Impact de la nouvelle loi sur les réseaux sociaux

Legal
1

Bonjour à tout.es,

Une nouvelle loi imposant une « majorité numérique » vient d’être vôtée au parlement et je me questionne beaucoup sur l’impact qu’elle pourrait avoir sur des CHATONS hébergeant des réseaux sociaux: https://france3-regions.francetvinfo.fr/corse/majorite-numerique-a-15-ans-la-proposition-de-loi-portee-par-laurent-marcangeli-adoptee-2725022.html

Sans être juriste, j’ai l’impression que c’est dans la même veine que le contrôle a priori du contenu publié sur les réseaux sociaux, ça va être compliqué pour le Fediverse. Ce qui m’inquiète le plus est une amendement:

Un amendement a par ailleurs ajouté une contrainte en prévoyant que les parents ne pourraient pas donner leur accord pour les moins de 13 ans, sauf pour des « plateformes labellisées »

Le processus de labellisation va favoriser les plateformes centralisées…

Est-ce que quelqu’un.e par ici aurait plus d’informations sur cette loi et ses conséquences?

1 « J'aime »
2

Bizarre il me semblait que c’était déjà dans un règlement européen (sauf la partie labellisation).

Perso, je suis pour une interdiction tout court pour les -13ans.

3

L’interdiction pure et simple pour les -13 ans peut me sembler un peu rude surtout que le terme « réseau social » peut aussi englober des plateformes vidéos type Peertube (un enfant serait donc interdit d’accéder à une instance éducative?). Mais je n’ai jamais réfléchi à la question plus que ça donc je ne pense pas être armé pour un débat concret sur le sujet.

Ce qui m’inquiète plus dans cette loi est qu’elle introduit l’obligation de demander l’accord parentale pour toute inscription d’un moins de 15 ans. Techniquement, l’introduction d’un contrôle parental n’est pas trivial. Pour esquiver ça, on pourrait évidemment refuser par facilité l’inscription aux moins de 15 ans.

De plus, si on se réfère aux dernières lois sur les sites porno qui sont maintenant obligés de faire une vraie vérification de l’âge (même si les sites en question font de la résistance), on peut se questionner si ce type de vérification ne devrait pas être obligatoire pour tout service web introduisant une notion de majorité.

J’ai cette impression du pente un peu glissante dans les dernières lois françaises liées aux services numériques: je comprends leurs motivations mais ne suit pas forcément convaincu par les solutions proposées

4

Pour ce qui est du règlement européen, l’article fait référence à une législation européenne:

La « majorité numérique » à 15 ans à laquelle se réfère le texte n’est pas nouvelle : elle a été introduite en France en 2018 en application d’une législation européenne, qui laissait la possibilité de la fixer entre 13 et 16 ans. Mais ce seuil concerne plus largement l’âge sous lequel un accord parental est requis pour que les données personnelles d’un mineur soient traitées. Pas véritablement appliqué, il n’a pas eu d’impact en termes d’accès des enfants aux réseaux sociaux.

5

Oui je viens de faire des recherches et là c’est la transposition du Digital Service Act qui va forcer les plateformes à vérifier l’age et l’autorisation parentale.

Mais en fait il y avait déjà des règlements précédent et des débats sur la majorité numérique, juste les plateformes n’étaient pas contraintes de vérifier. En europe, ça variait entre 13 et 16 ans.

Je suis d’accord avec toi que la question de la vérification d’age à partir de tiers, est une question délicate.

Pour ce qui est de mon opinion sur l’utilité du numérique pour les -13 ans, elle se base à la fois sur:

  • le coût écologique et social d’équiper des enfants/ados en appareil numérique
  • les difficultés que ça génère entre les jeunes dans les écoles/collèges ou en famille
  • la difficulté de réguler l’accès au contenu inapproprié
  • le fait que les familles sont tentées par les outils de contrôle parentaux de surveiller les chats ou la position géographique de l’enfant
  • le fait qu’avant 13 ans on a pas la capacité d’abstraction pour comprendre ce qui est en œuvre contre soi dans une interface numérique (modèle hooked ou dark pattern par exemple)
  • et enfin parce que l’éducation par le numérique pour les enfants et pré-ados n’a pas fait ses preuves, c’est plutôt le contraire

Bref, vu qu’on parle de minerais de sang, je pense que la question mérite de se poser.

