Le plan d’Apple pour « penser différemment » à propos du cryptage ouvre une porte dérobée à votre vie privée

Le plan d'Apple pour

Apple a annoncé des changements imminents à ses systèmes d'exploitation qui incluent de nouvelles fonctionnalités de « protections pour les enfants » dans iCloud et iMessage. Si vous avez passé du temps à suivre les Crypto Wars , vous savez ce que cela signifie : Apple envisage de construire une porte dérobée dans son système de stockage de données et son système de messagerie.

L'exploitation des enfants est un problème grave, et Apple n'est pas la première entreprise technologique à modifier sa position de protection de la vie privée pour tenter de la combattre. Mais ce choix aura un prix élevé pour la confidentialité globale des utilisateurs. Apple peut expliquer en détail comment sa mise en œuvre technique préservera la confidentialité et la sécurité de sa porte dérobée proposée, mais en fin de compte, même une porte dérobée soigneusement documentée, soigneusement pensée et à portée étroite est toujours une porte dérobée.

Dire que nous sommes déçus par les plans d'Apple est un euphémisme. Apple a toujours été un champion du chiffrement de bout en bout, pour toutes les mêmes raisons que l'EFF a articulées maintes et maintes fois . Le compromis d'Apple sur le cryptage de bout en bout peut apaiser les agences gouvernementales aux États-Unis et à l'étranger, mais c'est une volte-face choquante pour les utilisateurs qui se sont appuyés sur le leadership de l'entreprise en matière de confidentialité et de sécurité.

La société prévoit d'installer deux fonctionnalités principales sur chaque appareil Apple. L'une est une fonction de numérisation qui numérise toutes les photos au fur et à mesure qu'elles sont téléchargées dans iCloud Photos pour voir si elles correspondent à une photo dans la base de données de matériel d'abus sexuels sur enfants (CSAM) conservé par le Centre national pour les enfants disparus et exploités (NCMEC). L'autre fonctionnalité analyse toutes les images iMessage envoyées ou reçues par les comptes enfants, c'est-à-dire les comptes désignés comme appartenant à un mineur, à la recherche de contenu sexuellement explicite et, si l'enfant est assez jeune, avertit le parent lorsque ces images sont envoyées ou reçues. Cette fonction peut être activée ou désactivée par les parents.

Lorsqu'Apple lancera ces fonctionnalités de « analyse côté client » , les utilisateurs d'iCloud Photos, les enfants utilisateurs d'iMessage et toute personne qui parle à un mineur via iMessage devront examiner attentivement leurs priorités en matière de confidentialité et de sécurité à la lumière des changements, et éventuellement être incapable d'utiliser en toute sécurité ce qui jusqu'à ce que ce développement soit l'un des principaux messagers cryptés.

Apple ouvre la porte à des abus plus larges

Nous l' avons dit avant , et nous disons encore aujourd'hui: il est impossible de construire un système de balayage côté client qui ne peut être utilisé pour des images sexuellement explicites envoyées ou reçues par les enfants. En conséquence, même un effort bien intentionné pour construire un tel système brisera les promesses clés du cryptage du messager lui-même et ouvrira la porte à des abus plus larges.

Ce n'est pas une pente glissante ; c'est un système entièrement construit qui n'attend que la pression extérieure pour faire le moindre changement.

Tout ce qu'il faudrait pour élargir la porte dérobée étroite qu'Apple construit est une extension des paramètres d'apprentissage automatique pour rechercher des types de contenu supplémentaires, ou un ajustement des indicateurs de configuration à analyser, pas seulement les comptes des enfants, mais ceux de n'importe qui. Ce n'est pas une pente glissante ; c'est un système entièrement construit qui n'attend que la pression extérieure pour faire le moindre changement. Prenons l'exemple de l'Inde, où les règles récemment adoptées incluent des exigences dangereuses pour les plates-formes afin d'identifier l'origine des messages et du contenu de pré-écran. De nouvelles lois en Éthiopie exigeant le retrait de contenu de « désinformation » dans les 24 heures peuvent s'appliquer aux services de messagerie. Et de nombreux autres pays, souvent ceux avec des gouvernements autoritaires, ont adopté des lois similaires . Les changements d'Apple permettraient un tel filtrage, retrait et rapport dans sa messagerie de bout en bout. Les cas d'abus sont faciles à imaginer : les gouvernements qui interdisent l'homosexualité pourraient exiger que le classificateur soit formé pour restreindre le contenu LGBTQ+ apparent, ou un régime autoritaire pourrait exiger que le classificateur soit capable de repérer des images satiriques populaires ou des dépliants de protestation.

