Début août 2021 Apple a révélé son nouveau système d’identification d’images pédopornographiques. Même si les motivations et les intentions d’Apple sont indiscutablement bonnes, combattre la diffusion de contenus pédopornographiques, Apple se trouve depuis quelques jours sous le feu des critiques.
Apple a longtemps cultivé son image de fabricant qui se sent concerné par la vie privée des utilisateurs. Les nouvelles fonctionnalités pensées pour iOS 15 et iPadOS15 ont déjà porté un coup dur à cette réputation mais l’entreprise ne cède pas. Voici ce qui s’est passé et en quoi cette mesure concerne les utilisateurs ordinaires d’iPhones et d’iPads.
Qu’est-ce que la détection CSAM ?
La stratégie d’Apple est disponible sur le site de l’entreprise. Apple a mis au point un système connu sous le nom de CSAM Detection (technologie de détection d’images pédophiles) qui recherche les « contenus à caractère sexuel impliquant des enfants » sur les dispositifs des utilisateurs.
Même si la « pornographie enfantine » est un synonyme de CSAM, le Centre national pour enfants disparus et exploités (NCMEC), qui aide à retrouver et venir au secours des enfants disparus et sexuellement exploités aux États-Unis, considère que le terme « CSAM » est plus adapté. Le NCMEC partage avec Apple et d’autres entreprises technologiques des informations sur les images CSAM connues.
Apple a ajouté la détection CSAM mais aussi d’autres fonctionnalités qui étendent le contrôle parental sur les dispositifs mobiles Apple. Par exemple, les parents reçoivent une notification si quelqu’un envoie à leur enfant une photo explicitement sexuelle via iMessage.
Le dévoilement en simultané de plusieurs technologies a généré une certaine confusion et beaucoup de personnes ont eu le sentiment qu’Apple allait désormais surveiller en continu tous les utilisateurs. Ce n’est pas le cas.
Plan de déploiement de la détection CSAM
La détection CSAM fait partie des systèmes d’exploitation mobiles iOS 15 et iPadOS 15, qui seront disponibles dès cet automne pour tous les utilisateurs de iPhones et iPads modernes (à partir de l’iPhone 6S et de la cinquième génération d’iPad). Même si cette fonction devrait en théorie être disponible sur tous les dispositifs mobiles Apple partout dans le monde, pour le moment le système ne sera pleinement fonctionnel qu’aux États-Unis.
Fonctionnement de la détection CSAM
La détection CSAM ne fonctionne qu’avec le serveur iCloud Photos, une section du service iCloud qui permet de télécharger les photos sauvegardées sur un smartphone ou sur une tablette sur les serveurs Apple. Ce contenu peut alors être consulté depuis les autres dispositifs de l’utilisateur.
Si un utilisateur désactive la synchronisation des photos dans les paramètres, la détection CSAM ne fonctionne plus. Est-ce que cela signifie que les photos ne sont comparées qu’avec celles des bases de données criminelles sur le Cloud ? Pas exactement. Le système est délibérément complexe. Apple essaie de garantir le niveau nécessaire de confidentialité.
Comme Apple l’explique, la détection CSAM scanne les photos du dispositif pour déterminer si elles correspondent aux photos du NCMEC ou aux bases de données d’organisations similaires.
Cette méthode de détection utilise la technologie NeuralHash qui, par essence, crée des identifiants numériques ou des hash pour chaque photo selon son contenu. Si un hash correspond à un autre qui figure dans la base de données d’images répertoriées comme pédopornographiques, alors l’image et son hash seront téléchargés sur les serveurs Apple. Apple effectue alors une seconde vérification avant de classer officiellement l’image.
Un autre composant du système, la technologie cryptographique connue comme « l’intersection d’ensembles privés« , chiffre les résultats de la détection CSAM pour qu’Apple ne puisse les déchiffrer que lorsque plusieurs critères sont remplis. En théorie, cela devrait éviter que le système soit mal utilisé. Autrement dit, il devrait empêcher les employés de l’entreprise d’en abuser ou de partager des images à la demande d’organismes publics.
