Apple sous le feu des critiques pour ses fonctionnalités de surveillance contre la pédopornographie

Apple a dévoilé le 6 août un outil pour détecter les contenus pédopornographiques présents sur les iPhones et iPads. Mais cette annonce a priori bienvenue est loin de faire l'unanimité parmi les experts du secteur. Risque de violation de la vie privée et de détournement du système par les gouvernements, mise à l'écart de la communauté académique et communication ultra contrôlée, la nouvelle n'a pas laissé de marbre.

Il faut dire que les organismes spécialisés attendent depuis longtemps qu'Apple mette en place un système anti-pédopornographie, chose que d'autres grandes entreprises comme Microsoft, Facebook ou Google ont instauré depuis de nombreuses années. C'est en fait la façon dont Apple s'y est pris qui pose problème.

Une analyse des fichiers directement sur l'appareil du consommateur
Comment va fonctionner le système exactement ? Il va scanner les images et vidéos des utilisateurs directement sur leurs appareils pour détecter des contenus pédopornographiques (Child Sexual Abuse Material ou CSAM en anglais). Concrètement, Apple a l'intention d'installer sur les iPhones américains un logiciel appelé "neuralMatch", qui a été brièvement présenté à des universitaires américains en début de semaine, selon le Financial Times.

Le système analysera en permanence les photos stockées sur l'iPhone, par exemple, ainsi que celles téléchargées via le service de sauvegarde iCloud. Cette analyse ne consiste cependant pas en une consultation directe des photos ou vidéos. Les contenus recherchés sont en fait regroupés dans une base de données gouvernementale américaine, gérée par le National Center for Missing and Exploited Children (NCMEC).

La signature de chacun de ces contenus criminels est convertie en une chaîne de chiffres par un processus appelé "hachage", et ce sont ces signatures électroniques qui sont recherchées sur les appareils des utilisateurs. Si une correspondance est détectée, l'outil alertera une équipe dédiée et les forces de l'ordre seront prévenues.

Atteinte à la vie privée
Si l'initiative est louable sur papier, les critiques fusent quant à sa mise en place. Les experts y voient un pas de plus vers la violation de la vie privée. "L'un des problèmes fondamentaux de l'approche d'Apple est qu'elle semble vouloir à tout prix éviter de mettre en place une véritable fonctionnalité de confiance et de sécurité pour ses produits. Il n'existe aucun mécanisme permettant de signaler les spams, les menaces de mort, les discours haineux ou tout autre type d'abus sur iMessage", a tweeté Alex Stamos, enseignant à l'université Stanford et ancien CSO de Facebook.

Ce "balayage non consensuel des photos locales et l'exécution de machine learning côté client ne résulteront pas en une prévention réelle des dommages", a-t-il déploré. Même constat du côté d'Eva Galperin, directrice de la cybersécurité de l'Electronic Frontier Foundation (EFF), pour qui "il est impossible de construire un système d'analyse côté client qui ne puisse être utilisé que pour les images sexuellement explicites envoyées ou reçues par des enfants."

Celle-ci a également mis en garde contre les dérives de ce système qui pourrait nuire d'autant plus aux mineurs homosexuels dont les parents sont intolérants puisque "des montagnes de recherches montrent que les filtres pour les contenus "sexuellement explicites" signalent davantage les contenus LGBTQ+", a-t-elle écrit.

Une fonctionnalité détournable par les gouvernements
Eva Galperin a également expliqué que si "aujourd'hui, la base de données scanne iCloud à la recherche d'images CSAM, demain, il pourrait s'agir de n'importe quoi d'autre, comme des mèmes critiquant le gouvernement chinois." C'est ce point en particulier qui inquiète les chercheurs. La base de données de référence peut en effet contenir n'importe quelle image, et Apple n'a pas la main sur elle. S'il est détourné, le système permettra donc au gouvernement de rechercher n'importe quel document sans qu'Apple ne soit même au courant.

Selon Will Cathcart, responsable du service concurrent WhatsApp, "c'est un système de surveillance construit et exploité par Apple qui pourrait très facilement être utilisé pour scanner des documents privés pour tout ce qu'ils ou un gouvernement décide de contrôler. Il est perturbant de les voir agir de la sorte, sans avoir fait appel à des experts du sujet." L'amertume des spécialistes est renforcée par le fait qu'Apple se présente depuis des années comme un chantre du respect de la vie privée, ayant enchaîner notamment les publicités clamant que "ce qui se passe sur votre iPhone reste sur votre iPhone".

On rappellera cependant que ce positionnement marketing a débuté suite au scandale d'iCloud du mois d’août 2014, lors duquel un hacker a volé et publié des photos dénudés de dizaines de célébrités américaines dont les photos avaient été automatiquement téléversées sur iCloud. Apple activait à l'époque cette sauvegarde automatique par défaut, à la fois pour pallier le faible stockage interne de ses appareils et pour inciter ses utilisateurs à utiliser ses services cloud.

