données personnelles l’emportent souvent sur notre vie privée et notre anonymat. En réobtenant l’identité réelle de la personne impliquée (identifiant direct) ainsi que ses préférences (identifiant indirect), les entreprises sont en mesure de continuer à profiter de nos informations les plus sensibles. Par exemple, un site Web qui demande à des utilisateurs soi-disant « anonymes » des informations apparemment triviales sur eux-mêmes peut être en mesure d’utiliser ces informations pour créer un profil unique pour un individu. Surveillance de localisation Pour comprendre ce système en pratique, nous pouvons examiner les données de localisation . Cela inclut les données collectées par les applications sur votre appareil mobile concernant vos déplacements : depuis vos déplacements hebdomadaires dans votre supermarché local jusqu’à votre dernier rendez-vous dans un centre de santé, une clinique d’immigration ou une réunion de planification de manifestation. La collecte de ces données de localisation sur nos appareils est suffisamment précise pour que les forces de l’ordre puissent placer des suspects sur les lieux d’un crime et pour que les jurys condamnent les personnes sur la base de ces preuves. De plus, toutes les données personnelles collectées par le gouvernement peuvent être utilisées à mauvais escient par ses employés, volées par des criminels ou des gouvernements étrangers, et utilisées de manière imprévisible par les dirigeants des agences à de nouvelles fins néfastes . Et trop souvent , une telle surveillance de haute technologie pèse de manière disparate sur les personnes de couleur . En pratique, il n’existe aucun moyen d’anonymiser les données de localisation individuelles puisque ces points de données servent eux-mêmes d’identifiants personnels uniques. Et même lorsque les données de localisation sont censées avoir été anonymisées, la réidentification peut être obtenue en corrélant les données anonymisées avec d’autres données accessibles au public telles que les listes électorales ou les informations vendues par des courtiers en données . Une étude de 2013 a révélé que les chercheurs pouvaient identifier de manière unique 50 % des personnes en utilisant seulement deux points de données de temps et de lieu choisis au hasard. Bien réalisée, l’agrégation des données de localisation peut contribuer à préserver nos droits personnels à la vie privée en produisant des décomptes non individualisés de comportements au lieu de chronologies détaillées de l’historique de localisation individuel. Par exemple, une agrégation peut vous indiquer combien de téléphones de personnes ont indiqué leur emplacement comme étant dans une certaine ville au cours du mois dernier, mais pas le numéro de téléphone exact ni d’autres points de données qui vous connecteraient directement et personnellement. Cependant, les experts chargés de l’agrégation sont souvent soumis à des pressions pour générer des ensembles de données agrégées granulaires qui pourraient être plus significatives pour un décideur particulier, mais qui exposent simultanément les individus à une érosion de leur vie privée. De plus, la plupart des
Comment désactiver le suivi des publicités « Privacy Sandbox » de Google et pourquoi vous devriez le faire
Google a déployé « Privacy Sandbox », une fonctionnalité Chrome annoncée pour la première fois en 2019 qui, entre autres, échange des cookies tiers – la forme la plus courante de technologie de suivi – contre ce que la société appelle désormais « Sujets ». Topics est une réponse aux réactions opposées au projet d’apprentissage fédéré des cohortes (FLoC) de Google, que nous avons qualifié de « terrible idée » car il donnait à Google encore plus de contrôle sur la publicité dans son navigateur sans vraiment protéger la vie privée des utilisateurs. Bien que son fonctionnement ait été modifié depuis 2019, Topics continue de suivre votre utilisation d’Internet pour la publicité comportementale de Google. Si vous utilisez Chrome, vous pouvez désactiver cette fonctionnalité via une série de trois paramètres déroutants. Avec la version du navigateur Chrome sortie en septembre 2023, Google suit votre historique de navigation sur le Web et génère une liste de « sujets » publicitaires en fonction des sites Web que vous visitez. Cela fonctionne comme vous pouvez vous y attendre. Au lancement, il existe près de 500 catégories publicitaires , telles que « Prêts étudiants et financement universitaire », « Parentalité » ou « Sous-vêtements », dans lesquelles vous êtes renvoyé en fonction de ce que vous lisez en ligne. Un site prenant en charge Privacy Sandbox demandera à Chrome quel genre de choses vous êtes censé faire, puis affichera une annonce en conséquence. L’idée est qu’au lieu des dizaines de