Commentaires : Vérification de l'âge : la nouvelle excuse pour contourner le chiffrement?

Censée renforcer la protection des mineurs en ligne, la vérification de l’âge s’impose progressivement comme un outil incontournable des politiques numériques européennes. Mais à mesure que les dispositifs se précisent, le périmètre s’élargit, les contraintes techniques se durcissent, et les garanties de confidentialité s’effritent. Et forcément, entre ambitions sécuritaires et pressions réglementaires, la frontière avec les outils de surveillance devient de plus en plus poreuse.

L’excuse du porno et des enfants pour pouvoir tout contrôler. Mais il y a déjà des moyens de contrôler l’accès aux porno, certes pas fiable à 100%, mais c’est impossible d’y arriver a 100%. Mais c’est juste pour ouvrir une porte pour tout contrôler

Triste réalité du monde d’aujourd’hui …

C’est un bon mise au point de la situation actuelle de la transition vers un internet qui sera différent, merci Chloé.
(je n’ai plus la fortitude mentale pour fouiner à droite/à gauche les infos à ce sujet, c’est vraiment cool de pratiquement tout avoir dans un seul article)

Ce qui est assez remarquable est que ces questions sur le chiffrement/vérification d’âge/porte dérobée dans les messageries sont amenées au premier plan pratiquement en même temps dans tout l’occident. Les complotistes diront que ce qui a été mis en place en 2020 durant la pandémie de COVID n’était qu’un test-run.

Les solutions techniques pour beaucoup de périmètres sont actuellement au mieux bancales, au pire inexistantes ou intrusives.

Je surveille ce qu’ils en feront des VPN. Il est possible qu’il y ait un devoir pour les éditeurs (pouvant proposer du contenu sensible) de bloquer les IP provenant des FAI non résidentiels, avec éventuellement des sanctions pour les sites à fort trafic. En attendant peut-être une généralisation du wallet d’identité numérique permettant de vérifier un des attributs (âge, citoyenneté) et d’autoriser les accès.
S’il y a une interdiction pure et simple des VPN grand public, il y aurait probablement des levées de boucliers et c’est un marqueur notable d’une montée de l’autoritarisme. Mais ce ne serait pas surprenant, s’il y a une mise sous pression par les fournisseurs de média et les problèmes liés au piratage.

Sinon un contrôle parental et basta. Franchement c’est au parents de surveiller les appareils numériques de leurs enfants, pas à l’état. C’est clairement des ronds de cuire qui veulent une traçabilité sur tout le numérique pour revendre/statistiser de la data. Et quand on voit le nombre de sites officiels/privés qui se sont fait hacker ces derniers mois, ça ne donne pas du tout envie de lâcher des infos privées sur le web dans un Gloubi-boulga Européen.
Le fait de vouloir se baser en prime sur un service américain (google) est d’autant plus risible. Et pour les anglais, quand on voit que leur système s’est fait berner par une simple image 3D de jeu, au secours.

Ils auront toujours une théorie ad-hoc c’est toujours pile je gagne, face tu perds avec les cerveaux malades. Regarde le cas Epstein aux us en ce moment, les contorsions pour sauver Trump sont hilarantes.

J’avoue que j’étais agréablement surpris aussi. Un seul reproche : l’article est 100% en auto-citation. Des références externes seraient bienvenues.

C’est effectivement un noeud qu’il va être difficile de trancher. Pas sûr que les entreprises aiment l’idée non plus (cf. les employés qui bossent avec des VPN privé). Bref, y’a beaucoup de soucis et de difficultés à lever. On est clairement sur une politique du YAKA (vrai con ?) et avec pas beaucoup de recul là.

C’est un peu simpliste ^^

Simpliste et fonctionnel.

Ha mais je ne savais pas que les USA étaient aussi sur le sujet !

Du coup, ça confirme que ma vision des choses est plus que viable, puisque ça intéresse le monde entier :

• Les éditeurs d’OS (Microsoft, Apple, Google) doivent prendre en charge la validation de l’âge en amont sur chaque session d’appareils, avec un contrôle de l’identité (sans stockage, comme les systèmes existants). Seul les comptes validés peuvent créer des comptes « Adulte », sinon par défaut c’est un compte limité.
• Les services doivent fournir un signal lisible par l’OS et/ou navigateur indiquant l’âge minimum qu’eux même exigent : si ça matche, l’accès est autorisé de façon transparente, éventuellement avec un picto ou une petite alerte. Si le système constate que l’âge ne correspond pas à l’habilitation de la session, il bloque l’accès directement, et ce sans même fournir l’âge au service.

