Apple mise sa réputation sur la confidentialité. La société a promu la messagerie cryptée dans son écosystème, encouragé les limites sur la façon dont les applications mobiles peuvent collecter des données et s'est battue contre les forces de l'ordre à la recherche d'enregistrements d'utilisateurs. Au cours de la semaine dernière, cependant, Apple a combattu les accusations selon lesquelles sa prochaine version iOS et iPadOS affaiblirait la confidentialité des utilisateurs.
Le débat découle d'une annonce faite par Apple jeudi. En théorie, l'idée est assez simple : Apple veut lutter contre les abus sexuels sur enfants, et prend plus de mesures pour les trouver et les arrêter. Mais les critiques disent que la stratégie d'Apple pourrait affaiblir le contrôle des utilisateurs sur leurs propres téléphones, les laissant dépendants de la promesse d'Apple de ne pas abuser de son pouvoir. Et la réponse d'Apple a mis en évidence à quel point la conversation est compliquée – et parfois carrément déroutante -.
Qu'a annoncé Apple la semaine dernière ?
Apple a annoncé trois changements qui seront déployés plus tard cette année, tous liés à la lutte contre les abus sexuels sur les enfants, mais ciblant différentes applications avec des fonctionnalités différentes ensembles.
Le premier changement affecte l'application de recherche d'Apple et Siri. Si un utilisateur recherche des sujets liés à l'abus sexuel d'enfants, Apple le dirigera vers des ressources pour le signaler ou obtenir de l'aide pour une attirance pour celui-ci. Cela se déroulera plus tard cette année sur iOS 15, watchOS 8, iPadOS 15 et macOS Monterey, et c'est en grande partie sans controverse.
Les autres mises à jour, cependant, ont généré beaucoup plus de réactions négatives. L'un d'eux ajoute une option de contrôle parental aux messages, masquant les images sexuellement explicites pour les utilisateurs de moins de 18 ans et envoyant aux parents une alerte si un enfant de 12 ans ou moins voit ou envoie ces images.
La dernière nouvelle fonctionnalité analyse les images iCloud Photos pour trouver du matériel d'abus sexuel d'enfants, ou CSAM, et le signale aux modérateurs Apple – qui peuvent le transmettre au National Center for Missing and Exploited Children, ou NCMEC. Apple dit avoir conçu cette fonctionnalité spécifiquement pour protéger la confidentialité des utilisateurs tout en trouvant du contenu illégal. Les critiques disent que les mêmes conceptions constituent une porte dérobée de sécurité.
Que fait Apple avec Messages ?
Apple introduit une fonctionnalité Messages destinée à protéger les enfants des images inappropriées. Si les parents acceptent, les appareils avec des utilisateurs de moins de 18 ans numériseront les images entrantes et sortantes avec un classificateur d'images formé à la pornographie, à la recherche de contenu «sexuellement explicite». (Apple dit qu'il n'est pas techniquement limité à la nudité mais qu'un filtre de nudité est une description juste.) Si le classificateur détecte ce contenu, il obscurcit l'image en question et demande à l'utilisateur s'il veut vraiment la voir ou l'envoyer.
:no_upscale()/cdn.com/uploads-cdn. /chorus_asset/file/22774655/CCEA6371_9191_46CC_BDE4_B2DAB4CC4409.jpeg "Les nouvelles fonctionnalités controversées de protection des enfants d'Apple, expliquées")
Une capture d'écran du filtre Messages d'Apple pour le contenu sexuellement explicite. Image : Pomme La mise à jour, destinée aux comptes configurés en tant que familles dans iCloud sur iOS 15, iPadOS 15 et macOS Monterey, comprend également une option supplémentaire. Si un utilisateur appuie sur cet avertissement et qu'il a moins de 13 ans, Messages pourra informer un parent qu'il l'a fait. Les enfants verront une légende avertissant que leurs parents recevront la notification, et les parents ne verront pas le message réel. Le système ne signale rien aux modérateurs Apple ou à d'autres parties.