cookies tiers placés sur les sites Web par différents annonceurs et sociétés de suivi, Google lui-même suivra vos intérêts dans le navigateur lui-même, contrôlant encore plus l’écosystème publicitaire qu’il ne le fait déjà. Google appelle cela « confidentialité améliorée des publicités », s’appuyant peut-être sur l’idée qu’à partir de 2024, ils prévoient de « supprimer progressivement » les cookies tiers que de nombreux annonceurs utilisent actuellement pour suivre les personnes. Mais l’entreprise continuera à engloutir vos habitudes de navigation pour vous proposer des publicités, préservant ainsi ses résultats dans un monde où la concurrence en matière de confidentialité la pousse à éliminer progressivement les cookies tiers. Google prévoit de tester Privacy Sandbox tout au long de 2024. Cela signifie que pendant environ un an, les cookies tiers continueront à collecter et à partager vos données dans Chrome. Les nouveaux sujets s’améliorent quelque peu par rapport au FLoC 2019. Il n’utilise pas l’ID FLoC, un numéro dont beaucoup craignaient qu’il ne soit utilisé pour prendre vos empreintes digitales. Les sujets de ciblage publicitaire sont tous publics sur GitHub , en évitant, espérons-le, toute catégorie clairement sensible telle que la race, la religion ou l’orientation sexuelle. Les contrôles de confidentialité des publicités de Chrome, que nous détaillons ci-dessous, vous permettent de voir dans quels types de catégories d’intérêt Chrome vous place et de supprimer tous les sujets pour lesquels vous ne souhaitez pas voir de publicités. Il existe également un moyen simple de se désinscrire, que FLoC n’a jamais vraiment eu lors des tests . D’autres navigateurs, comme Firefox et Safari, ont intégré des protections de confidentialité contre les cookies tiers en 2019 et 2020, respectivement. Aucun de ces navigateurs n’a quelque chose comme Privacy Sandbox, ce qui en fait de meilleures options si vous préférez plus de confidentialité. Google qualifiant tout cela de « confidentialité » est trompeur. Même si c’est mieux que les cookies tiers, le Privacy Sandbox continue d’effectuer un suivi, il est effectué par une seule entreprise au lieu de dizaines. Au lieu de tergiverser entre les différentes méthodes de suivi, même avec de légères améliorations, nous devrions œuvrer pour un monde sans publicités comportementales . Mais si vous vous en tenez à Chrome, vous pouvez au moins désactiver ces fonctionnalités. Comment désactiver le bac à sable de confidentialité Selon la dernière mise à jour de Chrome, vous avez peut-être déjà reçu une fenêtre contextuelle vous demandant d’accepter la « Confidentialité améliorée des publicités dans Chrome ». Si vous venez de cliquer sur le gros bouton bleu indiquant « Compris » pour faire disparaître la fenêtre contextuelle, vous vous êtes inscrit. Mais vous pouvez toujours revenir assez facilement à la page de désinscription en cliquant sur l’ icône à trois points (⋮ ) > Paramètres > Confidentialité et sécurité > page Confidentialité des annonces . Vous trouverez ici cet écran avec trois paramètres différents : Si vous utilisez Chrome, Firefox, Edge ou Opera, vous devriez également aller plus loin en matière de protection de la vie privée avec notre propre Privacy Badger , une extension de navigateur qui bloque les trackers tiers qui utilisent des cookies, des empreintes digitales et d’autres méthodes sournoises. Sur Chrome, Privacy Badger désactive également l’API Topics par défaut.PAR THORIN KLOSOWSKI CET ARTICLE A ÉTÉ PUBLIÉ EN PARTENARIAT AVEC EFF ksquadremake.freeti.org
Les négociations sur le traité de l’ONU sur la cybercriminalité se terminent sans consensus sur la portée et sans profondes divisions sur les pouvoirs de surveillance
Alors que la dernière session de négociation sur le projet de traité des Nations Unies sur la cybercriminalité s’est achevée à New York au début du mois, une chose était claire : alors que le temps presse pour finaliser le texte, peu de progrès et de consensus ont été atteints sur des points cruciaux , tels que la portée globale du traité. d’application et la portée de ses mandats de procédure pénale et de ses mesures de coopération internationale. Au lieu de cela, une multitude de modifications de mots proposées ont été ajoutées, encore compliquées par des amendements supplémentaires publiés dans des rapports informels. Bien après la fin de la session de deux semaines, le 1er septembre. Nous avons vu bon nombre des mêmes infractions pénales et mesures de surveillance très dangereuses qui n’avaient pas été incluses dans le projet zéro, réintroduites dans le texte. Le projet zéro initial, ainsi que la dernière série d’amendements discutés lors de négociations à huis clos, se sont transformés en une mer de lignes