Des experts critiquent la technologie d’analyse téléphonique d’Apple pour la protection des enfants

Un groupe d’experts en cybersécurité s’est prononcé contre le projet d’Apple de détecter les images d’abus sexuels sur des enfants sur les iPhones, affirmant qu’il s’agissait d’une surveillance de masse et qu’il devrait être interdit.

Plus tôt cette année, Apple a annoncé son intention d’introduire l’analyse côté client, en recherchant les bibliothèques de photos iCloud des appareils individuels à la recherche de matériel pédopornographique (CSAM). Les images seraient numérisées à l’aide d’une technologie appelée NeuralHash, puis comparées à du matériel CSAM connu, avant d’être signalées aux autorités.

Les plans ont été retardés le mois dernier, Apple déclarant que les commentaires des clients, des groupes de défense des droits, des chercheurs et d’autres l’incitaient à rechercher des améliorations.

Maintenant, cependant, il y a plus de commentaires, et de sources qu’il est difficile de minimiser. Dans un article intitulé Bugs in our Pockets: The Risks of Client-Side Scanning, les experts en sécurité et cryptographie Hal Abelson, Ross Anderson, Steven M. Bellovin, Josh Benaloh, Matt Blaze, Jon Callas, Whitfield Diffie, Susan Landau, Peter G. Neumann, Ronald L. Rivest, Jeffrey I. Schiller, Bruce Schneier, Vanessa Teague et Carmela Troncoso affirment que la technologie va beaucoup trop loin.

« Dans ce rapport, nous soutenons que le CSS ne garantit ni une prévention efficace de la criminalité ni n’empêche la surveillance », écrivent-ils.

« En effet, l’effet est inverse. CSS, de par sa nature, crée de graves risques pour la sécurité et la confidentialité de toute la société, tandis que l’assistance qu’il peut fournir aux forces de l’ordre est au mieux problématique. Il existe de multiples façons dont l’analyse côté client peut échouer, peut être éludé et peut être abusé. »

La principale crainte est le risque d’abus de la part de gouvernements répressifs. Alors qu’Apple dit que seuls le CSAM et le matériel terroriste seraient signalés, les chercheurs n’en sont pas si sûrs.

« Si les vendeurs d’appareils sont obligés d’installer une surveillance à distance, les demandes commenceront à se faire sentir. Qui pourrait avoir le cœur froid au point de s’opposer à ce que le système soit étendu à la recherche d’enfants disparus ? écrit Ross Anderson, professeur d’ingénierie de la sécurité à l’Université de Cambridge.

« Ensuite, le président Xi voudra savoir qui a des photos du Dalaï Lama ou d’hommes debout devant des chars ; et les avocats spécialisés dans le droit d’auteur obtiendront des ordonnances du tribunal bloquant tout ce qu’ils prétendent violer les droits de leurs clients. »

L’UE étant censée envisager l’analyse des appareils dans le cadre d’une nouvelle loi sur la protection de l’enfance, les chercheurs affirment qu’il devrait être une priorité de sécurité nationale de « résister aux tentatives d’espionnage et d’influence des citoyens respectueux des lois ».

Et, soulignent-ils, la directive sur la conservation des données a déjà été annulée au motif qu’une telle surveillance massive, sans mandat ni soupçon, était une atteinte inacceptable à la vie privée, même dans la lutte contre le terrorisme.

L’analyse côté client est tout aussi problématique, selon les chercheurs.

« Au lieu d’avoir des capacités ciblées telles que l’écoute électronique des communications avec un mandat et la réalisation d’analyses médico-légales sur les appareils saisis, le sens de déplacement des agences est l’analyse en masse des données privées de chacun, tout le temps, sans mandat ni soupçon », écrivent-ils.

« Cela franchit une ligne rouge. Est-il prudent de déployer une technologie de surveillance extrêmement puissante qui pourrait facilement être étendue pour porter atteinte aux libertés fondamentales ? »