Les images sont détectées sur l'appareil, ce qui, selon Apple, protège la confidentialité. Et les parents sont avertis si les enfants confirment réellement qu'ils veulent voir ou envoyer du contenu pour adultes, pas s'ils le reçoivent simplement. Dans le même temps, des critiques comme Kendra Albert, enseignante à la Harvard Cyberlaw Clinic, ont fait part de leurs inquiétudes concernant les notifications, affirmant qu'elles pourraient finir par sortir des enfants homosexuels ou transgenres, par exemple, en encourageant leurs parents à les fouiner.
À quoi sert le nouveau système de numérisation de photos iCloud d'Apple ?
Le système de numérisation iCloud Photos se concentre sur la recherche d'images d'abus sexuels sur des enfants, dont la possession est illégale. Si vous êtes un utilisateur iOS ou iPadOS basé aux États-Unis et que vous synchronisez des images avec iCloud Photos, votre appareil vérifiera localement ces images par rapport à une liste de CSAM connus. S'il détecte suffisamment de correspondances, il alertera les modérateurs d'Apple et révélera les détails des correspondances. Si un modérateur confirme la présence de CSAM, il désactivera le compte et signalera les images aux autorités judiciaires.
Le CSAM scanne-t-il une nouvelle idée ?< /h2>
Pas du tout. Facebook, Twitter, Reddit et de nombreuses autres sociétés analysent les fichiers des utilisateurs par rapport aux bibliothèques de hachage, souvent à l'aide d'un outil Microsoft appelé PhotoDNA. Ils sont également légalement tenus de signaler le CSAM au National Center for Missing and Exploited Children (NCMEC), une organisation à but non lucratif qui travaille aux côtés des forces de l'ordre.
Cependant, Apple a limité ses efforts jusqu'à présent. La société a déclaré précédemment qu'elle utilisait la technologie de correspondance d'images pour détecter l'exploitation des enfants. Mais lors d'un appel avec des journalistes, il a déclaré qu'il n'avait jamais analysé les données iCloud Photos. (Il a confirmé qu'il avait déjà analysé iCloud Mail mais n'a pas fourni plus de détails sur l'analyse d'autres services Apple.)
Le nouveau système d'Apple est-il différent des analyses d'autres sociétés ?
Une analyse CSAM typique s'exécute à distance et examine les fichiers stockés sur un serveur. Le système d'Apple, en revanche, recherche les correspondances localement sur votre iPhone ou iPad.
Le système fonctionne comme suit. Lorsque iCloud Photos est activé sur un appareil, l'appareil utilise un outil appelé NeuralHash pour diviser ces images en hachages – essentiellement des chaînes de chiffres qui identifient les caractéristiques uniques d'une image mais ne peuvent pas être reconstruites pour révéler l'image elle-même. Ensuite, il compare ces hachages à une liste stockée de hachages du NCMEC, qui compile des millions de hachages correspondant au contenu CSAM connu. (Encore une fois, comme mentionné ci-dessus, il n'y a pas de photos ou de vidéos réelles.)
Si le système d'Apple trouve une correspondance, votre téléphone génère un « bon de sécurité » qui est téléchargé sur iCloud Photos. Chaque bon de sécurité indique qu'une correspondance existe, mais il n'alerte aucun modérateur et crypte les détails, de sorte qu'un employé d'Apple ne peut pas le regarder et voir quelle photo correspond. Cependant, si votre compte génère un certain nombre de bons, les bons sont tous déchiffrés et signalés aux modérateurs humains d'Apple – qui peuvent ensuite examiner les photos et voir si elles contiennent du CSAM.
Apple souligne qu'il examine exclusivement les photos que vous synchronisez avec iCloud, et non celles qui ne sont stockées que sur votre appareil. Il indique aux journalistes que la désactivation de iCloud Photos désactivera complètement toutes les parties du système de numérisation, y compris la génération de hachage local. “Si les utilisateurs n'utilisent pas iCloud Photos, NeuralHash ne fonctionnera pas et ne générera aucun bon”, a déclaré Erik Neuenschwander, responsable de la confidentialité d'Apple, à TechCrunch dans une interview.