rouges. Il est devenu évident que de nombreux pays, dont la Russie, l’Érythrée, le Burundi, la Sierra Leone, le Zimbabwe, le Ghana, la Corée et d’autres, rivalisaient pour élargir la portée de la surveillance du traité proposé afin de couvrir pratiquement toutes les infractions imaginables impliquant un ordinateur, tant au niveau national qu’au niveau national. et à l’étranger. « Nous pensons qu’une future convention devrait couvrir le plus grand nombre possible d’infractions pouvant être commises à l’aide des technologies de l’information et de la communication (TIC) », a déclaré le délégué du Burkina Faso. Selon le chapitre sur la surveillance intérieure, la collecte de preuves pourrait être rassemblée contre tout acte considéré comme criminel tel que défini par les propres lois de ce pays. En ce qui concerne la coopération internationale, les projets initiaux et plusieurs amendements ultérieurs indiquent que la norme pour une telle coopération en matière de surveillance pourrait être des infractions passibles de peines allant de trois ans de prison ou plus ( le texte précédent la limitait à quatre ans).), entre autres alternatives. Ce projet de traité pourrait servir d’autorisation mondiale pour réprimer les dissidents, les minorités, les militants, les journalistes, etc. Le Canada a mis en garde les délégués contre les conséquences potentielles. Dans une déclaration (à la minute 01:01) qui a suscité de rares applaudissements de la part de l’auditoire, il a exposé en termes crus que les efforts incessants visant à élargir la portée du traité proposé l’ont transformé en un traité général d’entraide judiciaire en matière pénale, ce qui le laisse complètement en marge. Il appartient à tout État de décider quelle conduite constitue un « crime » ou un « crime grave » et ouvre une série de mesures pour réprimer ces crimes. « Cela représente le potentiel, voire l’inévitabilité, d’une portée et d’un contrôle orwelliens de la part des États qui choisiront d’abuser de cet instrument… » « Critiquer un dirigeant, danser innocemment sur les réseaux sociaux, être né d’une certaine manière ou simplement dire un seul mot, tout cela dépasse de loin la définition d’un crime grave dans certains États. Ces actes relèveront tous du champ d’application de ce traité des Nations Unies dans le projet actuel. « … il s’agit d’une Convention des Nations Unies, et en tant que telle, notre responsabilité est bien plus grande que nous-mêmes, elle est envers les populations des endroits où il n’y a aucune protection et où ce traité sera un outil multilatéral sans précédent pour étendre la portée et la collaboration de la répression. et la persécution. De plus, a déclaré le Canada, l’ONU irait à l’encontre de ses propres pratiques si le traité sur la cybercriminalité permettait aux États membres de choisir les crimes qu’ils souhaitent couvrir et cibler dans le cadre de la convention. « Nous ne trouvons aucun autre traité de justice pénale des Nations Unies, ni aucun autre traité sous l’égide de l’ONU, qui laisse entièrement entre les mains et les caprices des États membres le soin de définir l’étendue et le type de sujets qui entrent dans le champ d’application de la loi. instrument, à perpétuité. La Nouvelle-Zélande, la Suisse, la Norvège, l’Uruguay et le Costa Rica, ainsi que Human Rights Watch, Article 19 , EFF , Privacy International , Global Partners Digital , et d’autres groupes de la société civile et des entreprises comme Microsoft , ont également tiré la sonnette d’alarme, comme nous l’avons fait depuis années , sur les risques inhérents aux droits de l’homme posés par le large champ d’application de la Convention. EFFa continué de plaider en faveur d’un champ d’application restreint du traité et de ses chapitres, en ajoutant de solides garanties en matière de protection des données et de droits de l’homme dans l’ensemble du projet de convention, en supprimant l’article 28.4, qui habilite les autorités compétentes à contraindre les personnes connaissant les fonctionnalités spécifiques d’un ordinateur ou d’un appareil à fournir des informations essentielles. pour effectuer des recherches ( En savoir plus sur nos demandes actuelles.) La portée du traité proposé sur la cybercriminalité aura un impact profond sur les droits de l’homme. La question de savoir si la Convention doit s’appliquer largement ou être limitée dans son application affecte tout,des procédures pénales (telles que la surveillance nationale) à la coopération internationale (telles que l’espionnage ou l’assistance transfrontalière). En termes simples, si le pays B choisit d’agir comme le « grand frère » du pays A, il pourrait accéder aux discussions en direct d’un activiste ou retracer sa localisation exacte, le tout sur la base des normes de