Lors d’une interview accordée à The Wall Street Journal le 13 août, Craig Federighi, vice-président senior de l’ingénierie logicielle chez Apple, a expliqué la principale protection du protocole d’intersection d’ensembles privés : pour alerter Apple, 30 photos doivent correspondre aux images de la base de données du NCMEC. Comme le montre le diagramme ci-dessous, le système d’intersection d’ensembles privés n’autorise pas le déchiffrement de l’ensemble de données (informations relatives à l’opération de détection CSAM et aux photos) tant que ce seuil n’est pas atteint. Selon Apple, ce seuil de signalement d’image est si élevé qu’il est peu probable d’avoir un faux positif : « une chance sur mille milliards ».
Que se passe-t-il lorsque le système reçoit une alerte ? Un employé d’Apple vérifie manuellement les données, confirme la présence de contenu pédopornographique et le communique aux autorités. Pour le moment ce système ne fonctionnera pleinement qu’aux États-Unis, donc l’avertissement sera transmis au NCMEC, une organisation parrainée par le département de la Justice des États-Unis.
Problèmes avec la détection CSAM
Les éventuelles critiques d’Apple se divisent en deux catégories : questionner l’approche de l’entreprise et examiner minutieusement les vulnérabilités du protocole. Pour le moment, il y a très peu d’indices qui montrent qu’Apple a commis une erreur technique (un problème dont nous allons parler plus en détail ci-après), même si les plaintes ne manquent pas.
Par exemple, Electronic Frontier Foundation a décrit ces problèmes de manière détaillée. Selon EFF, en ajoutant une analyse de l’image du côté de l’utilisateur, Apple intègre fondamentalement une porte dérobée sur les dispositifs des utilisateurs. EFF critique ce concept depuis 2019.
Pourquoi est-ce une mauvaise chose ? Imaginons un dispositif dont les données sont complètement chiffrées (comme le dit Apple) qui commence à signaler le contenu à des personnes externes. Dans ce cas, la cible est la pédopornographie et on pourrait penser que « si vous n’avez rien à cacher, vous n’avez rien à craindre », mais si un tel mécanisme existe, nous ne pouvons pas être certains qu’il ne sera pas utilisé pour d’autres contenus.
En définitive, ces critiques sont plus politiques que technologiques. Le problème est l’absence d’un contrat social qui maintient l’équilibre entre sécurité et vie privée. Nous essayons tous (bureaucrates, fabricants de dispositifs, développeurs de programmes, défenseurs des droits de l’homme ou encore utilisateurs ordinaires) de définir cet équilibre.
Les forces de l’ordre se plaignent de que l’utilisation étendue du chiffrement complique la collecte de preuves et la détention des criminels, ce qui est compréhensible. Les inquiétudes relatives à une surveillance numérique massive sont évidentes. Les avis abondent, même ceux sur les politiques et les actions d’Apple.
Éventuels problèmes avec la mise en place de la détection CSAM
Une fois que nous avons passé outre les préoccupations éthiques, nous rencontrons quelques embûches technologiques. N’importe quel code de programme donne lieu à de nouvelles vulnérabilités. Peu importe ce que les gouvernements font. Et si un cybercriminel profitait des vulnérabilités de la détection CSAM ? Le doute est naturel et compréhensible lorsqu’il s’agit du chiffrement des données. Si vous affaiblissez la protection des informations, même si c’est avec de bonnes intentions, n’importe qui peut alors exploiter cette faiblesse à d’autres fins.
Un audit indépendant du code de la détection CSAM vient juste de commencer et cela pourrait demander un certain temps. Nous avons toutefois déjà appris quelques choses.
Tout d’abord, le code qui permet de comparer les photos avec le « modèle » existe dans iOS (et macOS) depuis la version 14.3. Il est tout à fait possible que le code fasse partie de la détection CSAM. Les outils qui expérimentent avec un algorithme de recherche pour la correspondance d’images ont déjà rencontré quelques collisions. Par exemple, selon l’algorithme NeuralHash d’Apple, les deux images ci-dessous ont le même hash :
S’il est possible de sortir la base de données des hash de photos illégales, alors il est possible de faire en sorte qu’une image « innocente » provoque une alerte. Dans ce cas, Apple recevrait de fausses alertes et la détection CSAM ne serait plus viable. C’est certainement pour cela qu’Apple a séparé la détection, avec une partie de l’algorithme qui ne travaille que sur le serveur.
