Apple NeuralHash contre la vie privée : la boîte de Pandore est ouverte
6/8/2021
Apple va déployer un système permettant de détecter les abus d'enfants sur les smartphones. Après un contrôle manuel, les autorités devraient ensuite en être informées. La fonction semble intéressante, mais c'est un cauchemar pour la vie privée.
Apple veut prendre des mesures contre la pédopornographie et la maltraitance des enfants et annonce l'arrivée d'un système qui analyse vos images directement sur l'appareil et permet de les passer au crible fin pour savoir si elles sont suspectes ou non. Ensuite, le National Center for Missing and Exploited Children (NCMEC) est alerté aux États-Unis. Apple a publié un livre blanc à ce sujet jeudi. Le système s'appelle NeuralHash et sera déployé dans les prochaines versions d'iOS 15 et d'iPadOS 15.
Apple a mis le feu aux poudres dans le domaine de la sécurité : sécurité contre vie privée. Qu'est-ce qui doit être pondéré et avec quel facteur ?
Les faits
Dans cette histoire, il y a peu de faits au-delà du livre blanc, car les questions que soulève NeuralHash ne sont pas liées à une technologie et à sa mise en œuvre. Il s'agit des droits de l'homme. Voici donc un aperçu de tout ce que vous devez savoir pour comprendre le reste de l'article. Au fait, plus loin dans l'article, j'utilise Apple pour représenter toutes les entreprises technologiques, et NeuralHash pour tous les systèmes qui fonctionnent sur un principe similaire.
Votre iPhone analyse déjà les images et votre Android aussi
Votre smartphone analyse déjà les images en fonction de leur contenu. Cela se vérifie facilement : ouvrez votre appli Galerie et utilisez la fonction de recherche. Si vous recherchez « chat », des photos de votre chat apparaîtront. Et celles des autres chats aussi.
Pour ce faire, l'appli Galerie charge ce que l'on appelle des empreintes digitales sur votre smartphone. En d'autres termes, les paramètres qui définissent l'apparence d'un chat. Vous pouvez modifier vous-même certains de ces paramètres. Lorsque je prends une photo de la productrice vidéo Stephanie Tresch, Apple Photos ne connaît pas la femme sur la photo.
Mais je peux lui donner un nom. L'ensemble de données pour « femme » devient l'ensemble de données « femme, Stephanie Tresch ». Dès qu'Apple Photos sait que la « femme » est aussi « Stephanie Tresch », une empreinte digitale est créée pour « Stephanie Tresch ». La couleur des yeux, les pommettes, les lèvres, les sourcils, les lieux, les lieux avec des objets (par exemple : « Zurich Hardbrücke » + « 14 heures » + « manteau bleu » + « appareil photo » me montre des photos de Stéphanie de dos avec l'appareil photo à la main), etc.
Les images possèdent un numéro
Chaque fichier d'image, comme tout autre fichier, possède son propre numéro qui peut être calculé. Une valeur dite de hachage. Ce dernier est plus petit que le fichier d'image, il est donc plus efficace au niveau de la base de données.
Lorsque vous envoyez un selfie à votre meilleure amie, une valeur de hachage est attribuée à cette photo. Si elle l'envoie, l'image transférée a le même hachage. Mais si l'image est modifiée et passe par exemple de la couleur au noir et blanc, le hachage change également.
Ainsi, une image unique peut être traquée si elle est jugée « mauvaise » par une autorité centrale. En particulier dans le cas de la pornographie illicite, où les images font le tour du monde, le suivi du hachage peut permettre d'aboutir rapidement à des recherches fructueuses. Mais si l'image est constamment modifiée, le hachage devient plus difficile.
Les hachages peuvent être manipulés grâce à des techniques simples.
Qu'est-ce que NeuralHash ?
Le système NeuralHash est confirmé. La fonctionnalité devrait être similaire à la fonction de recherche de votre appli Galerie. Le système indexe automatiquement les images en fonction de certains critères. Dans le cas de l'histoire actuelle, il s'agit d'images d'« abus d'enfants ». Si NeuralHash trouve un certain nombre d'images qui correspondent à l'empreinte « abus d'enfants », ces images sont décryptées et envoyées à Apple.