confidentialité laxistes et des définitions pénales arbitraires fixées par les lois du pays B. L’absence de mandat dans le traité proposé pour qu’un même acte soit considéré comme un crime dans les deux pays ne fait qu’amplifier les risques. Et le seuil de peine proposé de 3 ou 4 ans pour invoquer les pouvoirs de coopération internationale ne contribue guère à inspirer confiance. De nombreuses lois criminalisant la parole pourraient facilement s’adapter à ce moule, ouvrant la voie à un usage abusif de la surveillance à grande échelle. La Sierra Leone a déclaré aux États membres lors de la séance de négociation à New York : « Imaginez un scénario dans lequel un ressortissant particulier résidant dans un autre pays continue
Célébrons dix ans de cryptage du Web avec Let’s Encrypt
Il y a dix ans, le Web était un endroit très différent. La plupart des sites Web n’utilisaient pas HTTPS pour protéger vos données. En conséquence, les fouineurs pourraient lire des e-mails ou même prendre le contrôle de comptes en volant des cookies . Mais un groupe de chercheurs et de technologues déterminés de l’EFF et de l’Université du Michigan rêvaient d’un monde meilleur : un monde où chaque page Web que vous visiteriez serait protégée contre l’espionnage et les interférences. Pendant ce temps, un autre groupe de Mozilla travaillait sur le même rêve. Ces rêves ont conduit à la création de Let’s Encrypt et d’outils comme Certbot d’EFF, qui simplifient la protection des sites Web et rendent la navigation sur le Web plus sûre pour tous. Il y avait un gros obstacle : pour déployer HTTPS et protéger un site Web, les personnes qui géraient ce site Web devaient acheter et installer un certificat auprès d’une autorité de certification. Le prix était un obstacle majeur à l’obtention de plus de sites Web sur HTTPS, mais la complexité de l’installation des certificats était encore plus importante. En 2013, l’Internet Security Research Group (ISRG) a été fondé , qui allait bientôt devenir le siège de Let’s Encrypt, une autorité de certification fondée pour aider à chiffrer le Web. Let’s Encrypt était radical en ce sens qu’il fournissait des certificats gratuitement à toute personne possédant un site Web. Let’s Encrypt a également introduit un moyen d’automatiser le risque et la corvée d’émettre et d’installer manuellement des certificats. Avec le nouveau protocole ACME , toute personne disposant d’un site Web peut exécuter un logiciel (comme Certbot d’EFF ) qui combine les étapes d’obtention d’un certificat et de son installation correcte. Depuis lors, Let’s Encrypt et Certbot ont connu un énorme succès, avec plus de 250 millions de certificats actifs protégeant des centaines de millions de sites Web. C’est un énorme avantage pour la sécurité et la confidentialité en ligne de chacun. Lorsque vous visitez un site Web qui utilise HTTPS, vos données sont protégées par un cryptage en transit, de sorte que personne d’autre que vous et l’opérateur du site Web ne puisse les voir. Cela empêche également les fouineurs de faire une copie de vos cookies de connexion et de prendre le contrôle des comptes. La mesure la plus importante des succès de Let’s Encrypt et de Certbot est la proportion de la navigation Web quotidienne des gens qui utilise HTTPS. Selon les données de Firefox, 78 % des pages chargées utilisent HTTPS. C’est considérablement amélioré par rapport à 27% en 2013 lorsque Let’s Encrypt a été fondé. Il reste encore beaucoup de travail à faire pour arriver à 100 %. Nous espérons que vous vous joindrez à EFF et Let’s Encrypt pour célébrer les succès de dix ans de cryptage du Web et l’anticipation de la croissance future et de la sécurité en ligne. PAR JACOB HOFFMAN-ANDREW Cet article a été publié en partenariat avec EFF ksquadremake.freeti.org
Traité des Nations Unies sur la cybercriminalité – Lettre de la société civile
Le premier projet de Convention des Nations Unies sur la cybercriminalité supprime des dispositions troublantes, mais des pouvoirs de surveillance transfrontalière dangereux et illimités sont toujours sur la table Traité des Nations Unies sur la cybercriminalité – Lettre de la société civile Première partie d’un article en deux parties sur le premier projet de la Convention des Nations Unies sur la cybercriminalité. La première partie présente le contexte des négociations et analyse notre première vision de l’Avant-projet et de ses implications pour les droits de l’homme. La partie II analyse les dispositions les plus problématiques du projet. Le premier projet officiel négocié très attendu de la proposition de Convention des Nations Unies sur la cybercriminalité – façonné par plusieurs mois de négociations menées par les États membres dans lesquelles l’EFF a été profondément impliqué – est