Depuis la présentation de son plan de lutte contre les images à caractère pédopornographique sur les iPhone, iPad et Mac, Apple a déclenché un incendie que l'entreprise a bien du mal à calmer. À travers des explications et une FAQ, elle tente l’apaisement, mais les protestations ne faiblissent pas.
Il y a quelques jours, Apple présentait plusieurs mécanismes visant à combattre l’exploitation et les abus sexuels des enfants. Trois volets ont été détaillés, dont un a particulièrement frappé les esprits : l’arrivée dans iOS/iPadOS 15 et macOS 12 d’un mécanisme de contrôle d'empreintes de photos pour les comparer à une base de données. En cas de multiples correspondances, un contrôle manuel permet de vérifier leur nature pédopornographique.
Ce processus prend place entre l’enregistrement de la photo sur le téléphone et sa sauvegarde dans iCloud. Dans sa conception, il aurait théoriquement la capacité d’ignorer le chiffrement de bout-en-bout, au grand dam de nombreux experts en sécurité et de l’Electronic Frontier Foundation (EFF), qui a dit depuis toute sa déception devant un mouvement qui ne manquera pas d’attirer de nombreux gouvernements.
Deux points cristallisent les tensions. D’une part, l’aspect intrusif du mécanisme, violant des appareils présentés de longue date comme des sanctuaires. L’affaire San Bernardino avait propulsé Apple au rang de chevalier blanc pour les protecteurs de la vie privée. D’autre part, la gourmandise que pourrait susciter cette détection chez certains régimes, qui détourneraient alors son objectif en lui faisant chercher d’autres types de contenus.
Alors que les avis d’experts et chercheurs s’accumulent et qu’une pétition – signée par des milliers de personnes – demande à Apple de faire machine arrière, la société communique abondamment, ce qui la pousse à un exercice dont elle n’a pas l’habitude : se justifier.
De nombreuses explications
Cette communication s’est faite et continue de se faire au travers de plusieurs interventions de responsables de l’entreprise. Dès le 6 août, lendemain de la parution du livre blanc technique sur les solutions adoptées, Sebastien Marineau-Mes, vice-président aux logiciels, publiait au sein d’Apple un mémo aux employés, obtenu par 9to5mac.
Il y annonçait que de « nombreuses réactions positives » avaient été reçues, notamment de la part des organisations de lutte contre l’exploitation sexuelle des enfants. Pour preuve, il relayait une note envoyée par Marita Rodriguez, directrice des partenariats du NCMEC (National Center for Missing and Exploited Children) : « J’espère que vous serez rassurés de savoir que grâce à vous, des milliers d’enfants victimes d’exploitation sexuelle seront sauvés et auront une chance de guérir et d’avoir l’enfance qu’ils méritent ».
Elle s’est toutefois permise d’ajouter : « Nous savons que les prochains jours seront remplis des voix stridentes de la minorité ». La minorité en question était déjà connue : des chercheurs en sécurité, l’EFF et d’autres organisations de défense de la vie privée, alertant sur le danger d’un glissement avec un système capable de remettre en question l’une des grandes forces d’Apple : le chiffrement de bout-en-bout. Marineau-Mes reconnaissait d’ailleurs dans son mémo que des jours compliqués attendaient l’entreprise pour faire comprendre ses choix.
Le soir même, Apple organisait une conférence de presse avec de nombreux médias américains pour mieux expliquer certains aspects de son mécanisme d’empreintes. Par exemple, que les jetons cryptographiques fournis aux serveurs d’Apple ne contiendront aucune donnée utile, mettant les utilisateurs à l’abri de toute dérive de certains gouvernements, qui seraient tentés de détourner cet outil vers d’autres finalités.
Autre point crucial, le contrôle humain obligatoire avant l'éventuel envoi des données aux forces de l’ordre. L’idée que tout serait transféré en temps réel était rapidement apparue. Apple rappelle donc qu’elle n’accède pas aux données du téléphone, seules des empreintes sont comparées jusqu’à un seuil de plusieurs correspondances.
