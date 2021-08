L’annonce hier des mesures de protection des enfants d’Apple a confirmé un rapport antérieur selon lequel la société commencerait à rechercher des photos d’abus d’enfants sur les iPhones. La nouvelle a suscité des réactions mitigées de la part des experts en cybersécurité et en sécurité des enfants.

Quatre préoccupations avaient déjà été soulevées avant que les détails ne soient connus, et l’annonce d’Apple en a abordé deux…

Les préoccupations initiales comprenaient le fait que les signatures numériques pour le matériel d’abus sexuel d’enfants (CSAM) sont délibérément floues, pour permettre des choses comme des recadrages et d’autres ajustements d’image. Cela crée un risque de faux positifs, que ce soit par hasard (concernant un) ou par action malveillante (concernant deux).

Apple y a répondu en annonçant que l’action ne serait pas déclenchée par une seule image correspondante. Ceux qui collectent de tels documents ont tendance à avoir plusieurs images, Apple a donc déclaré qu’un certain seuil serait requis avant qu’un rapport ne soit généré. La société n’a pas révélé le seuil, mais a déclaré qu’elle réduisait les risques de faux positif à moins d’un sur mille milliards. Personnellement, cela me satisfait complètement.

Cependant, deux autres risques subsistent.

L’Electronic Frontier Foundation (EFF) a souligné le risque d’abus, soulignant qu’il n’y avait aucun moyen pour Apple ou les utilisateurs de vérifier les empreintes digitales. Un gouvernement peut dire à Apple qu’il ne contient que des hachages CSAM, mais l’entreprise n’a aucun moyen de le vérifier.

À l’heure actuelle, le processus est qu’Apple examinera manuellement les images signalées, et ce n’est que si l’examen confirme du matériel abusif que l’entreprise transmettra les détails aux forces de l’ordre. Mais encore une fois, rien ne garantit que l’entreprise sera autorisée à continuer à suivre ce processus.

L’universitaire de la cryptographie Matthew Green a réitéré ce point après ses tweets de pré-annonce.

Celui qui contrôle cette liste peut rechercher le contenu qu’il veut sur votre téléphone, et vous n’avez vraiment aucun moyen de savoir ce qu’il y a sur cette liste car il est invisible pour vous (et juste un tas de nombres opaques, même si vous piratez votre téléphone pour obtenir la liste.)

L’EFF dit que c’est plus qu’un risque théorique :

Nous avons déjà vu cette mission se glisser dans l’action. L’une des technologies conçues à l’origine pour analyser et hacher les images d’abus sexuels sur des enfants a été réutilisée pour créer une base de données de contenu « terroriste » à laquelle les entreprises peuvent contribuer et auxquelles accéder dans le but d’interdire un tel contenu. La base de données, gérée par le Global Internet Forum to Counter Terrorism (GIFCT), est troublante sans contrôle externe, malgré les appels de la société civile. Bien qu’il soit donc impossible de savoir si la base de données a dépassé les limites, nous savons que les plateformes signalent régulièrement le contenu critique comme « terrorisme », y compris la documentation sur la violence et la répression, le contre-discours, l’art et la satire.