maintenant public. La convention, si elle est approuvée, entraînera la réécriture des lois pénales du monde entier traitant de l’accès des forces de l’ordre aux données personnelles au-delà des frontières, de l’utilisation des technologies de surveillance par un pays pour espionner les personnes dans un autre pays et de la mesure dans laquelle les pays peuvent s’obliger mutuellement à coopérer, par exemple pour l’interception en temps réel des communications des personnes. L’EFF et ses partenaires internationaux défendent les utilisateurs depuis que la convention a été proposée pour la première fois il y a plusieurs années, appelant à de solides protections des droits de l’homme, révisant le libellé de la convention proposée, soumettant des recommandations et s’opposant aux dispositions concernées, et s’adressant aux États membres en personne lors des sessions de négociation cette année et dernière. Avec la sortie de ce « zéro brouillon,”Les États membres entameront des négociations article par article pour parvenir à un consensus sur un projet final lors d’une session marathon de deux semaines du 21 août au 1er septembre. L’EFF sera là, poursuivant nos efforts en faveur de solides protections des droits de l’homme dans le traité. L’EFF et Privacy International se sont penchés sur l’avant-projet et ont envoyé aux États membres notre première série d’amendements . Mais avant de nous plonger dans les caractéristiques les plus préoccupantes du texte, voici un bref récapitulatif de la façon dont nous en sommes arrivés là. Un récapitulatif rapide de la Convention des Nations Unies sur la cybercriminalité Dès le début des négociations , l’EFF s’est opposé au projet de convention dans son ensemble, le jugeant inutile. Malgré nos réserves, nous nous sommes activement engagés de bonne foi à chaque étape du processus de négociation. Nous voulons nous assurer que la convention proposée est spécifique et limitée dans son champ d’application, et qu’elle n’incorpore pas d’infractions liées au contenu ou n’autorise pas des pouvoirs de surveillance intrinsèquement arbitraires, excessifs ou illimités. En outre, toutes les autorités de surveillance, y compris celles qui sont transnationales, devraient être soumises à des limitations appropriées. Nous espérons ardemment que la convention proposée ne deviendra pas un instrument de répression transnationale, comme cela s’est produit par le passé avec d’autres mécanismes de coopération en matière d’application de la loi. INTERPOL , par exemple, est une organisation intergouvernementale de 193 pays qui facilite la coopération policière mondiale. Mais Human Rights Watch a documenté de nombreuses allégations sur la manière dont la Chine , Bahreïn et d’autres pays ont abusé du système de notices rouges d’INTERPOL , une liste internationale de “personnes recherchées”, pour localiser des critiques pacifiques des politiques gouvernementales ” pour des délits mineurs et surtout à des fins politiques”..” Le traité de l’ONU ne devrait pas donner aux gouvernements une base juridique pour justifier l’utilisation de pouvoirs de surveillance illimités pour des crimes mal définis qui pourraient être exploités à des fins politiques, des délits mineurs ou des crimes qui sont intrinsèquement incompatibles avec le droit international des droits de l’homme, en particulier lorsque cela peut conduire à des horreurs telles que la torture ou des disparitions forcées. Nous continuerons à plaider pour des garanties renforcées afin de limiter l’utilisation abusive des pouvoirs de surveillance par les forces de l’ordre. La convention proposée devrait représenter une norme minimale plutôt qu’une limite maximale – elle doit servir de référence et non de seuil supérieur. Et il ne doit pas être utilisé pour saper les solides garanties nationales préexistantes en matière de droits de l’homme. La convention proposée devrait être adoptée en janvier 2024. Nous prévoyons que les États membres s’efforceront de parvenir à un consensus pour encourager une adoption généralisée du projet de texte. Un vote peut avoir lieu si le consensus ne peut être atteint après avoir épuisé toutes les tactiques de négociation, car les enjeux et les menaces auxquels cette proposition de convention répond sont importants. Pour l’instant, il n’est pas clair si les États membres parviendront à un accord en janvier ou si le délai devra être prolongé. Ce sont deux articles résumant nos premiers plats à emporter après un premier examen des brouillons zéro; nous aurons plus à dire avant la réunion de New York le mois prochain. Cela vaut la peine de réitérer le principe des négociations multilatérales selon lequel « rien n’est convenu tant que tout n’est pas convenu » – le projet de texte pourrait changer dans les