1 « J'aime »
6

Voilà une interview qui ajoute des éléments: https://www.francetvinfo.fr/internet/reseaux-sociaux/reseaux-sociaux-l-accord-parental-a-15-ans-est-tout-a-fait-applicable-estime-la-directrice-generale-de-l-association-e-enfance_5690693.html

La personne interviewée évoque:

des "systèmes de biométrie, qui permettent d’estimer l’âge à partir d’une image", ou bien la demande d’une « carte d’identité »

7

Mais c’est clair qu’il y a danger, si les tiers de « confiance » sont détournés et ces dispositifs généralisés, nous pourrions aboutir à des situations de détournement de ces dispositifs (pour par exemple bloquer des accès en faisant croire que la personne est mineur ou autre).

8

Bonjour à tous,

Un nouveau débat interessant: jeunesse et numérique.

Un enfant ou un adolescent/une adolescente ne peux pas acheter une bouteille d’alcool ou un magazine porno dans un magazin parce qu’il y a un/une adulte (le/la vendeuse) qui l’en empeche.

Laisser l’accès au numérique (via les écrans) sans un contrôle d’un/d’une adulte (en l’occurence ici, les parents), ne se serait pas comme rendre tout les magazins totalement automatisé où il suffit d’appuyer sur un bouton « oui, je suis majeur » pour acheter ce que l’on veux.

Dans tout ce problème, où est la place des parents, les premiers éducateur/educatrice des jeunes ?
N’est ce pas à eux d’accompagner leurs enfants au numérique ?
Est-ce que le numérique n’est pas trop souvent considéré par les parents comme la « nounou » idéale ? (on les plante devant un écran et comme ça, on a la paix)

3 « J'aime »
9

Bonjour :slight_smile:

Concernant la mise en œuvre technique pour vérifier la majorité de l’internaute, je vous mets un extrait de Backseat (talk-show actualité / politique diffusé sur Twitch) avec un des ingénieurs qui a développé le système qui a priori sera utilisé (22 minutes) :

En résumé :

  • le site pour adulte génère un challenge,
  • on entre le challenge sur le site de validation (un truc officiel pouvant +/- garantir qui tu es),
  • on récupère un jeton qu’on donne au site pour adulte,
  • le « site officiel » sait donc que tu souhaites aller sur un site pour adulte, mais ne sait pas lequel,
  • la biométrie est donc évitée,
  • le système serait utilisable pour d’autres sujets : vente d’alcool ou paris en ligne par exemple (dans ce cas, le site officiel ne pourra même pas dire quel type de site tu souhaites fréquenter).

Ça pourrait peut-être être mieux mais ça pourrait très facilement être pire.

2 « J'aime »
10

J’avais déjà vu l’émission Backseat qui était super intéressante! Je comprends bien les limites en terme de vie privée du système de jetons anonymes mais j’ai des questionnements sur les conséquences que ça pourrait avoir sur des services décentralisés.

Admettons que le contrôle (anonyme) de l’age soit étendu également aux réseaux sociaux sur la base technique de ce qui est proposé pour les sites porno. Il faut donc définir les tiers chargés de vérifier l’âge. Ca pourrait être un site étatique (ce qui pourrait être vite chiant pour les étrangers par exemple). On parle de déléguer ça aux FAI; dans ce cas, les FAI alternatifs seront lésés car il sera peut-être compliqué de certifier de petits FAI pour qu’ils soient acceptés par des géants de la Tech.

Je me questionne également sur la facilité de générer et transmettre ces jetons. La base scientifique est bien établie mais la base technique du projet me semble excessivement floue.

Alors qu’on essaie de promouvoir de la décentralisation du Web, de telles décisions législatives m’inquiètent car elle me donne l’impression de rendre les services centralisés comme seule solution viable.

1 « J'aime »
11

Si ce principe de double anonymat se répand dans pleins de pays et sur plein de type de site, ça risque fort de mettre à mal des vrais outils d’anonymat comme Tor Browser.

Dans les faits passer un jeton (dont on ne peux s’assurer de ce qu’il marque) à un tiers étatique (ou facilement accessible à un état comme un FAI), c’est un formidable moyen de casser l’anonymat justement.

