Aujourd'hui, parlons d'une histoire peu discutée qui, je le crains, pourrait un jour avoir de grandes implications : l'introduction par l'application de messagerie cryptée Signal des paiements anonymes en crypto-monnaie, et l'opportunité qu'elle pourrait créer pour les régulateurs du monde entier qui cherchaient une excuse pour éliminer complètement le chiffrement de bout en bout.
Il y a un an, Platformer a été le premier à signaler que Signal envisageait d'ajouter des paiements par crypto-monnaie à la plate-forme, et cela a commencé avec MobileCoin. Le PDG de Signal, Moxie Marlinspike, a servi de conseiller pour la crypto-monnaie MobileCoin, qui est construite sur la blockchain Stellar et est conçue pour effectuer des paiements aussi anonymes que de l'argent liquide. Comme Wired l'a décrit en 2017, “l'idée de MobileCoin est de construire un système qui cache tout à tout le monde.”
L'année dernière, Marlinspike m'a dit que Signal avait simplement commencé quelques « explorations de conception » autour d'une intégration de MobileCoin. “Si nous décidions de verser des paiements dans Signal, nous essaierions de réfléchir très attentivement à la façon dont nous avons procédé”, m'a dit Marlinspike. “C'est difficile d'être totalement hypothétique.”
Mais en fait, le travail d'intégration de MobileCoin était déjà bien avancé – tout comme des employés nerveux me l'avaient dit à l'époque. Signal a annoncé un test de l'intégration au Royaume-Uni au printemps, et il a discrètement été déployé dans le reste du monde à la mi-novembre. (Le blog typiquement bavard de l'entreprise n'avait rien à dire à ce sujet.) Voici Andy Greenberg dans Wired :
Le fondateur de MobileCoin, Josh Goldbard, a confirmé le calendrier du déploiement et a déclaré qu'il avait stimulé l'adoption massive de la crypto-monnaie, qui enregistre désormais des milliers de transactions quotidiennes contre seulement des dizaines avant la version bêta mondiale. “Il y a actuellement plus d'une centaine de millions d'appareils sur la planète Terre qui ont la capacité d'activer MobileCoin et d'envoyer un paiement crypté de bout en bout en cinq secondes ou moins”, a déclaré Goldbard, en faisant référence aux rapports sur le nombre total de téléchargements de Signal. […]
Signal lui-même n'a pas répondu aux demandes de commentaires de Wired sur le déploiement mondial de la fonctionnalité de paiement. Mais en avril dernier, le créateur de Signal, Moxie Marlinspike, a expliqué à WIRED qu'il souhaitait ajouter des paiements à l'application d'appels vidéo et de SMS cryptés pour correspondre aux fonctionnalités de concurrents tels que WhatsApp et Facebook Messenger, tout en apportant les protections de confidentialité de Signal aux transactions monétaires. “J'aimerais accéder à un monde où non seulement vous pouvez ressentir [un sentiment d'intimité] lorsque vous parlez à votre thérapeute via Signal, mais aussi lorsque vous payez votre thérapeute pour la séance via Signal”, a déclaré Marlinspike à l'époque.
Il n'y a rien de sinistre à mettre des paiements dans une application de messagerie, et Signal n'est pas le seul à ajouter des paiements cryptographiques à la messagerie : la société anciennement connue sous le nom de Facebook a entrepris un effort pluriannuel pour créer une nouvelle devise et l'intégrer à WhatsApp et Messenger. Ce qui distingue les efforts de Signal, c'est la combinaison d'un cryptage de bout en bout dans la messagerie et d'une crypto-monnaie avec des fonctionnalités de confidentialité conçues pour rendre toutes les transactions anonymes.
L'année dernière, les employés actuels et anciens de Signal m'ont dit qu'ils s'inquiétaient de ce que cette combinaison apporterait à l'application. Les transactions anonymes attireraient probablement les criminels, m'ont-ils dit, et cela attirerait à son tour un examen réglementaire. Étant donné que le cryptage de bout en bout fait déjà face à des défis juridiques dans le monde entier, ont-ils déclaré, l'ajout par Signal de paiements anonymes était une provocation inutile. Et cela pourrait donner plus de munitions aux législateurs qui souhaitent mettre fin au cryptage tel que nous le connaissons.
Pour clarifier mes propres sentiments : je suis en faveur du cryptage de bout en bout, car dans un monde de surveillance omniprésente et d'autoritarisme croissant, je pense qu'il est important que des systèmes de communication vraiment privés soient largement disponibles. Mais je soutiens également les lois contre le blanchiment d'argent et Know Your Customer (KYC), qui sont utiles pour lutter contre les terroristes, les comploteurs de meurtres pour compte d'autrui et d'autres méfaits. Si les applications de messagerie vont ajouter des paiements cryptographiques, il me semble qu'elles devraient au moins le faire d'une manière compatible avec ces lois.