négociations futures. Qu’y a-t-il dans le Zero Draft ? La plupart des propositions visant à inclure explicitement des infractions autres que la cybercriminalité sont atténuées, mais des textes ambigus persistent Les textes précédents de dispositions non négociées contenaient plus de 30 infractions , telles que le trafic de drogue, incluses uniquement parce que des systèmes informatiques avaient été utilisés dans la commission du crime. Le nouveau projet supprime certaines de ces infractions et ne fait plus explicitement référence aux infractions autres que la cybercriminalité. En effet, cela signifie qu’en vertu de cette convention, seuls les cybercrimes “essentiels” – pas les crimes où un auteur a utilisé le courrier électronique, mais les crimes ciblant les systèmes informatiques, tels que l’utilisation de logiciels malveillants pour s’introduire dans un système informatique – devraient être les
Pour sauver l’actualité, nous avons besoin d’un Web de bout en bout
Une fois, les agences de presse se sont entassées avec enthousiasme dans les médias sociaux. De nouvelles plateformes comme Facebook et Twitter étaient de puissants « entonnoirs de trafic », où des systèmes de recommandation algorithmiques mettaient des extraits de reportages devant un vaste public de nouveaux lecteurs, qui suivaient les liens à la fin de l’extrait pour découvrir les sources qui faisaient partie de leur nouvelles-régimes réguliers.
La législation sur la confidentialité numérique est une législation sur les droits civils
Nos données personnelles et la manière dont les entreprises privées les récoltent et les monétisent jouent un rôle de plus en plus puissant dans la vie moderne. Les bases de données d’entreprise sont vastes, interconnectées et opaques. Le mouvement et l’utilisation de nos données sont difficiles à comprendre, et encore moins à retracer. Pourtant, les entreprises l’utilisent pour tirer des conclusions à notre sujet, ce qui entraîne la perte d’emplois, de crédits et d’autres opportunités.
Comment les différentes applications de messagerie cryptées traitent-elles les messages supprimés ?
Une caractéristique de diverses applications de messagerie cryptées de bout en bout (E2EE) et d’autres messages de médias sociaux non E2EE est la disparition des messages, qui sont automatiquement supprimés après une période de temps définie. Cette fonctionnalité peut être utile pour la confidentialité générale au sein de votre réseau étendu, les utilisateurs à haut risque et la suppression préventive des conversations secondaires facilement dans les discussions linéaires. Cependant, différentes applications de messagerie gèrent les messages supprimés et disparaissent un peu différemment, en particulier en ce qui concerne les messages cités, les sauvegardes de chat et les notifications de capture d’écran. Il est important de noter qu’il ne s’agit pas d’une vulnérabilité dans le logiciel, mais cela pourrait amener quelqu’un à modifier son modèle de menace , sa façon de penser à la protection de ses données et de sa vie privée. Ci-dessous, nous notons la variance qui existe entre les différentes applications. Comment Signal gère les messages supprimés et disparus dans les réponses Lorsqu’un utilisateur sur Signal supprime un message, si ce message a déjà été cité dans une réponse, l’application affiche toujours environ 70 caractères du message. Si l’heure d’un message qui disparaît a été modifiée pendant que quelqu’un répond, le message cité reste pour la durée de la nouvelle heure définie sur la réponse. Toutes les applications que nous avons examinées ont des options de suppression manuelle des messages, mais les intervalles de suppression automatique varient. Pour Signal, la période de suppression automatique la plus courte est de 30 secondes. Les sauvegardes de chat dans Signal sont automatisées sur une fenêtre de 24 heures ou à la demande. Si un utilisateur active les sauvegardes de chat, tous les messages visibles pendant une période donnée peuvent potentiellement se trouver dans son fichier de sauvegarde. Heureusement, Signal et WhatsApp ont des sauvegardes cryptées pour une protection supplémentaire dans les cas où un tiers pourrait essayer d’accéder à ces informations. Comment WhatsApp gère les messages supprimés et disparus dans les réponses WhatsApp reconnaît le scénario de réponse cité dans sa FAQ. Signal devrait également le faire dans sa documentation . « Lorsque vous répondez à un message, le message initial est cité. Si vous répondez à un message qui disparaît, le texte cité peut rester dans le chat après la durée que vous avez sélectionnée. L’intervalle de disparition automatique le plus court de WhatsApp est de 24 heures. Cette période prolongée peut permettre aux sauvegardes des messages supprimés