Le 8 mai, Instagram pourra à nouveau lire vos DM. Meta met fin à la prise en charge des messages directs cryptés de bout en bout, annulant une fonctionnalité introduite il y a à peine deux ans et rouvrant la porte à l’analyse automatisée du contenu, à la modération basée sur l’IA et à une conformité plus facile aux demandes des forces de l’ordre. Pendant ce temps, TikTok a confirmé qu’il n’avait jamais offert aucune protection. Prises ensemble, ces mesures indiquent que l’ère des promesses inconditionnelles en matière de confidentialité sur les réseaux sociaux est révolue.
En l’espace de deux semaines, deux des plus grandes plateformes de médias sociaux au monde ont signalé qu’elles ne considéraient plus la vie privée comme une promesse inconditionnelle. Prises ensemble, ces mesures constituent une analyse décisive de ce que coûtent réellement les messages privés sur les réseaux sociaux et de qui en paie le prix.
Un porte-parole de TikTok a déclaré à Fortune que l’approche de l’entreprise en matière de messagerie n’avait pas changé. “Les messages directs sur TikTok sont protégés par un cryptage conforme aux normes de l’industrie en transit et au repos”, a déclaré le porte-parole, comparant la technologie à celle utilisée par Gmail. “Les messages des personnes sont privés et protégés. L’accès au contenu des messages est strictement limité, soumis à des contrôles d’autorisation internes et disponible uniquement au personnel formé ayant un besoin démontré d’examiner les informations dans le cadre d’enquêtes de sécurité, de conformité légale ou d’autres circonstances limitées.” En d’autres termes : ce n’est pas crypté de bout en bout, mais c’est loin d’être un livre ouvert.
La distinction compte. Le porte-parole de TikTok a déclaré que la conception était délibérée et que l’absence de cryptage de bout en bout était en soi une caractéristique de sécurité. “La messagerie sur TikTok n’est pas cryptée de bout en bout”, ont-ils déclaré. “Cela contribue à rendre notre plateforme indésirable pour ceux qui tentent de partager du matériel illégal.” Meta n’avait pas encore répondu aux demandes de commentaires.
Lorsque le cryptage d’Instagram disparaîtra dans deux mois, Meta retrouvera la capacité technique d’analyser et d’agir sur le contenu des messages directs des utilisateurs. À l’heure actuelle, grâce au système de cryptage optionnel, même les serveurs de Meta ne peuvent pas voir le contenu du message. Cela changera le 8 mai, ouvrant la porte à une modération automatisée du contenu, à une détection des escroqueries basée sur l’IA et à un respect plus facile des demandes des forces de l’ordre.
Le chiffrement de bout en bout ne garantit pas la sécurité des personnes
Brian Long, PDG et co-fondateur d’Adaptive Security, une société qui permet aux organisations de se défendre contre les attaques basées sur l’IA, y compris les deepfakes et le clonage vocal, affirme que les calculs effectués par les deux sociétés reflètent une correction de cap nécessaire. “C’est un endroit difficile parce que, d’une part, je pense que beaucoup de ces entreprises se sont tournées vers la confidentialité”, a déclaré Long à Fortune. “Mais d’un autre côté, cela a également conduit les mauvais acteurs à tout faire, depuis l’escroquerie en arrière-plan jusqu’à l’attaque des consommateurs. Ce qu’ils reconnaissent, c’est que, aussi bon que cela puisse paraître, tout est crypté, cela donne beaucoup d’indices aux mauvais acteurs.”
La pression réglementaire accélère ce changement. La loi Take It Down, promulguée l’année dernière, exige que les plateformes suppriment les images intimes non consensuelles (y compris les deepfakes générés par l’IA) dans les 48 heures suivant une demande valide, et son application commencera le 19 mai, onze jours seulement après la date limite de cryptage d’Instagram. Long a déclaré que le chiffrement de bout en bout avait rendu ce type de conformité presque impossible. “Si tout est crypté et qu’ils ne peuvent pas voir les messages, il leur sera plus difficile de contrôler ces actions”, a-t-il déclaré. “Ils seront responsables devant la loi.”
Au-delà des délais légaux, Long maintient que les équipes de sécurité internes, et non les forces de l’ordre, constituent la première et la plus importante ligne de défense, et que le chiffrement les a efficacement neutralisées. “L’équipe de sécurité peut intervenir et signaler les messages au consommateur avant qu’il ne tombe dans le piège d’une arnaque”, a-t-il déclaré. “Lorsque tout est protégé par cryptage, l’équipe de sécurité ne peut pas vraiment faire grand-chose. Beaucoup de ces choses devraient être traitées par l’entreprise avant d’arriver aux autorités. Sinon, les autorités seraient complètement submergées.”
L’année dernière, plus d’un million de personnes âgées ont été victimes de fraude, ce qui leur a coûté plus de 81 milliards de dollars en pertes estimées, selon un rapport de la FTC. Les attaques basées sur l’IA, telles que les deepfakes, le clonage de voix et les escroqueries amoureuses qui durent toute l’année, sont multipliées par 17 environ d’une année sur l’autre. “L’ampleur des attaques, en particulier sur les canaux de messagerie alternatifs, est un sujet que nous entendons constamment de la part des clients”, a déclaré Long. “Les chaînes que j’avais historiquement chiffrées étaient particulièrement préparées à ce problème.”
Pour les défenseurs de la vie privée, la suppression du cryptage reste une concession sérieuse qui ouvre les données des utilisateurs à la surveillance de la plateforme ainsi que des avantages en matière de sécurité. Mais pour les professionnels de la prévention des escroqueries, c’est la bonne décision. “Je pense que les entreprises reconnaissent que la vie privée présente de sérieux inconvénients”, a déclaré Long. “En fin de compte, ce correctif est probablement nécessaire pour arrêter davantage de mauvais acteurs. Et si la confidentialité est la priorité absolue, il existe des applications disponibles que les gens peuvent utiliser.”