Une FAQ pour éclaircir la situation
Pour s’assurer d’une source unique d’explications qui ne seraient pas des propos rapportés, l'entreprise a enchainé rapidement avec une FAQ pour lister les principales questions.
Premièrement, Apple rappelle que les technologies utilisées pour la comparaison des empreintes et l’analyse des photos dans Messages ne sont pas les mêmes. Rappelons que pour cette dernière, Apple floute les images à caractère sexuel sur les appareils affiliés à des mineurs de moins de 18 ans. Si l’enfant a moins de 13 ans, une alerte est envoyée aux parents si le téléphone est intégré dans un compte familial.
L’entreprise assure que ce mécanisme est local, Apple ne voyant jamais les images. Suivent plusieurs compléments dans lesquels la société explique le caractère optionnel de cette détection, qui ne peut être activée que par les parents. En outre, les alertes ne peuvent plus être émises quand l’âge est de 13 ans ou plus, même si le contenu détecté est flouté et qu’un avertissement est affiché. Il faut choisir de continuer pour voir la photo.
Deuxièmement, la détection de contenus pédopornographiques ne se fait que sur les appareils qui ont activé la sauvegarde iCloud, et plus particulièrement iCloud Photos. Si des personnes ont coupé la fonction et se servent d’un autre type de sauvegarde ou même n’en font pas, rien ne se passera.
En outre, la base de correspondance téléchargée sur les appareils ne contient que des empreintes, pas les photos, et elles sont stockées dans une zone sécurisée. Heureusement d’ailleurs, car on imagine assez mal l’incongruité de stocker sur un téléphone des milliers de photos pédopornographiques pour… lutter contre la pédopornographie. Sans parler de la place que requerrait une telle manœuvre.
Vient ensuite l’une des grandes questions : pourquoi maintenant ? La firme s’explique : « L’un des plus gros défis dans ce domaine est de protéger les enfants tout en préservant la vie privée des utilisateurs. Avec cette nouvelle technologie, Apple saura quelles images CSAM (Child Sexuel Abuse Material) connues sont stockées dans iCloud Photos (…). Apple n’apprendra rien au sujet des autres données stockées uniquement sur l’appareil ».
Mais en quoi la solution proposée serait-elle différente ? L’entreprise répond :
« Les techniques existantes, telles qu’implémentées par les autres sociétés, scannent toutes les photos stockées dans le cloud. Ce qui crée un risque pour la vie privée de tous les utilisateurs. La détection CSAM dans iCloud Photos offre des bénéfices significatifs de vie privée [...] en empêchant Apple d’apprendre quoi que ce soit sur les photos, à moins qu’elles ne correspondent à des images CSAM connues et qu’elles soient stockées dans un compte iCloud Photos incluant une collection d’images CSAM connues. »
Le cœur des craintes
Viennent ensuite d’importantes questions sur la thématique de la surveillance et des usages que certains gouvernements pourraient en faire. Le système de détection de contenus CSAM peut-il être utilisé pour d’autres finalités ? Non, assure Apple :
« Notre processus est conçu pour prévenir cela. La détection CSAM pour iCloud Photos est construire de manière à ce que le système ne fonctionne qu’avec des empreintes d’images CSAM fournies par le NCMEC et d’autres organisations de protection des enfants ». La firme ajoute un point important : « Dans la plupart des pays, y compris les États-Unis, la simple possession de ces images est un crime et Apple est obligée de signaler tout cas détecté aux autorités compétentes. »
Vient ensuite une crainte largement exprimée par les chercheurs en sécurité et des organisations comme l’EFF : les gouvernements pourraient-ils forcer la firme à ajouter des images non-CSAM à la base d’empreintes ? « Apple refusera toute demande de ce type », assure-t-elle. « Nous avons déjà fait face à des demandes de construire et déployer des changements imposés par des gouvernements et les avons refusées. Nous continuerons à les refuser ».
Elle ajoute : « Soyons clairs : cette technologie est limitée aux contenus CSAM stockés dans iCloud et nous ne répondrons favorablement à aucune requête de gouvernement visant à l’étendre. En outre, Apple conduit des vérifications humaines avant d’émettre un rapport au NCMEC. Dans le cas où le système épinglerait des photos ne correspondant pas aux contenus CSAM, le compte ne serait pas désactivé et aucun rapport ne serait envoyé ».