automatiquement de WhatsApp d’être plus courantes. Comment Facebook Messenger gère les messages supprimés et disparus dans les réponses Dans les conversations FB Messenger Secret (E2EE), les messages originaux sont supprimés dans le texte entre guillemets après la suppression ou la disparition d’un message. Cependant, le message reste au-delà de son minuteur de suppression automatique si aucun utilisateur ne tape ou ne quitte le chat. Pas aussi inquiétant dans la pratique, mais c’est une bizarrerie notable. Secret Conversation propose également des notifications de capture d’écran lorsque les messages sont configurés pour disparaître automatiquement. L’intervalle le plus court est de 5 secondes pour la suppression automatique, le temps le plus court parmi les trois messagers. Il n’y a pas non plus de mécanismes de sauvegarde de chat disponibles pour l’utilisateur sur le téléphone, mais il est enregistré sur la plate-forme Facebook. Les messages qui disparaissent sont également supprimés du stockage local peu de temps après. La documentation est la clé Nous nous sommes concentrés principalement sur les applications basées sur E2EE, mais il existe d’autres applications de médias sociaux comme Snapchat qui proposent des messages qui disparaissent. Nous n’avons pas testé cette bizarrerie de réponse dans Snapchat. Cependant, comme pour les autres applications que nous avons examinées, vous pouvez enregistrer des messages ou prendre des captures d’écran. Il ne s’agit pas d’une vulnérabilité logicielle, mais souligner les différences de traitement des messages éphémères en vaut la peine, car les principales applications E2EE appliquent des paramètres différents. Les messages doivent être supprimés lorsqu’ils expirent ou supprimés manuellement. De petites erreurs se produisent tout le temps dans les discussions de groupe que vous voudrez peut-être supprimer immédiatement sans aucune preuve historique, y compris les citations. Par exemple, coller accidentellement un mot de passe dans une grande discussion de groupe où vous ne connaissez peut-être pas très bien tout le monde, ou des cas plus graves, où quelqu’un pourrait potentiellement être signalé aux forces de l’ordre pour avoir demandé des soins de reproduction. Même lorsqu’ils sont associés à la crainte que quelqu’un puisse prendre des captures d’écran de conversations, les messages éphémères sont une fonctionnalité très utile pour de nombreux scénarios différents, et dans le climat actuel, où les communications privées sont régulièrement attaquées, l’amélioration de ces fonctionnalités et leur documentation , et l’utilisation des communications E2EE restera une nécessité importante pour l’exercice de votre droit à la vie privée. PAR ALEXIS HANCOCK Cet article a été publié en partenariat avec EFF ksquadremake.freeti.org
Chronologie du Traité des Nations Unies sur la cybercriminalité
La Fédération de Russie présente une lettre à l’Assemblée générale des Nations Unies contenant un projet de Convention des Nations Unies sur la coopération dans la lutte contre la cybercriminalité, destinée à être distribuée aux États membres. Novembre 2019Une résolution, sponsorisée par la Russie – avec la Biélorussie, le Cambodge, la Chine, l’Iran, le Myanmar, le Nicaragua, la Syrie et le Venezuela – visant à mettre en place une convention internationale pour lutter contre la cybercriminalité passe devant l’Assemblée générale des Nations Unies. La résolution a rencontré l’opposition des États-Unis, de l’UE et d’autres nations. Les organisations de défense des droits de l’homme, dont l’Association pour le progrès des communications et l’EFF, ont exhorté l’Assemblée générale à voter contre la résolution, craignant qu’elle « ne puisse porter atteinte à l’utilisation d’Internet pour exercer les droits de l’homme et faciliter le développement social et économique ». Décembre 2019L’Assemblée générale des Nations Unies adopte une résolution pour créer un Comité ad hoc (AHC) chargé de rédiger une convention des Nations Unies « sur la lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles ». La participation au CAH est ouverte à tous les États membres du monde, ainsi qu’aux observateurs des États non-membres (comme l’UE et le Conseil de l’Europe), à la société civile et aux organisations non gouvernementales (ONG) à des degrés divers. L’Office des Nations Unies contre la drogue et le crime (UNODC), par l’intermédiaire du Service de la criminalité organisée et du trafic illicite, de la Division des traités, assure le secrétariat du Comité spécial. Cependant, le calendrier de cet effort était controversé, car une autre résolution de l’Assemblée générale des Nations Unies avait soulevé des inquiétudes quant au fait que les lois sur la cybercriminalité « sont dans