Nous avons également trouvé cette analyse du protocole d’intersection d’ensembles privés d’Apple. La plainte dit essentiellement que le système transfère beaucoup d’informations aux serveurs Apple avant même que le seuil d’alerte ne soit atteint. L’article décrit un scénario où les forces de l’ordre demande à Apple de leur fournir ces données et laisse comprendre que même les fausses alertes peuvent provoquer une visite de la police.
Pour le moment, il ne s’agit que de tests initiaux d’une analyse externe de la détection CSAM. Leur réussite dépendra principalement de la capacité de cette entreprise, célèbre pour ses secrets, à assurer la transparence du fonctionnement de la détection CSAM, et en particulier de son code source.
Signification de la détection CSAM pour les utilisateurs
Les dispositifs modernes sont si complexes qu’il n’est pas facile de déterminer à quel point ils sont sûrs, autrement dit dans quelle mesure ils sont à la hauteur des promesses du fabricant. La plupart d’entre nous doit tout simplement faire confiance, ou pas, à l’entreprise selon sa réputation.
Pourtant, il convient de rappeler ce point essentiel : la détection CSAM n’opère que si l’utilisateur télécharge les photos sur iCloud. La décision d’Apple est mûrement réfléchie et anticipe certaines des objections à cette technologie. Si vous ne mettez pas les photos sur le Cloud, rien ne sera envoyé.
Vous vous souvenez peut-être de ce conflit qui a éclaté entre Apple et le FBI en 2016, lorsque le FBI a demandé de l’aide à Apple pour déverrouiller un iPhone 5C qui appartenait à un tireur de la fusillade qui a eu lieu à San Bernardino, Californie. Le FBI a demandé à Apple de créer un programme qui permettrait au FBI de déjouer la protection par mot de passe du téléphone.
L’entreprise, qui a reconnu que cela permettrait non seulement de verrouiller le téléphone du tireur mais aussi celui de n’importe qui, a refusé. Le FBI a fait machine arrière et a fini par pirater le dispositif sans l’aide d’Apple mais en exploitant les vulnérabilités du programme. Apple a ainsi maintenu sa réputation d’entreprise qui lutte pour les droits de ses clients.
Pourtant cette histoire n’est pas aussi simple. Apple a bel et bien fourni une copie des données stockées sur iCloud. En réalité, l’entreprise a accès à pratiquement toutes les données utilisateurs téléchargées sur le Cloud. Certaines, comme les mots de passe du trousseau et les informations de paiement, sont chiffrées de bout en bout, mais la plupart des données ne sont chiffrées que pour les protéger d’un accès non autorisé. Autrement dit, en cas de piratage des serveurs de l’entreprise. Cela signifie que l’entreprise peut déchiffrer les données.
Il s’agit là des conséquences du retournement de situation le plus intéressant que l’on pourrait avoir pour la détection CSAM. L’entreprise pourrait, par exemple, scanner tout simplement toutes les images de iCloud Photos (comme Facebook, Google et bien d’autres fournisseurs de solution Cloud le font). Apple a créé un mécanisme beaucoup plus élégant qui aurait dû l’aider à repousser les accusations de surveillance massive de l’utilisateur mais, au contraire, l’entreprise a reçu encore plus de critiques quant à l’analyse des dispositifs des utilisateurs.
Enfin, ce battage médiatique ne change presque rien pour l’utilisateur. Si la protection de vos données vous inquiète, vous devriez porter un regard critique sur tous les services Cloud. Les données que vous ne conservez que sur votre dispositif sont en sécurité. Les actions récentes d’Apple ont semé des doutes bien fondés, et nous ne savons pas encore si l’entreprise va continuer sur cette voie.