Ne pourrait-on pas quand même injecter des images non-CSAM dans le système ? Apple assure encore que non, l'ensemble étant prévu pour éviter ce cas de figure. L’entreprise ne gérant pas la base des empreintes, elle n’a pas moyen d’y ajouter quoi que ce soit. Et puisque cette base est téléchargée chez tout le monde, elle ne peut pas servir d’attaque contre une personne spécifique. Notez qu'Apple n'aborde pas le cas où le NCMEC lui-même serait piraté et la base corrompue.
De plus, le chercheur en sécurité Matthew Green a pointé que rien n’empêche théoriquement de déployer une autre base que celle du NCMEC. Aucune personne innocente ne sera inquiétée, la société l’affirme : « la probabilité que le système signale à tort un compte est d’une sur 3 000 milliards par an ». Et de rappeler à nouveau qu’une vérification humaine aura lieu dans tous les cas.
Mais même si les explications d’Apple sont claires et les détails techniques abondants dans sa documentation, le seul critère viable reste la confiance que l’on accordera au géant. Tout repose sur cette notion fluctuante et que la société a patiemment bâtie en se positionnant comme défenseur de la vie privée. De fait, les explications n’atténuent pas le sentiment de trahison, étayé par les interventions des chercheurs.
La levée de boucliers s’intensifie
Cette première salve d’explications n’a en effet pas suffi. D’autres voix se sont fait entendre depuis. De manière assez surprenante, un responsable de Facebook a pris par exemple la parole pour critiquer copieusement le mécanisme de Cupertino : Will Cathcart, qui dirige WhatsApp.
Dans une série de tweets, il revient sur l’une des principales craintes depuis l’annonce, évoquant un « système de surveillance construit et opéré par Apple, qui pourrait aisément être utilisé pour examiner du contenu privé en fonction des exigences d’un gouvernement ». Il affirme que WhatsApp n’implémentera jamais de solution similaire.
Si le cas des gouvernements semble être « réglé » pour Apple (si on lui fait confiance), le responsable a le mérite de soulever une question revenant souvent dans les discussions des chercheurs et autres experts en sécurité : que se passera-t-il en cas de faille dans le dispositif ? C’est toute la problématique des portes dérobées – c’est ainsi qu’est qualifié le mécanisme par beaucoup, dont l’EFF – puisque des pirates pourraient la trouver et s’en servir.
« Plutôt que de se concentrer sur une façon simple pour les utilisateurs de signaler du contenu partagé avec eux, Apple a bâti un logiciel scannant toutes les photos privées que vous ne partagez avec personne. Ce n’est pas de la confidentialité », martèle Cathcart. Pourquoi ne pas faire comme WhatsApp, qui a mis en place un processus de signalement qui aurait permis de rapporter plus de 400 000 cas au NCMEC en 2020, et ce sans casser le chiffrement de bout en bout ? Outre ce petit coup de publicité pour la supériorité de sa messagerie, Cathcart ne dit pas cependant combien de ces cas ont été avérés.
Matthew Green ne lâche pas l’affaire de son côté et revient régulièrement sur l’inadéquation complète du système envisagé par rapport aux finalités. Dans un tweet, il aborde un point intéressant : cette décision ne serait pas due à des demandes gouvernementales, le Congrès n’ayant passé aucune loi dans ce domaine et ne prévoyant pas de le faire. Les députés et sénateurs seraient parfaitement au courant que ce type de mécanisme, très impopulaire, n’aurait aucune chance de passer. La société se serait donc tiré une balle dans le pied toute seule.
Il se fait volontiers ironique : « Il est remarquable que des gens aient traversé les dernières années de politique américaine et demeurent pourtant convaincus qu’une alliance des sociétés tech et des agences quasi-gouvernementales tiendra face à la surveillance ». Il redit son incompréhension face à la décision d’introduire ce mécanisme en local sur les téléphones, et pas uniquement dans le cloud. À moins que la firme ait déjà prévu d’étendre le dispositif aux photos stockées seulement sur le téléphone, sauvegarde iCloud ou pas.