12

En théorie, l’anonymat devrait être préservé. Les jetons anonymes ont justement été proposé dans la littérature scientifique par exemple pour de l’authentification anonyme utilisable avec des systèmes comme Tor.

En pratique, ton client demandera simplement à un tiers de confiance de générer un jeton certifiant ton age. Ce tiers ne découvre pas quel est l’utilisation de ce jeton. Je ne crois pas que l’anonymat puisse être cassé.

Ca reste que ça crée un problème de confiance pas simple pour certain.es utilisateurs.trices.

13

Si le site enregistre le jeton et que l’autorité de certification le fait aussi (que ce soit parce que c’est loggué ou parce que les services de renseignement le demande), dans ce cas on peut comparer les jetons d’un côté et de l’autre (et paf plus d’anonymat). Il me semble qu’il y a déjà des attaques similaires sur tor si on maîtrise nœud de garde et nœud de sortie ou site web de destination.

Il y a par ailleurs déjà dans l’arsenal législatif de quoi mettre en place des interceptions ou du log.

La multiplicité des autorités de certif peut être une solution pour limiter ce problème, mais c’est pas tip top.

14

dans ce cas on peut comparer les jetons d’un côté et de l’autre

Le concept de jeton anonyme (plus précisément anonymous credentials en anglais) est censé protéger contre cette comparaison. Pour la vérification, tu ne transmets pas le jeton lui même comme tu le ferais avec un jeton JSON mais une preuve cryptographique que tu possède un jeton certifiant ton age.

J’ai trouvé ce billet de blog qui donne une introduction plutot haut niveau: https://idemix.wordpress.com/2009/08/18/quick-intro-to-credentials/
Sinon, il y a l’article scientifique suivant mais faut un bon background en cryptographie pour le comprendre: https://eprint.iacr.org/2012/298.pdf

Pour donner un exemple plus concret, un système de sondage anonyme via Tor avait été proposé et il utilisait justement une authentification anonyme: https://dl.acm.org/doi/10.1109/SP.2014.31

Quand on me parle de vérification anonyme et que le projet est supervisé par un cryptographe, je m’attends à ce que ce type de cryptographie soit utilisé. Je ne connais pas les détails du projet actuel donc j’ai pas pris le temps d’analyser de potentielles faiblesses mais c’était juste pour dire que ce n’est pas impossible de garantir l’anonymat d’où le fait que mon inquiétude soit surtout sur la centralisation du processus.

15

En tant que parent et grand parent, je préfère de loin accompagner les usages numériques de mes enfants et de mes petits-enfants plutôt que d’imaginer possible de les empêcher. Je précise que mes enfants sont aujourd’hui des adultes émancipés :wink:

@MarcT0K Si vous souhaitez plus d’informations sur DMA|DSA et les discussions en cours dans les instances européennes, vous pouvez également suivre l’actualité de edri.org Cela permet de mieux comprendre les enjeux de privacy au delà de la simple question technologique.

2 « J'aime »
16

@stephane merci pour la suggestion, j’y jetterai un oeil à l’occasion.

Je vais me permettre de recentrer le débat car mon intention n’était pas de discuter les motivations de la loi mais plutot ses conséquences sur les CHATONS: quel va être l’impact sur les CHATONS des lois mentionnées plus haut (notamment celle votée cette semaine à l’assemblée nationale)?
Dans la mesure où certains CHATONS hébergent des instances de réseaux sociaux, je me demande quel décision vont être prises pour respecter (ou non) la loi tout en restant fidèles aux principes de décentralisation.

Sachant que le loi est toute fraiche, je doute qu’un CHATON est une réponse toute prête mais je me permets d’ouvrir ce débat

17

Je réagissait à l’info d’@obitanz, j’espère que t’as raison et que c’est plus complexe que ça. Pas eu le temps d’analyser comment ce type de crypto empêche la désanonymisation si l’issuer et le verifyer sont « malveillant » et de mèche, mais c’est peut-être vrai.
Il y a aussi un problème ergonomique dans cette histoire, est-ce qu’on mesure l’impact de ce type d’authentification sur les 30% qui galèrent avec le numérique.

Bon sur le fond, tout ça pause quand même question: si on avait déjà ce genre de techno en place couramment sur les siteweb, est-ce que pendant la pandémie on aurait été tenté de couper netflix à tout les non vaccinés (juste parce qu’on a « envie de les faire chier »).