Source : missingkids.org
Dès que la personne qui visionne ces images confirme le soupçon, le National Center for Missing and Exploited Children (NCMEC) est alerté. Cette organisation, selon ses propres dires, travaille avec des « autorités du monde entier » et s'oppose à l'utilisation généralisée et incontestée du cryptage de bout en bout au nom du bien-être des enfants.
Contrairement à un hachage normal, NeuralHash construit un nombre basé sur le contenu plutôt que sur les données de l'image, selon la page 5 du livre blanc. NeuralHash examine l'image, comprend ce qu'elle contient et génère une valeur sur cette base. Cela signifie que même si une image en couleur est convertie en une image noir et blanc, le NeuralHash ne change pas. Pas même si la taille du fichier change, ou si l'image est recadrée. C'est le moyen pour Apple de contourner la manipulation des hachages par les utilisateurs.
Technologiquement, il n'est pas nécessaire qu'un employé d'Apple connaisse votre identifiant Apple. Le personnel n'aurait qu'à déterminer s'il y a infraction, c'est-à-dire maltraitance d'enfant. Le lien entre l'image et l'utilisateur peut se produire dans les profondeurs des bases de données d'Apple et ne nécessite pas obligatoirement que la personne chargée du filtrage sache que l'image A provient de la personne A. La personne chargée du filtrage n'a qu'à répondre à la question « La photo A montre-t-elle un abus d'enfant ? » dans la mesure où le hachage de la photo ne le confirme pas.
La vie privée est un droit de l'homme
Un droit de l'homme est quelque chose auquel tout le monde a ou devrait avoir droit à tout moment et de partout. Il est inaliénable, c'est-à-dire qu'il ne peut être ni cédé ni vendu. Les droits de l'homme sont aussi indivisibles. On ne peut pas défendre un droit de l'homme A, mais opposer à un droit de l'homme B.
Les Nations unies définissent clairement la vie privée comme un droit de l'homme dans l'article 12 de la Déclaration universelle des droits de l'homme :
Apple est d’accord et a déclaré que la vie privée constituait une valeur essentielle de l'entreprise :
Google chante un refrain similaire. Facebook, en tant que réseau social dont le mécanisme de base est la présentation au public de données autrefois privées, se donne également beaucoup de mal pour s'assurer que rien de mal n'arrive à vos données.
L'« effet Apple » existe
En 2021, Apple est la marque la plus puissante du monde. Le pouvoir va de pair avec cette augmentation de valeur financière, comme le laisse entendre le titre. Quand Apple fait quelque chose, cela donne un signal. Et, le reste du monde technologique a besoin d'Apple bien plus qu'Apple n'a besoin du reste du monde technologique.
Exemple : Tile fabrique des trackers Bluetooth depuis 2013. Ils n'ont pas réussi à percer parce que, entre autres choses, ils ne disposent pas d'un vaste réseau d'appareils capables de retrouver l'objet perdu. En 2021, Apple a présenté l'AirTag. Tout à coup, avec le réseau « Localiser », un milliard d'appareils dans le monde peut d'un coup vous venir en aide pour retrouver votre AirTag. Tile est maintenant autorisé à accéder au réseau « Localiser ». Tile a besoin d'Apple bien plus qu'Apple n'a besoin de Tile.
Il ne faut pas sous-estimer ce que l'on appelle l'effet Apple, c'est-à-dire la puissance couplée au signal donné. Quand Apple introduit une fonctionnalité, la concurrence qui possédait déjà cette fonctionnalité souffre. Et les concurrents se retrouvent dans une situation délicate.
Les problèmes
NeuralHash fait des vagues dans le domaine de la sécurité informatique et parmi les militants de la protection de la vie privée. Elles ne sont pas seulement de nature technologique, mais surtout de nature éthico-philosophique.
Chiffrement contourné
Si Apple est censé rechercher des signes de maltraitance d'enfants dans vos images, le chiffrement de vos sauvegardes iCloud doit pour ce faire être contourné. Par conséquent, une empreinte digitale « abus d'enfant » est créée dans NeuralHash et intégrée à l'appli Photos.
Ensuite, selon la page 4 du livre blanc, l'appli Photos parcourt vos photos sur votre iPhone, en contournant élégamment tout chiffrement. Apple a ainsi trouvé le moyen de jouer sur plusieurs tableaux. Ainsi, ils ont le chiffrement, mais peuvent aussi le contourner, car les photos sur votre iPhone sont stockées en texte clair.