Edward Snowden est sur la brèche également depuis plusieurs jours. Entre deux tweets sur Julian Assange, il affirme que ces protestations sont utiles, et qu’à force de les entendre sans qu’elles faiblissent, Apple finira par plier : « Ne la fermez pas sur le scandale Apple #spyPhone. Nous pouvons gagner ».
Son avis était clair dès le départ : « Qu’importe à quel point les intentions sont bonnes, Apple va déployer avec ça une surveillance de masse pour le monde entier. Ne vous y trompez pas : s’ils peuvent scanner de la pédopornographie aujourd’hui, ils pourront scanner ce qu’ils veulent demain ».
Il pointe également une incohérence dans le discours d’Apple, signalée par d’autres, comme Jonathan Mayer. Lors du choc frontal avec le FBI après la tuerie de San Bernardino, l’agence se servait d’une très vieille loi pour forcer l’entreprise à percer dans ses propres défenses et ainsi récupérer les données locales de l’iPhone 5c retrouvé. Apple avait argué que cela entraînerait une chute de son chiffre d’affaires, ce qui était précisément l’exception à cette loi. « La réponse d’Apple sur les demandes des gouvernements est difficilement conciliable avec sa position dans le litige avec le FBI et le DoJ », a pointé Mayer en ciblant la FAQ.
On a également vu une lettre ouverte prendre beaucoup d’ampleur. Elle regroupe de nombreux chercheurs et organisations de défense de la vie privée et des libertés civiles. Les avis y sont clairs et vont tous dans le même sens : c’est une très mauvaise nouvelle pour la vie privée. « Le type de technologie qu’Apple propose pour ses mesures de protection des enfants repose sur une infrastructure extensible qui ne peut être ni surveillée ni techniquement limitée. Les experts ont prévenu de manière répétée que le problème n’est pas uniquement la vie privée, mais également le manque de responsabilité, les barrières techniques à l’extension et l’absence d’analyse ou même de reconnaissance du potentiel d’erreurs et de faux positifs ».
Ce que réclame la lettre ? D’abord qu’Apple cesse immédiatement son projet de déploiement de cette technologie jugée extrêmement invasive. Ensuite que la société réaffirme publiquement ses engagements sur le chiffrement de bout-en-bout. On retrouve dans ses signataires Calypso IT Services, le Chaos Computer Club, Cryptomator, la Freedom of the Press Foundation, Gigahost, la New York Public Library, Peergos, la Privacy Foundation, ThinkPrivacy ou encore WebTorrent. À l’heure où nous publions ces lignes, elle comporte un peu moins de 7 500 signatures.
Apple droite dans ses bottes pour l’instant
Eric NeuenSchwander, à la tête des technologies de confidentialité d'Apple n’en démord pas : son système est bien pensé, limité aux États-Unis et aux contenus pédopornographiques. Il ne peut pas être détourné pour d’autres cibles, ni pour viser une personne spécifique. C’est le sens de ses propos publiés chez TechCrunch.
Comment s’assurer que le mécanisme ne sera utilisé que contre l’exploitation sexuelle des enfants ? Le cadre juridique américain est très clair selon le responsable. La pédopornographie serait le seul cas de figure où une telle détection pourrait se faire. Même le terrorisme ne semble pas une raison suffisante.
Mais la lettre ouverte rappelait justement qu’Apple a aussi un historique d’adaptation à certaines demandes gouvernementales, comme la suppression de FaceTime en Arabie saoudite, la loi du pays interdisant les appels téléphoniques chiffrés, ou les multiples exigences de la Chine, comme le pointe Edward Snowden. Ce rappel, couplé à l’analyse de Matthew Green sur la possibilité de déployer n’importe quelle base d’empreintes, invite à la prudence. NeuenSchwander n’a donné aucun élément de réponse sur ce point.
