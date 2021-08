Alors que la plupart des inquiétudes concernant l’utilisation abusive de l’analyse CSAM par les gouvernements pour détecter des éléments tels que l’opposition politique concernaient des gouvernements étrangers, certains ont suggéré que cela pourrait également devenir un problème aux États-Unis.

Matt Tait, COO de la société de sécurité Corellium, et ancien analyste du GCHQ, équivalent de la NSA britannique, affirme que le quatrième amendement signifie que cela ne pourrait pas se produire aux États-Unis…

Le cryptographe de Johns Hopkins, Matthew Green, a mis en évidence le scénario suivant concernant l’ajout de matériel d’abus sexuel non impliquant des enfants à la base de données :

Tait dit dans un fil Twitter que la base de données est compilée par le National Center for Missing & Exploited Children (NCMEC), qui n’est pas à proprement parler une agence gouvernementale – c’est un organisme quasi-autonome, bien qu’il soit principalement financé par le DOJ.

Ainsi, grâce à la demande du DOJ et au NCMEC qui a dit « oui », Apple a complètement abandonné l’analyse CSAM, et ni le NCMEC ni le DOJ n’ont réellement été touchés. De plus, le NCMEC est maintenant ruiné : personne dans la technologie n’utilisera sa base de données. Donc, pour faire court, le DOJ ne peut pas demander poliment au NCMEC et obtenir un oui

Eh bien, dans ce cas, Apple est alerté et Apple examine les images en question. Mais attendez! Les images ne sont pas CSAM. Cela signifie deux choses. Premièrement : Apple n’est pas obligé de le signaler au NCMEC. Et deuxièmement, Apple sait maintenant que le NCMEC ne fonctionne pas honnêtement.

Mais supposons que la demande était un tas de photos, ou que la personne avec la photo a également CSAM ou w/e et que le seuil est atteint. Quoi alors ?

Dans ce scénario, peut-être que quelqu’un a cette photo sur son téléphone et l’a téléchargée sur iCloud afin qu’elle soit numérisée et déclenchée. Premièrement, dans le protocole d’iS Apple, ce seul coup ne suffit pas à identifier que la personne a le document, jusqu’à ce que le seuil préconfiguré soit atteint.

Supposons que le DOJ demande au NCMEC d’ajouter un hachage pour, idk, disons une photo d’un document classifié, et hypothétiquement, le NCMEC dit « oui » et Apple l’adopte dans son algorithme intelligent d’analyse CSAM. Voyons ce qui se passe.

Prenons-les à tour de rôle. Et si le DOJ demandait gentiment ? Dans ce cas, le NCMEC a tout intérêt à dire « non ». La numérisation CSAM par les entreprises technologiques aux États-Unis se fait volontairement. Il existe une obligation légale de signaler le CSAM, mais aucune obligation légale de le rechercher.

Mais, dit-il, regardons ce qui se passe si le gouvernement oblige le NCMEC à ajouter l’empreinte digitale à la base de données. Cela, dit-il, empêcherait des poursuites car cela serait en conflit avec le quatrième amendement, qui protège contre les perquisitions et saisies illégales.

Lorsque le NCMEC obtient un coup CSAM – ce qu’ils appellent un « cyber-conseil » – ils le signalent aux forces de l’ordre compétentes. Les forces de l’ordre obtiennent alors généralement une assignation à comparaître pour les dossiers, puis se frayent un chemin jusqu’à un mandat de perquisition complet pour des preuves contre l’individu faisant du commerce de CSAM.

Pour mettre cette personne en prison, elle devra éventuellement apporter des preuves, ce qui signifie qu’elle a besoin de toute la chaîne de preuves pour être conforme aux 4A. La preuve ultime est dérivée du mandat, sa cause probable de l’assignation, et ainsi de suite, depuis le début.

Mais la recherche d’origine était-elle conforme à la 4A ? Si non, toute la chaîne s’effondre. Il s’agit d’un domaine compliqué et les tribunaux s’y débattent depuis longtemps. Mais dans l’ensemble, le consensus est que oui, il est conforme à la 4A, car la recherche CSAM originale était volontaire par le tech co.

Mais si NCMEC ou Apple étaient * obligés * de faire la recherche, alors cette recherche n’était pas volontaire par la société de technologie, mais une “recherche déléguée”. Et parce qu’il s’agit d’une perquisition déléguée, il s’agit d’une perquisition 4A et nécessite un mandat particularisé (et la particularisation n’est pas possible ici).