Apple a utilisé sur l'appareil. traitement pour renforcer ses informations d'identification de confidentialité dans le passé. iOS peut effectuer de nombreuses analyses d'IA sans envoyer aucune de vos données aux serveurs cloud, par exemple, ce qui signifie moins de chances pour un tiers de mettre la main dessus.
Mais la distinction local/distant ici est extrêmement controversée, et suite à un contrecoup, Apple a passé les derniers jours à tracer des lignes extrêmement subtiles entre les deux.
Pourquoi certaines personnes bouleversé par ces changements ?
Avant d'entrer dans la critique, cela vaut la peine de dire : Apple a reçu des éloges pour ces mises à jour de la part de certains experts en confidentialité et en sécurité, y compris les éminents cryptographes et informaticiens Mihir Bellare, David Forsyth et Dan Boneh. “Ce système augmentera probablement considérablement la probabilité que les personnes qui possèdent ou vendent [CSAM] soient trouvées”, a déclaré Forsyth dans une approbation fournie par Apple. « Les utilisateurs inoffensifs devraient subir une perte de confidentialité minimale, voire nulle. »
Mais d'autres experts et groupes de défense se sont prononcés contre les changements. Ils disent que les mises à jour d'iCloud et de Messages ont le même problème : elles créent des systèmes de surveillance qui fonctionnent directement depuis votre téléphone ou votre tablette. Cela pourrait fournir un modèle pour briser le cryptage sécurisé de bout en bout, et même si son utilisation est limitée pour le moment, cela pourrait ouvrir la porte à des atteintes à la vie privée plus troublantes.
Un La lettre ouverte du 6 août décrit les plaintes plus en détail. Voici sa description de ce qui se passe :
Alors que l'exploitation des enfants est un problème sérieux et que les efforts pour la combattre sont presque incontestablement bien intentionnés, la proposition d'Apple introduit une porte dérobée qui menace de saper les protections fondamentales de la vie privée pour tous les utilisateurs de produits Apple.
La technologie proposée par Apple fonctionne en surveillant en permanence les photos enregistrées ou partagées sur l'iPhone, l'iPad ou le Mac de l'utilisateur. Un système détecte si un certain nombre de photos répréhensibles est détecté dans le stockage iCloud et alerte les autorités. Un autre informe les parents d'un enfant si iMessage est utilisé pour envoyer ou recevoir des photos qu'un algorithme d'apprentissage automatique considère comme contenant de la nudité.
Étant donné que les deux vérifications sont effectuées sur l'appareil de l'utilisateur, elles ont le potentiel de contourner tout cryptage de bout en bout qui protégerait autrement la confidentialité de l'utilisateur.
Apple a contesté les caractérisations ci-dessus, en particulier le terme « porte dérobée » et la description des photos de surveillance enregistrées sur l'appareil d'un utilisateur. Mais comme nous l'expliquerons ci-dessous, cela demande aux utilisateurs de faire confiance à Apple, alors que l'entreprise fait face à la pression des gouvernements du monde entier.
Qu'est-ce qui se termine -end le cryptage, encore ?
Pour simplifier massivement, le chiffrement de bout en bout (ou E2EE) rend les données illisibles pour quiconque en dehors de l'expéditeur et du destinataire ; en d'autres termes, même l'entreprise qui exécute l'application ne peut pas la voir. Les systèmes moins sécurisés peuvent toujours être cryptés, mais les entreprises peuvent détenir des clés des données afin de pouvoir analyser les fichiers ou accorder l'accès aux forces de l'ordre. iMessages d'Apple utilise E2EE ; Les photos iCloud, comme de nombreux services de stockage en nuage, ne le font pas.
Bien que E2EE puisse être incroyablement efficace, cela n'empêche pas nécessairement les gens de voir les données sur le téléphone lui-même. Cela laisse la porte ouverte à des types de surveillance spécifiques, y compris un système qu'Apple est maintenant accusé d'avoir ajouté : l'analyse côté client.