Interrogé sur la désactivation du mécanisme en cas d’absence d’iCloud Photos, le responsable confirme. TechCrunch veut savoir : pourquoi dès lors ne pas le faire uniquement du côté serveurs ? Parce que la solution serait pire pour la vie privée assure NeuenSchwander, et la solution côté client a l’avantage de ne pas toucher au chiffrement. C’est l’un des points qui crispe le plus les chercheurs en sécurité, car le chiffrement de bout en bout n’a plus guère d’intérêt si un mécanisme intervient avant. Comme le pointait l’EFF, cela relève de la pirouette lexicale.
Pourtant, proposer une fonction ne pouvant fonctionner que si iCloud Photos est activé revient à intervenir sur les données du serveur, même si l’action est réalisée côté client. Quand Apple assure que le choix de réaliser l’opération sur les appareils protège davantage la vie privée des utilisateurs, il faut croire l’entreprise sur parole, car aucun élément technique ne vient étayer le propos.
Apple ne peut pas dire qu’elle ne touche pas aux sauvegardes iCloud, puisque l’on sait depuis des années qu’en cas d’enquête et de mandat délivré par un juge, elle peut extraire des données d’un compte. Or, si le cadre juridique lui permet d’effectuer une action sur l’ensemble des iPhone, iPad et Mac compatibles, rien ne l’empêche de reporter ces calculs sur les serveurs. La firme n’en démord cependant pas : « Ce que l’on peut dire avec ce système, c’est qu’il laisse la vie privée complètement intacte pour tout utilisateur n’étant pas dans un comportement illégal ».
En somme, si vous n’avez rien à cacher, vous n’avez rien à craindre.
Et maintenant ?
La situation est complexe, car Apple semble – pour l’instant en tout cas – sûre de son coup. Pourtant, de très nombreuses voix se sont élevées et continuent de le faire sur les conséquences délétères potentielles d’un tel mécanisme. Quand bien même la solution serait techniquement parfaite, le département marketing de l’entreprise risque fort de suer à grosses gouttes pour préserver l’image de chevalier blanc.
Les médias se sont largement emparés du sujet, les positions de nombreux chercheurs en sécurité sont claires et les associations de défense de la vie privée sont vent debout. Les échos perçus par le grand public ne sont probablement pas glorieux. Même si l’on met de côté l’exécution technique du mécanisme, l’idée qu’Apple puisse installer un « mouchard » dans tous ses appareils – compatibles avec les systèmes à venir – divisera nécessairement. Une partie sera troublée, tandis que l’autre applaudira si le système permet de mettre fin par exemple à des réseaux d’échanges d’images pédopornographiques.
Un trouble et une dichotomie que Wired aborde dans un article publié tout récemment. « En modifiant son logiciel, Apple change non seulement notre comportement, mais aussi inconsciemment notre confiance », indiquent les auteurs, Albert Fox Cahn et Evan Selinger. Ils vont plus loin : « Si Apple veut vendre la vie privée mondiale, ils ne devraient pas paver la voie à l’autoritarisme dans les petits caractères. La vraie vie privée signifie vendre des services protégeant nos données, qui empêchent les données d’être récoltées non seulement par les fournisseurs de publicités, mais également par les gouvernements, étrangers ou non ».
Le principal danger désormais pour Apple est un changement dans la perception de sa marque. Le constructeur fournit par exemple les puces les plus puissantes dans ses téléphones, mais il y a longtemps que ce n’est plus vraiment un argument de vente. La tranquillité d’esprit, les efforts manifestes contre la publicité, l’absence d’exploitation des données sont en revanche des poids lourds dans les choix, si l’on met de côté – évidemment – la forte inertie ensuite dans les renouvellements.
Si la perception change, Apple perdra un de ses leviers de différenciation face au monde Android bouillonnant. Et l’entreprise ne peut rien nier, puisqu’elle est allée jusqu’à détailler son mécanisme, qui crie à chaque personne utilisant un de ses produits qu’elle est un ou une pédophile potentielle. Seule une minorité de personnes peut débattre de la justesse technique de la solution adoptée. L’immense majorité ne verra que l’adoption elle-même.