Qu’on se comprenne bien, je suis pour une interdiction d’avoir un équipement numérique personnel pour les -13. J’ai rien contre le fait d’être devant un équipement avec un parent.

18

Est-ce qu’on sait si cette règle s’applique aux plateforme de moins de 45 millions d’utilisateur⋅ices ?
(il me semble qu’il y a cette distinction dans le DSA)

19

Est-ce qu’on sait si cette règle s’applique aux plateforme de moins de 45 millions d’utilisateur⋅ices ?
(il me semble qu’il y a cette distinction dans le DSA)

Je ne suis pas juriste donc ce que je vais dire est à prendre avec des pincettes.

J’ai l’impression qu’il n’y a pas de telles conditions dans la loi approuvée par le parlement: https://www.assemblee-nationale.fr/dyn/16/textes/l16t0082_texte-adopte-seance

Dans le projet de loi initiale, le texte faisait toujours mention d’« entreprises de réseaux sociaux » mais maintenant, l’expression est plus englobante et parle de « fournisseurs de réseaux sociaux ». Ainsi, je suppose que cela pourrait concerner des associations. En revanche, la sanction envisagée est en pourcentage du chiffre d’affaire donc on peut se demander si ça concernerait des associations. Je ne suis pas un expert du droit donc je ne suis pas certains si cette loi repose sur d’autres textes permettant de lever ces ambiguïtés.

20

Un monde de portefeuille électronique

Pour creuser la partie jetons, vous pourriez être intéressé-e par Verifiable Credentials et les Verifiable Claims, la spec du W3C sur le sujet. Le document le plus important selon moi, c’est Verifiable Credentials Use Cases : ce n’est pas un document normatif, mais il explique ce que les gens qui conçoivent le truc ont derrière la tête.

Voilà une explication de haut niveau pourquoi ils pensent que c’est nécessaire :

Entities (people, organizations, devices) need to make many kinds of claims as part of their everyday activities. As more and more of these important activities move to the Internet, entities need to be able to transmit instantly verifiable claims (e.g., about their location, accomplishments, value, what-have-you). From educational records to payment account access, the next generation of web applications will authorize entities to perform actions based on rich sets of credentials issued by trusted parties. Human- and machine-mediated decisions about job applications, account access, collaboration, and professional development will depend on filtering and analyzing growing amounts of data. It is essential that data be verifiable. Standardization of digital claim technologies makes it possible for many stakeholders to issue, earn, and trust these essential records about their counterparties, without being locked into proprietary platforms.

Et si ça vous parait abscons ou que vous n’aimez pas l’anglais, en image ça donne ça selon Thalès : https://www.youtube.com/watch?v=YSb0nLRte_A

Tout ça connecte bien aussi avec le projet Trust over IP : https://trustoverip.org/

Verifiable Credentials, la norme sous-jacente

Et une fois que vous êtes bien motivé-es, vous pouvez vous attaquer au corps du truc pour comprendre comment ça marche, dans la spec Verifiable Credentials Data Model v1.1.

En fait faut comprendre que chaque personne aura un « portefeuille électronique » sur son téléphone, soit une application qui stocke des petits bouts de données qu’on appelle « Credentials ».

a Verifible Credential contains Credential Metadata, Claim(s), and Proof(s)

Dans mon exemple, notre claim, notre « affirmation », c’est donc de prouver qu’on est bien un ancien élève diplomé de l’université Example University, en gros un JSON avec un format spécifique. Cette information est signée par la clef privée de notre université, ce qui en constitue la preuve.

A Verifiable Presentation contains Presentation Metadata, Verifiable Credential(s), and Proof(s)

Mais ce n’est pas le credential qu’on envoie aux sites webs, c’est ce qu’on appelle une Presentation. La présentation contient le verifiable credentials, ou une représentation cryptographique, est une preuve qu’on a bien généré la présentation nous-même, suite à la demande du site web. Pour ça, le site web aura généré un challenge (aka nonce) avec lequel on devra signé le credential approprié (ici le fait qu’on soit diplomé de l’université) avec notre clé privée qui nous identifie, et lui renvoyer le tout.

Si on met le tout ensemble, ça donne ça :

diagram with a Presentation Graph on top connected via a proof to a Presentation Proof Graph on the bottom.