Nous avons déjà vu cette mission se glisser en action. L'une des technologies conçues à l'origine pour analyser et hacher les images d'abus sexuels sur des enfants a été réutilisée pour créer une base de données de contenu « terroriste » à laquelle les entreprises peuvent contribuer et auxquelles accéder dans le but d'interdire un tel contenu. La base de données, gérée par le Global Internet Forum to Counter Terrorism (GIFCT), est troublante sans contrôle externe, malgré les appels de la société civile . Bien qu'il soit donc impossible de savoir si la base de données a dépassé les limites, nous savons que les plateformes signalent régulièrement le contenu critique comme « terrorisme », y compris la documentation sur la violence et la répression, le contre-discours, l'art et la satire.

Numérisation d'images sur des photos iCloud : une diminution de la confidentialité

Le plan d'Apple pour numériser les photos qui sont téléchargées dans iCloud Photos est similaire à certains égards à PhotoDNA de Microsoft . La principale différence entre les produits est que l'analyse d'Apple se fera sur l'appareil. La base de données (non auditable) des images CSAM traitées sera distribuée dans le système d'exploitation (OS), les images traitées transformées de sorte que les utilisateurs ne puissent pas voir ce qu'est l'image, et la correspondance effectuée sur ces images transformées à l'aide d'une intersection privée où l'appareil ne sera pas savoir si une correspondance a été trouvée. Cela signifie que lorsque les fonctionnalités seront déployées, une version de la base de données NCMEC CSAM sera téléchargée sur chaque iPhone. Le résultat de la correspondance sera envoyé à Apple, mais Apple ne peut dire que des correspondances ont été trouvées qu'une fois qu'un nombre suffisant de photos a atteint un seuil prédéfini.

Une fois qu'un certain nombre de photos sont détectées, les photos en question seront envoyées à des examinateurs humains au sein d'Apple, qui déterminent que les photos font en fait partie de la base de données CSAM. Si elles sont confirmées par l'examinateur humain, ces photos seront envoyées au NCMEC et le compte de l'utilisateur désactivé. Encore une fois, l'essentiel ici est que quels que soient les aspects de confidentialité et de sécurité dans les détails techniques, toutes les photos téléchargées sur iCloud seront numérisées.

Ne vous y trompez pas : il s'agit d'une diminution de la confidentialité pour tous les utilisateurs de Photos iCloud, pas d'une amélioration.

Actuellement, bien qu'Apple détienne les clés pour afficher les photos stockées dans iCloud Photos, il ne numérise pas ces images. Les organisations de défense des libertés civiles ont demandé à l'entreprise de retirer sa capacité à le faire. Mais Apple choisit l'approche inverse et se donne plus de connaissance du contenu des utilisateurs.

Apprentissage automatique et notifications parentales dans iMessage : s'éloigner du cryptage fort

La deuxième principale nouveauté d'Apple est deux types de notifications basées sur l'analyse des photos envoyées ou reçues par iMessage. Pour mettre en œuvre ces notifications, Apple déploiera un classificateur d'apprentissage automatique sur l'appareil conçu pour détecter les « images sexuellement explicites ». Selon Apple, ces fonctionnalités seront limitées (au lancement) aux utilisateurs américains de moins de 18 ans qui ont été inscrits à un compte familial . Dans ces nouveaux processus, si un compte détenu par un enfant de moins de 13 ans souhaite envoyer une image que le classificateur d'apprentissage automatique sur l'appareil détermine comme étant une image sexuellement explicite, une notification apparaîtra, indiquant à l'enfant de moins de 13 ans que son parent être averti de ce contenu. Si l'enfant de moins de 13 ans choisit toujours d'envoyer le contenu, il doit accepter que le "parent" soit averti et l'image sera irrévocablement enregistrée dans la section de contrôle parental de son téléphone pour que le parent puisse la voir plus tard. Pour les utilisateurs âgés de 13 à 17 ans, une notification d'avertissement similaire apparaîtra, mais sans la notification parentale.

De même, si l'enfant de moins de 13 ans reçoit une image qu'iMessage considère comme « sexuellement explicite », avant d'être autorisé à voir la photo, une notification apparaîtra indiquant à l'enfant de moins de 13 ans que son parent sera informé qu'il est recevoir une image sexuellement explicite. Encore une fois, si l'utilisateur de moins de 13 ans accepte l'image, le parent est averti et l'image est enregistrée sur le téléphone. Les utilisateurs âgés de 13 à 17 ans recevront également une notification d'avertissement, mais aucune notification concernant cette action ne sera envoyée à l'appareil de leurs parents.

