La prolifération des images pédopornographiques sur Internet est terrible et donne à réfléchir. Les entreprises technologiques envoient des dizaines de millions de rapports par an de ces images à l’organisation américaine à but non lucratif National Center for Missing and Exploited Children (le centre national pour les enfants disparus et exploités).
La manière dont les entreprises qui assurent le stockage de vos images dans les nuages (ou clouds en anglais) détectent généralement ces images peut vous rendre vulnérable à des violations de la vie privée – et aux pirates qui s’introduisent dans leurs ordinateurs. Le 5 août 2021, Apple a annoncé une nouvelle méthode de détection de ces contenus qui promet de mieux protéger votre vie privée.
En tant qu’informaticien qui étudie la cryptographie, je peux expliquer comment le système d’Apple fonctionne, pourquoi il constitue une amélioration et pourquoi Apple doit en faire plus.
Qui détient les clés ?
Les fichiers numériques peuvent être protégés dans une sorte de coffre-fort virtuel grâce au cryptage, qui brouille un fichier de sorte qu’il ne peut être révélé, ou décrypté, que par une personne détenant une clé secrète. Le cryptage est l’un des meilleurs outils pour protéger les informations personnelles lorsqu’elles transitent sur Internet.
Un fournisseur de services en nuage peut-il détecter du matériel pédopornographique si les photos sont brouillées par le cryptage ? Cela dépend de la personne qui détient la clé secrète.
De nombreux fournisseurs de services en nuage, dont Apple, conservent une copie de la clé secrète afin de pouvoir vous aider à récupérer des données si vous oubliez votre mot de passe. Grâce à cette clé, le fournisseur peut également comparer les photos stockées sur le nuage avec les images d’abus d’enfants connues détenues par le National Center for Missing and Exploited Children.
Mais cette commodité a un coût important. Un fournisseur de services en ligne qui stocke des clés secrètes peut abuser de son accès à vos données ou être la proie d’une violation de données.
Une meilleure approche de la sécurité en ligne est le chiffrement de bout en bout, dans lequel la clé secrète est stockée uniquement sur votre propre ordinateur, téléphone ou tablette. Dans ce cas, le fournisseur ne peut pas décrypter vos photos. La réponse d’Apple à la recherche de matériel pédopornographique protégé par un cryptage de bout en bout est une nouvelle procédure dans laquelle le fournisseur de services en nuage, c’est-à-dire Apple, et votre appareil effectuent ensemble la comparaison des images.
Repérer les preuves sans les regarder
Bien que cela puisse sembler magique, la cryptographie moderne permet de travailler avec des données que vous ne pouvez pas voir. J’ai contribué à des projets qui utilisent la cryptographie pour mesurer l’écart salarial entre les hommes et les femmes sans connaître le salaire de quiconque, et pour détecter les récidivistes d’agressions sexuelles sans lire le rapport de la victime. Et il existe de nombreux autres exemples d’entreprises et de gouvernements qui utilisent l’informatique protégée par cryptographie pour fournir des services tout en protégeant les données sous-jacentes.
La correspondance d’images proposée par Apple sur iCloud Photos utilise une informatique protégée par cryptage pour analyser les photos sans les voir. Elle s’appuie sur un outil appelé intersection d’ensembles privés, étudié par les cryptographes depuis les années 1980. Cet outil permet à deux personnes de découvrir les fichiers qu’elles ont en commun tout en cachant le reste.
Voici comment fonctionne la correspondance d’images. Apple distribue sur l’iPhone, l’iPad et le Mac de chacun une base de données contenant des encodages indéchiffrables d’images connues d’abus d’enfants. Pour chaque photo que vous téléchargez sur iCloud, votre appareil applique une empreinte digitale numérique, appelée NeuralHash. L’empreinte digitale fonctionne même si quelqu’un apporte de petites modifications à une photo. Votre appareil crée ensuite un justificatif pour votre photo, que votre appareil ne peut pas comprendre, mais qui indique au serveur si la photo téléchargée correspond à des images pédopornographiques dans la base de données.
Si un nombre suffisant de justificatives provenant d’un appareil indique des correspondances avec des images connues d’abus d’enfants, le serveur apprend les clés secrètes permettant de décrypter toutes les photos correspondantes, mais pas les clés des autres photos. Dans le cas contraire, le serveur ne peut visualiser aucune de vos photos.
Le fait que cette procédure de comparaison se déroule sur votre appareil peut être plus favorable à la protection de votre vie privée que les méthodes précédentes, dans lesquelles la comparaison se fait sur un serveur – à condition qu’elle soit correctement déployée. Il s’agit d’une mise en garde importante.
Imaginer ce qui pourrait mal tourner
Il y a une réplique dans le film Apollo 13 dans laquelle Gene Kranz, interprété par Ed Harris, proclame : « Je me fiche de ce pour quoi une chose a été conçue. Ce qui m’intéresse, c’est ce qu’elle peut faire ! » La technologie de balayage des téléphones d’Apple est conçue pour protéger la vie privée. Les experts en sécurité informatique et en politique technologique sont formés pour découvrir les façons dont une technologie peut être utilisée, détournée et abusée, indépendamment de l’intention de son créateur. Cependant, l’annonce d’Apple manque d’informations pour analyser les composants essentiels, il n’est donc pas possible d’évaluer la sécurité de son nouveau système.
Les chercheurs en sécurité doivent voir le code d’Apple pour valider que le logiciel de correspondance assistée par appareil est fidèle à la conception et n’introduit pas d’erreurs. Les chercheurs doivent également vérifier s’il est possible de tromper l’algorithme NeuralHash d’Apple en apportant des modifications imperceptibles à une photo.
Il est également important qu’Apple mette en place une politique d’audit afin que l’entreprise soit tenue responsable de ne faire correspondre que des images d’abus d’enfants. La menace d’une dérive de la mission était un risque même avec la comparaison sur serveur. La bonne nouvelle est que le rapprochement des appareils offre de nouvelles possibilités d’auditer les actions d’Apple, car la base de données codée lie Apple à un ensemble d’images spécifique. Apple devrait permettre à chacun de vérifier qu’il a reçu la même base de données codée et à des auditeurs tiers de valider les images contenues dans cet ensemble. Ces objectifs de responsabilité publique peuvent être atteints en utilisant la cryptographie.
La technologie de comparaison d’images proposée par Apple a le potentiel d’améliorer la confidentialité numérique et la sécurité des enfants, surtout si Apple suit cette démarche en donnant à iCloud un cryptage de bout en bout. Mais aucune technologie ne peut, à elle seule, répondre entièrement à des problèmes sociaux complexes. Toutes les options relatives à l’utilisation du cryptage et de la numérisation d’images ont des effets délicats et nuancés sur la société.
Ces questions délicates nécessitent du temps pour raisonner sur les conséquences potentielles d’actions, même bien intentionnées, avant de les déployer, par le biais d’un dialogue avec les groupes concernés et des chercheurs d’horizons très divers. J’invite Apple à se joindre à ce dialogue afin que la communauté des chercheurs puisse collectivement améliorer la sécurité et la responsabilité de cette nouvelle technologie.