certains cas utilisées à mauvais escient pour cibler les défenseurs des droits de l’homme ou ont entravé leur travail et mis en danger leur sécurité d’une manière contraire au droit international ». Août 2020L’AHC reporte sa première réunion d’organisation à New York à 2021 en raison du COVID-19. Janvier 2021Human Rights Watch déclenche les alarmes sur le fait que les États membres de l’ONU entament le processus d’un traité sur la cybercriminalité dont « les champions sont certains des gouvernements les plus répressifs du monde… l’initiative soulève de graves préoccupations en matière de droits humains ». Mai 2021L’AHC convoque la session d’organisation inaugurale, avec des représentants de plus de 160 pays convenant d’un plan et des modalités des négociations. L’AHC appelle à au moins six sessions de négociation de 10 jours chacune à partir de 2022, qui se tiendront à New York et à Vienne. L’Assemblée générale adopte la proposition parmi des plaintes du Royaume-Uni et d’autres pays selon lesquelles les États membres n’ont pas été consultés sur le texte final et le processus de rédaction manquait d’inclusivité. De nombreux orateurs avaient des objections similaires, dont plusieurs divergeaient sur la structure décisionnelle de l’AHC. Fixant les conditions des négociations, le Brésil a introduit un amendement exigeant que le comité obtienne l’approbation d’une majorité des deux tiers des représentants, plutôt qu’une majorité simple favorisée par la Russie, « avant laquelle le président informera le comité que tout effort pour parvenir à un accord par le consensus a été épuisé ». L’amendement a été approuvé par 88 voix contre 42, avec 32 abstentions. Dans une décision emblématique distincte visant à plus de transparence et d’inclusion, les États membres ont approuvé une liste de représentants des institutions universitaires, du secteur privé et des ONG concernés, notamment EFF, Eticas, Red en Defensa de los Derechos Digitales, Global Partenaires Digital, Hiperderecho et Instituto Panameño de Derecho y Nuevas Tecnologías, entre autres. Les ONG dotées du statut consultatif auprès de l’ECOSOC peuvent également y assister, telles que Privacy International, Human Rights Watch et Derechos Digitales. Décembre 2021Avant la première session de négociation de l’AHC, EFF, Human Rights Watch et plus de 100 organisations et universitaires travaillant dans 56 pays, régions ou dans le monde, exhortent les membres de l’AHC dans une lettre à s’assurer que les protections des droits de l’homme sont intégrées dans le produit final. Le projet de traité des Nations Unies sur la cybercriminalité est présenté au moment même où les mécanismes des droits de l’homme des Nations Unies sonnent l’alarme sur l’abus des lois sur la cybercriminalité dans le monde, indique la lettre. Les groupes soulignent : « Il est essentiel de limiter la portée de toute convention sur la cybercriminalité pour protéger les droits de l’homme ». Janvier 2022Le Comité pour la protection des journalistes (CPJ) avertit que le projet de traité de l’ONU sur la cybercriminalité pourrait mettre en danger les journalistes en donnant de nouveaux outils aux autorités qui cherchent à punir ceux qui rapportent l’actualité. « De nombreuses autorités à travers le monde invoquent déjà les lois sur la cybercriminalité ou la cybersécurité pour punir les journalistes – non pas pour avoir secrètement piraté des réseaux ou des systèmes, mais pour avoir ouvertement utilisé les leurs pour faire connaître des actes répréhensibles », a déclaré le CPJ dans un communiqué. Février 2022La première session officielle de 10 jours de l’AHC se réalise à New York et les négociations commencent. L’EFF et les ONG de défense des droits de l’homme participent à distance et en personne, et soulignent l’importance de la protection des droits de l’homme dans tout projet de traité des Nations Unies sur la cybercriminalité. La crise en Ukraine occupe une place importante dans les pourparlers, qui coïncident avec les rares sessions d’urgence de l’Assemblée générale et du Conseil de sécurité de l’ONU, où les membres ont condamné l’invasion de l’Ukraine par la Russie. Une feuille de route et un mode de travail sont adoptés, abordant les objectifs, la portée et la structure de la convention. Il est important de noter que l’approbation a été donnée pour la tenue de consultations intersessions entre les sessions de négociation du CAH afin de solliciter la contribution d’un large éventail de parties prenantes, y compris des organisations de défense des droits de l’homme et du numérique, sur la formation du projet de traité. Les soumissions des États membres à la première session démontrent un manque prononcé de consensus sur ce qui constitue un « cybercrime » et sur la portée du