Qu'est-ce que l'analyse côté client ?< /strong>
L'Electronic Frontier Foundation a un aperçu détaillé de la numérisation côté client. Fondamentalement, cela implique d'analyser les fichiers ou les messages dans une application avant qu'ils ne soient envoyés sous forme cryptée, en vérifiant souvent le contenu répréhensible – et dans le processus, en contournant les protections d'E2EE en ciblant l'appareil lui-même. Lors d'un appel téléphonique avec The Verge, Erica Portnoy, technologue senior de l'EFF, a comparé ces systèmes à quelqu'un qui regarde par-dessus votre épaule pendant que vous envoyez un message sécurisé sur votre téléphone.
Apple effectue-t-il une analyse côté client ?
Apple le nie avec véhémence. Dans un document de questions fréquemment posées, il est indiqué que les messages sont toujours cryptés de bout en bout et qu'aucun détail sur le contenu spécifique des messages n'est divulgué à qui que ce soit, y compris aux parents. “Apple n'a jamais accès aux communications grâce à cette fonctionnalité dans Messages”, promet-il.
Il rejette également le cadrage selon lequel il numérise des photos sur votre appareil pour CSAM. “De par sa conception, cette fonctionnalité ne s'applique qu'aux photos que l'utilisateur choisit de télécharger sur iCloud”, indique sa FAQ. “Le système ne fonctionne pas pour les utilisateurs qui ont désactivé Photos iCloud. Cette fonctionnalité ne fonctionne pas sur votre photothèque privée iPhone sur l'appareil. La société a ensuite précisé aux journalistes qu'Apple pouvait numériser les images iCloud Photos synchronisées via des services tiers ainsi que ses propres applications.
Comme Apple le reconnaît, iCloud Photos n'a même pas d'E2EE à casser, il pourrait donc facilement exécuter ces analyses sur ses serveurs, comme beaucoup d'autres entreprises. Apple soutient que son système est en fait plus sécurisé. Il est peu probable que la plupart des utilisateurs aient CSAM sur leur téléphone, et Apple affirme qu'environ 1 billion de comptes sur 1 pourraient être incorrectement signalés. Avec ce système d'analyse local, Apple affirme qu'il n'exposera aucune information sur les photos de quelqu'un d'autre, ce qui ne serait pas vrai s'il analysait ses serveurs.
Sont les arguments d'Apple convaincant ?
Pas pour beaucoup de ses détracteurs. Comme Ben Thompson l'écrit dans Stratechery, le problème n'est pas de savoir si Apple envoie uniquement des notifications aux parents ou limite ses recherches à des catégories de contenu spécifiques. C'est que l'entreprise recherche dans les données avant qu'elles ne quittent votre téléphone.
Au lieu d'ajouter la numérisation CSAM aux photos iCloud dans le cloud qu'ils possèdent et exploitent, Apple compromet le téléphone que vous et moi possédons et exploitons, sans qu'aucun de nous n'ait notre mot à dire. Oui, vous pouvez désactiver iCloud Photos pour désactiver l'analyse d'Apple, mais c'est une décision de politique ; la capacité d'accéder au téléphone d'un utilisateur existe maintenant, et il n'y a rien qu'un utilisateur d'iPhone puisse faire pour s'en débarrasser.
Le CSAM est illégal et odieux. Mais comme le note la lettre ouverte à Apple, de nombreux pays ont fait pression pour compromettre le cryptage au nom de la lutte contre le terrorisme, la désinformation et d'autres contenus répréhensibles. Maintenant qu'Apple a créé ce précédent, il sera presque certainement confronté à des appels pour l'étendre. Et si Apple déploie plus tard le chiffrement de bout en bout pour iCloud – quelque chose qu'il aurait envisagé de faire, bien que jamais mis en œuvre – il a présenté une feuille de route possible pour contourner les protections d'E2EE.
Apple dit qu'il refusera tout appel pour abuser de ses systèmes. Et il dispose de nombreuses protections : le fait que les parents ne peuvent pas activer les alertes pour les adolescents plus âgés dans Messages, que les bons de sécurité d'iCloud sont cryptés, qu'il définit un seuil pour alerter les modérateurs et que ses recherches sont uniquement aux États-Unis et strictement limitées à la base de données du NCMEC.