Cela signifie que si, par exemple, un mineur utilisant un iPhone sans ces fonctionnalités activées envoie une photo à un autre mineur dont les fonctionnalités sont activées, il ne reçoit pas de notification indiquant qu'iMessage considère son image comme « explicite » ou que le le parent du destinataire sera avisé. Les parents du destinataire seront informés du contenu sans que l'expéditeur consente à leur implication. De plus, une fois envoyée ou reçue, l'« image sexuellement explicite » ne peut pas être supprimée de l'appareil de l'utilisateur de moins de 13 ans.

Qu'il envoie ou reçoive un tel contenu, l'utilisateur de moins de 13 ans a la possibilité de refuser sans que le parent en soit informé. Néanmoins, ces notifications donnent l'impression qu'Apple surveille l'utilisateur par-dessus l'épaule – et dans le cas des moins de 13 ans, c'est essentiellement ce qu'Apple a donné aux parents la possibilité de faire.

Ces notifications donnent l'impression qu'Apple surveille l'utilisateur par-dessus l'épaule – et dans le cas des moins de 13 ans, c'est essentiellement ce qu'Apple a donné aux parents la possibilité de faire.

Il est également important de noter qu'Apple a choisi d'utiliser la technologie notoirement difficile à auditer des classificateurs d'apprentissage automatique pour déterminer ce qui constitue une image sexuellement explicite. Nous savons, grâce à des années de documentation et de recherche, que les technologies d'apprentissage automatique, utilisées sans surveillance humaine, ont l'habitude de classer à tort le contenu, y compris le contenu prétendument « sexuellement explicite ». Lorsque la plate-forme de blogs Tumblr a institué un filtre pour le contenu sexuel en 2018, elle a capturé toutes sortes d'autres images sur le net, y compris des photos de chiots de Poméranie, des selfies d'individus entièrement vêtus, etc. Les tentatives de Facebook pour contrôler la nudité ont entraîné la suppression de photos de statues célèbres telles que la Petite Sirène de Copenhague . Ces filtres ont une histoire d'expression effrayante, et il y a de nombreuses raisons de croire qu'Apple fera de même.

Étant donné que la détection d'une "image sexuellement explicite" utilisera l'apprentissage automatique sur l'appareil pour analyser le contenu des messages, Apple ne pourra plus honnêtement appeler iMessage "crypté de bout en bout". Apple et ses partisans peuvent faire valoir que l'analyse avant ou après le cryptage ou le décryptage d'un message maintient intacte la promesse « de bout en bout », mais ce serait une manœuvre sémantique pour dissimuler un changement tectonique dans la position de l'entreprise vers un cryptage fort.

Quoi qu'Apple l'appelle, ce n'est plus une messagerie sécurisée

Pour rappel, un système de messagerie sécurisé est un système où personne d'autre que l'utilisateur et ses destinataires ne peut lire les messages ou autrement analyser leur contenu pour en déduire de quoi ils parlent. Malgré les messages transitant par un serveur, un message chiffré de bout en bout ne permettra pas au serveur de connaître le contenu d'un message. Lorsque ce même serveur dispose d'un canal pour révéler des informations sur le contenu d'une partie importante des messages, il ne s'agit pas d'un cryptage de bout en bout. Dans ce cas, alors qu'Apple ne verra jamais les images envoyées ou reçues par l'utilisateur, il a tout de même créé le classificateur qui scanne les images qui fourniraient les notifications au parent. Par conséquent, il serait désormais possible pour Apple d'ajouter de nouvelles données d'entraînement au classificateur envoyé aux appareils des utilisateurs ou d'envoyer des notifications à un public plus large, censurant et refroidissant facilement le discours.

Mais même sans de telles extensions, ce système donnera aux parents qui n'ont pas à l'esprit l'intérêt supérieur de leurs enfants un moyen supplémentaire de les surveiller et de les contrôler, limitant le potentiel d'Internet pour élargir le monde de ceux dont la vie serait autrement restreinte. Et parce que les plans de partage familial peuvent être organisés par des partenaires abusifs, il n'est pas exagéré d'imaginer utiliser cette fonctionnalité comme une forme de stalkerware .

Les personnes ont le droit de communiquer en privé sans portes dérobées ni censure, y compris lorsque ces personnes sont mineures. Apple devrait prendre la bonne décision : garder ces portes dérobées hors des appareils des utilisateurs.


Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/08/apples-plan-think-different-about-encryption-opens-backdoor-your-private-life le Thu, 05 Aug 2021 19:40:28 +0000.