La promesse du zero-knowledge

Si on revient à notre cas de montrer qu’on a plus de 18 ans, ou plus de 15 ans, et qu’on essaie de l’appliquer à notre Verifiable Credentials, ça veut dire qu’il faut se baser sur un Credential type Carte d’Identité, signé par un certificat de votre préfecture local. Ce dernier est stocké dans votre téléphone, le site web vous envoie un challenge, et vous allez devoir générer une présentation avec les infos de votre carte d’identité.

Hélas, vous ne voulez pas tout donner, même pas votre date de naissance en entier, juste un booléen que vous avez plus de 18 ans. À partir du credential que vous avez, et grâce à de la crypto zero knowledge, vous pouvez générer un blob qui prouve qu’une autorité de confiance a certifié votre date de naissance qui fait qu’aujourd’hui vous avez plus de 18 ans. Me demandez pas comment ça marche mais c’est expliqué ici : Zero-Knowledge - Verifiable Credentials

Mais alors me direz-vous, comment s’assurer que mon enfant n’utilise pas le certificat de ses parents ? ou de quelqu’un d’autre ? Plus largement, comment vérifier que la personne physique corresponde bien à l’utilisateur du certificat ? Aaaah ça, c’est pas précisé, mon avis c’est que les wallet seront implémentés dans la secure enclave des téléphones Android, par du code géré par les GAFAM, et que pour déverrouiller notre wallet, il faudra des checks biométriques (comme la femme qui se prend en photo dans la vidéo de Thales). Et à mon avis, vous n’aurez probablement pas le choix d’utiliser ce système et seulement ce système, car sinon votre autorité de certification refusera de signer votre Credential.

Une autre critique, c’est que vous devez montrer ce qu’on vous demande de montrer. Ainsi si un site web vous demande votre identité en plus d’une preuve d’age, vous n’aurez pas le choix que de lui donner ces deux informations. Donc zero-knowledge que si il y a coopération avec le site web que vous visitez, si il vous demande plus, vous devrez donner plus. Et si on imagine un déploiement différencié : pour les opérations critiques, forcément une enclave verrouillée comme au dessus. Pour les opérations moins critique, un fonctionnement qui peut marcher en logiciel pur, et donc où il est facile de faire circuler les credentials entre devices. Pour limiter cette circulation, les sites pourraient être tenté de vous demander plus que simplement une preuve d’age, mais aussi un numéro de sécu ou un couple nom+prénom pour ban les credentials qui reviennent trop souvent.

Si les algos ZKP vous intéresse, la norme W3C mentionne A signature with efficient protocols aka Camenisch-Lysyanskaya Zero-Knowledge Proofs et cite une ressource de leur crue où un second algo BBS+ est identifié.

A signature with efficient protocols | Wikipedia | Linked Data Cryptographic Suite Registry | BBS Signatures

Perte du téléphone et synchro multi device : les identity hub à la rescousse

Alors vous allez me dire qu’on peut perdre notre téléphone, qu’on peut en avoir plusieurs, qu’on en aura besoin sur notre ordinateur, et encore bien d’autres questions. Mais ne vous inquiétez pas, on a pensé à vous, enfin surtout Microsoft, avec ses identity hub. Et si plutôt que de stocker vos credentials (uniquement) sur vos téléphones, vous ne les stockiez pas chez Microsoft, sur un Identity Hub ?

Et en plus vous pourrez choisir votre identity hub ! Enfin, sauf dans la théorie de la secure enclave gérée par les GAFAM. Pour protéger votre identité, cette dernière ne va probablement pas communiquer vos credentials à n’importe qui, seulement des tiers de confiance sélectionnés par nos GAFAM sur une base de critères tout à fait objective, avec des audits et normes à la portée de tous les CHATONS, sans aucun doute.

ID Hub: the easy guide | DIF Identity Hub | EBSI Verifiable Credentials

Pas réaliste : verifiable credentials est déjà là !

Vous vous dites que c’est probablement fantasmé tout ce que je raconte. En effet, tout ne vas pas se déployer en un jour, les briques vont s’installer graduellement. Maintenant qu’on a toutes et tous déployés un SSO qui supporte OIDC, on est plus qu’à un pas de pouvoir utiliser Verifiable Credentials, en effet on a déjà des specs pour intégrer les deux.