La capacité de détection CSAM d'Apple est conçue uniquement pour détecter les images CSAM connues stockées dans iCloud Photos qui ont été identifiées par des experts du NCMEC et d'autres groupes de sécurité des enfants. Nous avons déjà été confrontés à des demandes de création et de déploiement de changements mandatés par le gouvernement qui dégradent la confidentialité des utilisateurs, et nous avons fermement refusé ces demandes. Nous continuerons à les refuser à l'avenir. Soyons clairs, cette technologie se limite à détecter le CSAM stocké dans iCloud et nous n'accéderons à aucune demande du gouvernement pour l'étendre.
Le problème est qu'Apple a le pouvoir de modifier ces garanties. “La moitié du problème est que le système est si facile à changer”, explique Portnoy. Apple est resté fidèle à ses armes dans certains affrontements avec les gouvernements ; il a défié une demande du Federal Bureau of Investigation pour des données provenant de l'iPhone d'un tireur de masse. Mais il a accédé à d'autres demandes comme le stockage local de données iCloud chinoises, même s'il insiste sur le fait qu'il n'a pas compromis la sécurité des utilisateurs en le faisant.
Le professeur de l'Observatoire Internet de Stanford, Alex Stamos, a également demandé dans quelle mesure Apple avait travaillé avec la plus grande communauté d'experts en cryptage, affirmant que la société avait refusé de participer à une série de discussions sur la sécurité, la confidentialité et le cryptage. “Avec cette annonce, ils se sont lancés dans le débat sur l'équilibrage et ont poussé tout le monde dans les recoins les plus reculés sans consultation ni débat public”, a-t-il tweeté.
Comment les avantages d'Apple de nouvelles fonctionnalités contre les risques ?
Comme d'habitude, c'est compliqué — et cela dépend en partie si vous voyez ce changement comme une exception limitée ou une porte qui s'ouvre.
Apple a des raisons légitimes d'intensifier ses efforts de protection de l'enfance. Fin 2019, le New York Times a publié des rapports faisant état d'une « épidémie » d'abus sexuels sur des enfants en ligne. Il a fustigé les entreprises technologiques américaines pour ne pas avoir réussi à lutter contre la propagation du CSAM, et dans un article ultérieur, le NCMEC a distingué Apple pour ses faibles taux de signalement par rapport à ses pairs comme Facebook, ce que le Times a attribué en partie au fait que l'entreprise n'analyse pas les fichiers iCloud.
Pendant ce temps, des documents internes d'Apple indiquent qu'iMessage a un problème de prédateur sexuel. Dans des documents révélés par le récent procès Epic v. Apple, un chef de département Apple a répertorié le « prédation des enfants prédateurs » comme une « menace active » sous-financée pour la plate-forme. Le toilettage consiste souvent à envoyer aux enfants (ou à demander aux enfants d'envoyer) des images sexuellement explicites, ce qui est exactement ce que la nouvelle fonctionnalité Messages d'Apple essaie de perturber.
Dans le même temps, Apple lui-même a qualifié la confidentialité de « droit de l'homme ». Les téléphones sont des appareils intimes remplis d'informations sensibles. Avec ses modifications Messages et iCloud, Apple a démontré deux façons de rechercher ou d'analyser du contenu directement sur le matériel plutôt qu'après avoir envoyé des données à un tiers, même s'il s'agit d'analyser des données que vous avez consenti à envoyer, comme des photos iCloud.
Apple a reconnu les objections à ses mises à jour. Mais jusqu'à présent, il n'a pas indiqué son intention de les modifier ou de les abandonner. Vendredi, une note interne a reconnu des “malentendus” mais a salué les changements. “Ce que nous avons annoncé aujourd'hui est le produit de cette incroyable collaboration, une collaboration qui fournit des outils pour protéger les enfants, mais aussi pour maintenir l'engagement profond d'Apple envers la confidentialité des utilisateurs”, peut-on lire. “Nous savons que certaines personnes ont des malentendus, et plus d'un s'inquiètent des implications, mais nous continuerons à expliquer et à détailler les fonctionnalités afin que les gens comprennent ce que nous avons construit.”