J’y vois plutôt que des avantages :

• Facile pour les services, on peut imaginer l’équivalent d’une balise meta dans l’en-tête
• Facile à contrôler, c’est même industrialisable à la Hadopi. Il suffit de balancer des requêtes sur le site et voir si le service envoie le bon signal. S’il ne le fait pas, il est ouvertement en fraude : alerte, sanction, astreinte, etc.
• Facile pour l’utilisateur, c’est l’appareil qui est garant de l’âge. Ça évite de vérifier son identité auprès de 20 000 prestataires (par exemple si je cherche un bon Whisky à offrir pour Noël, je vais aller sur Whiskyland qui va me demander Verifix puis 10 min après sur Whisky-Paradise qui va me demander MajorID, etc.)
• Plutôt fiable, car les contrôles parentaux intégrés aux OS sont efficaces et peuvent notamment empêcher les bidouilles sur les navigateurs ou extensions, qui permettraient de contourner ou surcharger la valeur, a minima sur leur propre navigateur/store (Edge/Microsoft Store, Chrome/Play Store, Safari/App Store).
• On se parle de sociétés qui ont largement les moyens de le faire, car on se parle même pas de coûts de déploiement démentiels (alors qu’un petit domaine viticole va devoir payer chaque mois sa solution SaaS)

Le seul inconvénient, c’est de s’engager à fournir notre identité aux GAFAM, qui doivent faire preuve de bonne foi à pas la conserver. Mais franchement, je préfère leur fournir à eux plutôt qu’à une obscure start-up qui va faire la même chose sans aucune garantie de leur sérieux.

Bientôt…

clubic connect2300×1650 126 KB

T’as juste oublié tous les os libres xD

Mais bien essayé. Le problème ici comme avec le camarade du dessus c’est l’ultracrépidariasnisme qui est favorisé sur ces questions.

On a tous l’impression qu’on a des solutions simples et on manque pas mal de cas particuliers.

Dans ce cas il faut prévoir un retour de validité, et si l’OS n’est pas capable de le transmettre, le site est bloqué, ou alors il faut se connecter via un SSO qui certifie au passage, quitte à devoir vérifier à chaque accès.

Bref, je pose un concept général, pas un cahier des charges. Je me doute que dans la pratique ça sera un poil plus compliqué, mais c’est pas insurmontable. Ils sont quand même assez compétents pour trouver quelque chose de viable qui reporte pas l’intégralité de la responsabilité chez les éditeurs de service.

Et j’avoue ne pas être très fan de l’idée de confier ce genre de choses à des acteurs privées / étrangers.

Et si d’un point de vue rapide ça peut paraître satisfaisant pour toi je ne pense pas qu’on puisse évacuer le noeud du problème. La vie privée etc. Mais oui, à ce niveau de généralité pourquoi pas. Maintenant ça va forcer une concentration des os une responsabilité comme ça non ?

En soit, si on en arrive au stade où faut lutter contre un gamin de 12 ans qui compile sa distribution Linux pour outrepasser le contrôle parental et voir un film porno, je pense qu’on aura déjà évacué une grande partie du problème.

Pour la transmission à des acteurs privés, tout dépend encore une fois de comment se fait la certification, on peut aussi organiser une validation via France Identité et les équivalents étrangers qui se développent à vitesse grand V avec la dématérialisation des démarches administratives. On peut aussi avoir des vérifications en bureau de poste ou bureau de tabac, avec un outil qui donne un code unique qu’on peut valider sur un device, à l’aveugle pour l’éditeur.

En pratique, il faut juste qu’ils se bougent un peu et réfléchissent un minimum s’ils veulent pouvoir être efficaces plutôt que contraignants et inutiles.

Quand à la concentration, de toute façon quand on voit déjà le taux de devices sur des systèmes Apple/Microsoft/Google, elle est déjà là. Et tout s’oriente pour que ça continue, avec des smartphones qui deviennent des coffre fort de toute notre vie (banque, identité, clés de voiture), et des écosystèmes qui se densifient (montres, TV, cloud). D’ailleurs on voit que les smartphones sont de moins en moins rootables, même Samsung semble commencer à bloquer le bootloader depuis peu, et Google semble complexifier la tâche pour les ROMs alternatives des Pixel.

Je dis pas que c’est bien ou pas bien, juste que c’est un fait.

Enfin de toute façon, pour ce qu’on va pouvoir faire de notre côté, on aura beau avoir des idées géniales, c’est pas nous qui allons exiger des GAFAM des évolutions de leurs infrastructures.