Dans le jargon technique, ce genre de chose s'appelle une porte dérobée ou backdoor en anglais. Jusqu'à présent, Apple peut toujours conserver un certain niveau de chiffrement même si le chiffrement complet n'a pas lieu. Pourquoi ? Le FBI et le Gouvernement fédéral des États-Unis ont fait pression. Il est donc actuellement possible qu'Apple puisse décrypter les sauvegardes. Pour autant que l'on sache, la porte dérobée ne peut être influencée que par le canal de mise à jour officiel d'Apple.
NeuralHash peut être configuré à souhait
Pour que NeuralHash soit efficace contre la maltraitance des enfants, il faut que quelqu'un définisse ce à quoi ressemble la maltraitance des enfants en image. Et, à partir de quel niveau de maltraitance des enfants le système intervient. Est-ce que l'empreinte digitale « abus d'enfant » nécessite seulement « œil au beurre noir » ou est-ce que le système ne fonctionne qu'avec « œil au beurre noir » + « lèvre ensanglantée » ?
Qui décide ? Sur quoi ces décisions se basent-elle ? À partir de quel moment la maltraitance des enfants est-elle « suffisamment grave » ?
Pour aggraver les choses, selon la page 3 du livre blanc, NeuralHash est invisible et vous n'avez aucun contrôle dessus.
Aux grands maux les grands remèdes
Une fois que NeuralHash est lancé, rien ne peut l'arrêter. Si l'application Galerie peut reconnaître Stephanie Tresch de dos, sur la base de son manteau bleu et du fait qu'elle tient un appareil photo à un endroit précis, la même fonction de recherche peut être appliquée à pratiquement tout et n'importe quoi.
Qui nous promet qu'Apple n'abusera pas de cette fonction ?
NeuralHash peut être utilisé pour faire le bien comme le mal. Il est tout à fait possible qu'après la maltraitance des enfants, le cancer de la peau soit le prochain fléau sur la liste. D'un autre côté, il est également possible qu'Apple crée une gigantesque archive d'images de pénis, car NeuralHash permet de déchiffrer et de transmettre les images.
Les experts en sécurité de l'information, comme le professeur de cryptographie Matthew Green, craignent que NeuralHash ne soit une attaque contre le chiffrement de bout en bout.
Apple met en place une surveillance de masse
« C'est une idée horrible, car elle conduit à une surveillance de masse de nos ordinateurs portables et de nos smartphones », déclare Ross Anderson, professeur d'ingénierie de la sécurité à l'université de Cambridge, au Financial Times.
Avec NeuralHash, vous êtes surveillé en permanence. Depuis votre smartphone. Actuellement, on ne peut pas se passer de l'appareil dans notre vie quotidienne. Cette surveillance est centralisée et déterminée par des personnes sur lesquelles vous n'avez aucun contrôle. Même la loi ne s'applique que dans une mesure limitée à des mécanismes comme NeuralHash. D'une part, parce que les législateurs de ce monde sont très intéressés par les portes dérobées, d'autre part, car les législatures dans une démocratie sont souvent réactives et lentes. Jusqu'à ce que la loi ait considéré NeuralHash en détail, le système n'aura pas seulement déjà été lâché sur l'humanité, mais aura encore évolué.
La police s'intéresse à NeuralHash
L'exécutif de tout système est fortement intéressé par le succès de NeuralHash. Avec un tel système, les suspects de terrorisme pourraient être arrêtés avant qu'ils ne commettent un crime. Si le système est étendu pour inclure les données de localisation, les criminels pourraient être appréhendés en fonction de leur position au moment du crime. Si l'on donne à NeuralHash une empreinte digitale du genre « scène de crime » + « vêtements » + « heure du crime », on peut alors créer un profil de l'auteur et de ses déplacements, car l'auteur pourrait apparaître en arrière-plan d'un selfie du client du café situé en face de la scène de crime. Cela simplifierait grandement le travail de la police et la justice pourrait être rendue plus efficacement.
La technologie est politique, la politique est technologie
Il est possible que les gouvernements obligent Apple à intégrer NeuralHash, configuré en fonction de facteurs arbitraires, sur tous les iPhone de leur pays. Un exemple frappant : le gouvernement chinois pourrait dire « Apple, vous ne pouvez pas vendre d'iPhone en Chine à moins que NeuralHash ne nous aide à traquer les Ouïghours ».