Depuis, la Pomme a peaufiné ses services et fait de la sécurité un élément-clé de sa communication, présentant (souvent de façon abusive) ses produits comme étant plus sûrs que ceux de la concurrence. En parallèle, l'entreprise limite depuis des années autant qu'elle le peut l'accès de ses produits aux chercheurs en cybersécurité, ce qui, assez ironiquement, en fait des produits à risque car moins audités qu'Android.

Les gouvernements se disent ravis
Plusieurs gouvernements à travers le monde ont applaudi ces nouvelles fonctionnalités. Un responsable du gouvernement indien a déclaré au Financial Times qu'il "saluait" la nouvelle technologie d'Apple, qui constitue "une référence pour les autres entreprises technologiques", tandis qu'un responsable européen a déclaré que la société avait conçu une "solution assez élégante". Le sénateur américain Richard Blumenthal a de son côté qualifié ces outils de "mesure innovante et audacieuse". "Il est temps que les autres - en particulier Facebook - suivent leur exemple", a tweeté Sajid Javid, secrétaire d'État britannique à la santé et ancien ministre de l'Intérieur.

Apple a de son côté indiqué dans une note avoir pris connaissance "de nombreuses réponses positives", a rapporté 9to5Mac. "Nous savons que certaines personnes ont pu mal comprendre, et que beaucoup s'inquiètent des conséquences, mais nous continuerons à expliquer et à détailler les fonctionnalités pour que les gens comprennent ce que nous avons construit", a indiqué la société.

L'entreprise a aussi signalé que ce système ne serait pas mis en place dans tous les pays pour le moment. Reste à voir combien de temps cela durera. Pour rappel, les craintes des chercheurs ne sont pas basées sur de simples hypothèses. Le marché chinois est par exemple clé pour Apple, et la société californienne n'a pas hésité à se plier aux demandes du gouvernement de Pékin par le passé.

Apple a des années de retard en matière de lutte anti-pédophilie
Au-delà des risques de surveillance de la population engendrés par ce système, il est bon de rappeler qu'Apple est en retard sur les autres grandes entreprises technologiques en matière de lutte contre la pédophilie. En effet, Google analyse les boîtes de réception des utilisateurs de Gmail à la recherche de contenus CSAM depuis 2008 afin de signaler les comportements dangereux et supprimer certains résultats de rechercher. Certaines de ses trouvailles ont même conduit à des arrestations.

De son côté, Microsoft a développé le système PhotoDNA en 2009 avec des partenaires universitaires. Il est utilisé pour analyser les hachages d'images et détecter les CSAM même si une photo a été modifiée. Il s'agit de l'outil de référence du secteur, géré par le National Center for Missing and Exploited Children, et a inspiré le système d'Apple. Facebook a commencé à l'utiliser en 2011, et Twitter en 2013. Même chose pour Dropbox et la majorité des services de dépôt de fichiers sur Internet. La différence avec Apple est que ces entreprises ne scannent pas les fichiers directement sur les appareils de leurs clients, mais seulement lorsqu'ils sont transistent par leurs services en ligne.

En réponse a toutes ces critiques, Apple a publié une FAQ où elle est revenue l'usage de ces fonctionnalités pour des objectifs autres que la protection de l'enfance. "Soyons clairs, cette technologie est limitée à la détection des fichiers stockés dans iCloud et nous n'accéderons à aucune demande gouvernementale visant à l'étendre", a ainsi écrit la société. Il n'existe d'ailleurs pas encore de législation américaine obligeant Apple à rechercher un type de contenu en particulier, rapporte l'Electronic Frontier Foundation. Toutefois, le FBI a déjà sollicité la société par le passé pour avoir accès aux données de suspects et le Royaume-Uni ainsi que l'Union européenne prépareraient de nouvelles lois pour contraindre les géants de la tech à collaborer si nécessaire, indique l'organisme.

"Si 5 % des utilisateurs américains d'Apple désactivaient iCloud Photos au cours de la semaine prochaine, Apple reconsidérerait probablement son projet d'activer l'analyse côté client. Je me demande ce que cela coûterait", a tweeté Matthew Green, chercheur en sécurité et professeur à l’Université John Hopkins, qui compte aussi parmi les critiques les plus sévères du système mis en place par Apple. Alors que ces nouvelles fonctionnalités sont prévues pour cette année, reste à savoir si Apple va prendre les inquiétudes et remarques des experts en considération.

Sélectionné pour vous

La France bannit TikTok des smartphones gouvernementaux, mais aussi Facebook et Tinder

L'avenir de TikTok de plus en plus incertain après l'audition de son patron au Congrès américain

Malgré les craintes de la classe politique, TikTok gagne en popularité aux Etats-Unis