D'autres partisans du cryptage de bout en bout ont fait pression en privé sur Signal pour qu'il soit plus prudent quant à ses plans de paiement, m'a-t-on dit. Mais Signal, qui est financé par une organisation à but non lucratif et repose sur des dons, a quand même avancé.
La question est de savoir comment les régulateurs pourraient réagir. L'Inde essaie déjà de mettre en œuvre des règles qui exigeraient que tous les messages envoyés sur Internet soient «traçables», brisant ainsi le cryptage. WhatsApp, propriété de Meta, a poursuivi le gouvernement indien l'année dernière pour empêcher l'entrée en vigueur des règles ; l'affaire est toujours pendante.
« l'ajout de fonctions de transfert d'argent pseudo-anonymes augmente considérablement leur surface d'attaque légale »
L'Union européenne envisage également des moyens de limiter ou de casser purement et simplement le cryptage, bien qu'un peu moins agressivement que l'Inde. Aux États-Unis, le débat sur le chiffrement est pour l'essentiel dans une impasse : des appels sont parfois lancés aux entreprises pour qu'elles introduisent des portes dérobées pour l'application de la loi, en particulier après des crimes très médiatisés, mais les législateurs n'ont pas poursuivi de législation en la matière.
Mais les États-Unis ont des lois anti-blanchiment et KYC. Pour le moment, vous ne pouvez pas acheter de MobileCoin à partir d'une adresse IP basée aux États-Unis. Mais le risque est que les procureurs puissent toujours utiliser les lois existantes pour faire pression sur le cryptage, d'abord sur Signal, et peut-être plus tard sur le Web.
« Signal et WhatsApp ont efficacement protégé le chiffrement de bout en bout contre de multiples attaques juridiques au niveau des États et au niveau fédéral », a déclaré Alex Stamos, qui a travaillé sur les problèmes de chiffrement tout en étant le responsable de la sécurité de Facebook. “Mais l'ajout de fonctions de transfert d'argent pseudo-anonymes augmente considérablement leur surface d'attaque légale, tout en créant la possibilité de préjudices réels (extorsion, ventes de drogue, ventes CSAM) qui leur porteront préjudice devant les tribunaux, les législatures et l'opinion publique.”< /p>
Stamos a prédit qu'une nouvelle attaque contre le cryptage pourrait provenir d'un organisme de réglementation d'État, tel que le Département des services financiers de New York, en utilisant les réglementations existantes.
« Aux États-Unis, l'ajout d'une fonctionnalité de paiement donne probablement aux forces anti-cryptage leur meilleure chance, car le premier amendement n'a jamais protégé l'anonymat du mouvement de l'argent, et les processeurs de paiement ont de très sérieux et les lois de l'État auxquelles ils doivent se conformer », a déclaré Stamos.
Signal n'a pas répondu à une demande de commentaire. Quant à MobileCoin, une page FAQ sur son site Web dit ceci :
Les personnes et les entités abusent de tous les types de plateformes et d'instruments financiers. En dehors des États-Unis, MobileCoin peut être acheté sur www.buymobilecoin.com, qui applique les meilleures pratiques des institutions financières du monde entier pour empêcher les mauvais acteurs d'obtenir MobileCoin. Toute entité tierce qui achète, vend ou échange MobileCoin applique ses propres normes et pratiques pour contrôler les personnes ou entités essayant d'acheter MobileCoin.
Pour sa part, la fondation qui gère actuellement Diem – la crypto-monnaie souvent renommée et créée par Facebook – s'est engagée à respecter les lois anti-blanchiment d'argent. WhatsApp a lancé un test de paiement par crypto-monnaie le mois dernier, mais conformément à la nature maudite du projet, Diem n'est pas encore disponible sur cette plate-forme.
Il existe de nombreuses façons dont Signal pourrait encore se diriger hors de tout conflit avec les régulateurs. MobileCoin pourrait ajouter des fonctionnalités KYC, ou Signal pourrait le remplacer par une devise plus conforme. Mais peu de ce que la société a dit ou fait au cours de l'année écoulée suggère qu'elle a l'intention de faire l'un ou l'autre.
Si tel est le cas, les partisans du cryptage ne peuvent qu'espérer que les retombées de Signal choix ne nuira pas au chiffrement de bout en bout de manière plus générale. Compte tenu des menaces auxquelles la messagerie privée est déjà confrontée, une lutte très médiatisée contre le blanchiment d'argent est la dernière chose dont nous avons besoin.
Platformer par Casey Newton
Cette colonne a été co- publié avec Platformer, une newsletter quotidienne sur la Big Tech et la démocratie. Abonnez-vous ici