Si Apple s'y opposait, elle perdrait un marché important. Si Apple donnait son accord, alors de nombreuses personnes souffriront.
Les décisions d'Apple lancent un signal : « Cela ouvrira la porte en grand », explique Matthew Green, professeur de sécurité à l'université John Hopkins, au Financial Times, « les gouvernements exigeront cette fonction de tout le monde. »
Ce changement met à l'épreuve l'effet Apple et crée peut-être un précédent désagréable. Si Apple suit le mouvement, rien n'empêchera la Pologne de chasser les homosexuels avec NeuralHash. Ou les femmes en Iran qui ne portent pas le hijab.
Faux positifs
Lorsque NeuralHash recherche des images de violence, il recherche des facteurs qui ne se produisent pas uniquement en cas de violence : « œil au beurre noir », « lèvre ensanglantée », etc. peuvent également se produire dans le sport. L'athlète de l'UFC Cristiane Justino Venâncio alias Cris Cyborg est très malmenée après ses combats ; parfois même déjà pendant.
Si elle a suffisamment de photos d'elle saignant du nez ou ayant un œil au beurre noir, NeuralHash interviendrait. Un certain nombre d'images sont transmises à Apple, où un être humain les regarde. Dans le contexte de la vie quotidienne de Cris Cyborg, cela n'a rien d'extraordinaire. Un employé d'Apple la reconnaîtrait et fermerait le ticket. Mais tout de même, l'employé a vu les photos.
Un faux positif est non seulement une violation d'un droit de l'homme, mais il se produit également sans raison. Quelqu'un chez Apple regarde juste quelques photos des archives privées de l'athlète ; sans raison.
La question est de savoir si les « faux positifs » sont acceptables. Et si oui, combien de fois un faux positif peut-il se produire avant que NeuralHash n'aille trop loin ? Qui détermine ce nombre ? Qui contrôle ce chiffre ?
Apple décrit le nombre de faux positifs comme étant « extrêmement faible » à la page 3 du livre blanc. La page suivante parle d'un faux positif sur un trillion d'enquêtes. En outre, tous les rapports seraient examinés avant d'être soumis au NCMEC.
Une question de confiance
Peut-on faire confiance à Apple ?
Apple s'est fait un nom en faisant de la confidentialité l'une des bases de son entreprise. Mais Apple n'a aucune obligation de continuer sur cette voie.
L'idéologie dans les entreprises constitue toujours un outil de marketing. Ce qui compte pour les entreprises, peu importe la fréquence à laquelle un PDG le dit, ce n'est pas le bien que l'entreprise peut faire pour le monde. La seule chose qui compte, c'est l'argent. Apple doit vendre des iPhone. Apple fixe des objectifs de croissance qui doivent être atteints. Dès que ces chiffres ne sont plus satisfaisants, Apple change de direction. Et les autres entreprises ne font pas autrement.
Les constructeurs automobiles connaissent actuellement un immense changement de cap. Alors qu'il y a dix ans, Tesla était considéré comme une curiosité amusante, des marques automobiles entières sont en train de passer du pétrole à l'électrique. Pour le bien de l'environnement, bien sûr. Et pas car les législations fixent toujours des lois de plus en plus restrictives pour les véhicules à essence, qu'ils parlent d'allégements fiscaux pour les acheteurs de véhicules électriques et, dernier point, mais non des moindres, que les gens veulent acheter des véhicules électriques.
Qu'est-ce qui nous promet alors qu'Apple restera à jamais le défenseur de la vie privée qu'il est aujourd'hui ?
Bilan
Malgré tous les nobles objectifs qu'Apple veut poursuivre avec NeuralHash, la fonction est trop dangereuse pour ne pas être considérée comme une atteinte au droit de l'homme et à la vie privée. On ne peut pas à ce point faire confiance à Applet ni à aucune autre entreprise d'ailleurs. Surtout pas aux législateurs. Et une organisation qui s'oppose activement au chiffrement de bout en bout ne devrait pas disposer d'un mécanisme permettant de contourner le chiffrement sans surveillance. Peu importe les motifs.
La vie privée ne doit pas être violée. Il ne doit y avoir aucune exception. Les droits de l'homme s'appliquent aussi aux criminels.
Même si une exception faisait beaucoup de bien, elle créerait un précédent qui ne connaîtrait pas un dénouement heureux.
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