En tout cas ça réduira le nombre d’occurence à n’en pas douter. Ça je te rejoins. C’est l’analyse coût bénéfice qui me paraît légère. Mais comme tu le dis ça dépend avant tout de la solution mise en place. Et de sa robustesse.

Je te rejoins sur le constat mais ça ne fait pas un argument pour la verrouiller encore plus. Ou j’ai raté un cours de logique.

Je suis d’accord et c’est désespérant. Même si l’UE me donne un peu d’espoir ces dernières années.

J’avoue ne pas comprendre le raisonnement : pourquoi vouloir demander aux GAFAM, qui ont déjà bien trop de pouvoir, de s’occuper en plus de vérifier les identités et les âges.

Déjà, cela revient à leur donner accès à une base d’information phénoménale. Mais surtout, pourquoi cela devrait être à eux de faire ça ? Il me parait plus logique que ce soient ceux qui tirent profit de services réservés aux adultes qui soient responsables de s’assurer que seuls ceux qui ont l’age requis puissent en profiter.

Pour faire une analogie, demander aux GAFAM, ce serait comme de demander au propriétaire d’un immeuble dans lequel se trouve un bar-tabac de s’assurer que seuls des majeurs achètent de l’alcool ou des cigarettes. Non seulement il n’en a pas la légitimité, mais, en plus, ce n’est pas son rôle.

C’est l’argument des sites pornos. Faire porter la responsabilité aux éditeurs d’Os. Moins de frais pour eux à n’en pas douter

C’est surtout une manière de renvoyer aux calendes grecques.

Ils savent très bien que les GAFAM n’accepteront jamais d’endosser cette responsabilité, et renverront la balle aux pouvoirs publics, qui la renverront aux sites pornographiques, qui la renverront aux GAFAM et ainsi de suite.

C’est une façon de faire en sorte que rien ne change, et qui a très bien fonctionné pendant des années.

Je comprends le point de vue, mais en fait le seul moyen de verrouiller correctement un appareil, c’est que la sécurité soit au niveau de l’appareil. D’ailleurs, un enfant de 10 ans ne devrait même pas être autorisé à valider le CLUF d’un système d’exploitation, puisque c’est une forme de contractualisation, surtout quand le système va manipuler des données personnelles (photos, messages…) et les mettre dans le cloud par défaut. C’est donc légitime même à cette échelle.

Après, je te rejoins en partie : ils ne devraient pas être 100% responsables du sujet, il faudrait qu’ils puissent déléguer le contrôle et uniquement appliquer le verrouillage en fonction de la validation ou non du contrôle. Par exemple, en interrogeant France Identité : ils seraient donc légitimes à exiger qu’un service public leur permette de réaliser ce contrôle sans engager leur responsabilité (ce que veulent d’ailleurs les premiers sites pornos déjà ciblés par ces législations).

Et franchement vu comme ça devient un sujet mondial sur plein de thèmes différents (réseaux sociaux, jeux d’argent, alcool, pornographie…), pour moi, ça doit rester au plus haut niveau puis redescendre pour que ce soit efficace et que ça devienne pas une usine à gaz.

Après, je reprends mon point de départ : c’est pas si compliqué pour les éditeurs d’OS. Ils ont déjà tous des contrôles parentaux, et la majorité manipule déjà des données sensibles (bancaires) pour les achats sur leurs stores. Ajouter un ID check, c’est franchement pas compliqué pour eux, et ils ont la masse critique pour engager les coûts associés (après tout, Apple a bien réussi à faire un iOS européen avec des ouvertures en plus…).

Ils ont les moyens, ça, c’est certain.

Mais ils n’en ont pas l’obligation, vu qu’ils ne proposent pas des logiciels ou des services non adaptés pour les mineurs. Si on leur demandait de faire ça, il faudrait les rémunérer, car toute peine mérite salaire, même lorsqu’on gagne déjà des milliards. Vouloir obliger des sociétés avec autant d’avocats à leur disposition à travailler à l’œil, c’est s’assurer de se faire étriller devant les tribunaux.

Avec les sites spécialisés, il n’y aurait pas d’obligation de les rémunérer. Étant donné qu’ils proposent un service interdit aux mineurs, on peut leur légitimement leur demander de veiller à ce que seuls les majeurs y aient accès. Et mieux encore, on peut aujourd’hui les y contraindre légalement. Et encore plus si on leur fournit les outils pour le faire. Et, comme on l’a vu, ici, les tribunaux donnent raison, mais c’est déjà long et compliqué.

Donc, mon raisonnement n’est pas du point de vue des moyens, il l’est du point de vue légal et comment il est possible d’imposer légalement ce type de contrôle.