OpenID for Verifiable Credentials | EBSI Verifiable Credentials | Chapter 6 | Verifiable Credential based Authentication via OpenID Connect

Quelle base pour les certificats : entre old-school et blockchain, mon cœur balance…

Reste probablement la question de quels seront les certificats autorisés à signer tel ou tel document, comment maintenir cette base, etc. ? Et bien une première façon, old-school, c’est via une racine de certificats, comme sur le web. Dans le cas du web, c’est le fournisseur du logiciel qui le maintient : pour Windows c’est Microsoft, pour Firefox c’est Mozilla, etc. Là ce serait l’État qui maintiendrait cette liste, et les entreprises qui ont obligation de vérifier l’age/l’identité devraient vérifier à travers cette liste.

Mais parce qu’on arrête pas le progrès, plein de solutions ont été imaginées avec des blockchains, où les certificats, et leurs révocations, seraient publier dessus. Les entreprises seraient alors connectées à cette blockchain/smart contract/whatever et maintiendraient en permanence la liste des certificats valides à travers ce truc.

Quel rapport avec les réseaux sociaux/le porn/le schmilblick

Le tout c’est d’arriver à mettre en circulation cette techno qui est dans les cartons depuis 2019 via un cas d’usage qui fasse le plus consensus possible auprès des gens. Il s’agit donc de créer de l’émotion sur les enfants, sur les moeurs, sur tout ce que la société considère de plus monstrueux possible, pour ensuite mettre en place la solution technique dans ce cas particulier et ensuite graduellement l’étendre à tous les secteurs, car c’est pratique et déjà là.

Le passe sanitaire a été une première incursion dans ce milieu du porte feuille électronique (rappelez-vous les gens qui disséquaient les QR-Codes, pour montrer que la donnée était en claire mais signée par un certificat lui géré par le gouvernement ?). Maintenant il s’agit de trouver quel sujet permettra de faire un pas de plus vers ce futur.

Que vont faire les CHATONS ?

Ce qu’ils et elles ont envie, ce qu’ils et elles décideront de faire. Mais rassurez-vous, il y aura un logiciel libre pour ça. DIDKit avance à grand pas et fournit une bibliothèque qui implémente déjà une grande partie de la spec en libre et en Rust : https://www.spruceid.dev/didkit/didkit. En cherchant, vous devriez même pouvoir retrouver une démo de portfeuille électronique pour smartphone.

Je ne serais pas surpris que dans les mois ou années à venir, les providers OIDC ne commencent pas à avoir des connecteurs avec DID/Verifiable Credentials, par exemple Keycloack. En fait le travail est déjà en cours. Et du coup du côté des specs on a Self-Issued OpenID Provider v2 (SIOPv2), OpenID for Verificable Credentials Issuance (OID4VCI), OpenID for Verifiable Presentations (OID4VP) ou encore OpenID for Identity Assurance (OID4IA), le dernier je ne sais pas à quoi il sert…

Verifiable Credential based Authentication via OpenID Connect |
Create a Red Hat Keycloak Identity Provider (IdP) capable of processing Verifiable Credentials… | Verifiable Credential Based Authentication over OpenID Connect | MATTR - A new world of digital trust | SIOPv2 | OID4VCI | OID4VP | OID4IA | Support for OIDC extensions: OIDC4IA / OIDC4VP #15725

En plus la norme est chapeautée par le W3C, et ils ont de jolis diagrammes en SVG.

Ah et sinon, peut-être que certains penseront que le libre n’est pas un horizon indépassable, et qu’une technologie est porteuse d’intentions, et que celle là, même en étant ouverte, transparente, etc. n’a pour vocation à ce qu’un petit nombre contrôle le plus grand nombre. De ce fait, ils et elles s’opposeront en n’implémentant pas ces solutions, ou de la manière la plus inefficace possible, en cherchant des alternatives, en titillant le système, etc.

C’est bien ou c’est mal ?

J’ai été surpris de voir que le CCC soutenait à fond, et qu’il y a pas mal de relais dans le monde du libre. Pour ma part, je laisse ce message pour dans 10 ans afin de faire le malin avec un « je vous l’avais bien dit ».

https://media.ccc.de/v/mch2022-166-irma-and-verifiable-credentials

9 « J'aime »