Quatorze des experts les plus réputés en matière de sécurité informatique et de cryptographie viennent de publier un article où ils expriment leur opposition au Client Side Scanning (CSS, ou analyse côté client), du nom donné aux propositions visant à analyser les données avant qu'elles ne soient chiffrées.
Au lieu d'affaiblir le chiffrement ou de fournir aux forces de l'ordre des clés de porte dérobée pour déchiffrer les communications, certains acteurs de l'industrie et du gouvernement proposent en effet d'analyser de manière préemptive les données directement dans les appareils de l'ensemble des utilisateurs, lorsqu'elles figurent encore en clair, et avant qu'elles ne soient transmises chiffrées de bout en bout (End to End Encryption, ou E2EE).
Si des données illégales étaient détectées, leur existence et, éventuellement, leur source, seraient alors transmises aux autorités. Ses partisans affirment que le CSS serait une solution au débat sur le chiffrement et la sécurité publique : il garantirait en effet la confidentialité en garantissant le chiffrement de bout en bout, tout en permettant aux autorités d'identifier des contenus préjudiciables.
Une proposition d'Apple visant à détecter des contenus pédocriminels de la sorte dans les iPhone, iPad et Mac avait, cet été, fait polémique. De nombreux experts, chercheurs et personnalités comme Edward Snowden avaient été vent debout contre ce qu’ils considèrent comme une porte dérobée, poussant Apple à remiser sa proposition à plus tard.
Dans leur rapport de 46 pages, intitulé « Des mouchards dans nos poches : les risques du Client-Side Scanning », les auteurs (dont Ross Anderson, Matt Blaze, Jon Callas, Whitfield Diffie, Susan Landau, Peter G. Neumann, Ronald L. Rivest et Bruce Schneier) soutiennent a contrario que le CSS ne garantit pas de prévention efficace de la criminalité, ni n'empêche la surveillance :
« En effet, l'effet est inverse. Le CSS, de par sa nature, crée de graves risques pour la sécurité et la vie privée de toute la société, tandis que l'assistance qu'il peut fournir aux forces de l'ordre est au mieux problématique. »
Une ligne rouge
Il existe « plusieurs façons dont l'analyse côté client peut échouer, être contournée ou faire l'objet d'abus », avertit le rapport. Le CSS repose en effet sur le calcul d'une signature ou empreinte unique, résultat d'une fonction de hachage, ou hash, des données. Un algorithme d'apprentissage automatique permet dans un second temps d'identifier les empreintes correspondant à des contenus illégaux, même si les données ont été légèrement modifiées.
Or, et dans les deux cas, il est impossible d'empêcher les faux positifs (contenus identifiés à tort comme préjudiciables). Et ce, alors que le caractère propriétaire ou classifié (de type « boîtes noires ») des technologies utilisées pourrait empêcher leur contre-expertise :
« Au lieu de disposer de capacités ciblées, telles que la mise sur écoute des communications avec un mandat et la réalisation d'analyses médico-légales sur les appareils saisis, les agences s'orientent vers un balayage en masse des données privées de chacun, en permanence, sans mandat ni soupçon.
Cela franchit une ligne rouge. Est-il prudent de déployer une technologie de surveillance extrêmement puissante qui pourrait facilement être étendue aux libertés fondamentales ? »
Une faille de sécurité
Alors que les partisans du CSS y voient une fonctionnalité de sécurité et une garantie en termes de protection de la vie privée (l'analyse est effectuée sur les terminaux, et non de façon centralisée), les auteurs de l'article y voient une « faille de sécurité » :
« Étant donné que la plupart des appareils des utilisateurs sont vulnérables, les capacités de surveillance et de contrôle fournies par le CSS peuvent potentiellement être utilisées de manière abusive par de nombreux adversaires, des acteurs étatiques hostiles aux partenaires intimes des utilisateurs en passant par les criminels. »
Ils estiment que le CSS « porterait beaucoup plus atteinte à la vie privée que les propositions précédentes d'affaiblissement du chiffrement », à mesure que « le CSS donne aux forces de l'ordre la possibilité de rechercher à distance non seulement les communications, mais aussi les informations stockées sur les appareils des utilisateurs » :
« Introduire cette puissante technologie de surveillance sur tous les appareils des utilisateurs sans en comprendre pleinement les vulnérabilités et sans réfléchir aux conséquences techniques et politiques serait une expérience sociétale extrêmement dangereuse. »
Pas de garde-fou
The Register rappelle qu'Apple avait tenté de remédier à la possibilité que des régimes répressifs tentent d'exploiter son système pour rechercher du contenu politiquement inacceptable en insistant sur le fait qu'il ne rechercherait que les hash de contenus présents dans les listes tenues par plusieurs organisations de protection des enfants.
L'idée était que si la Chine soumettait une photo du manifestant bloquant des tanks place Tiananmen par l'intermédiaire d'une organisation de protection de l'enfance, pour obtenir des rapports sur les dissidents politiques, son stratagème ne fonctionnerait pas en l'absence d'une autre organisation soumettant la même image.
Mais les auteurs de l'article rappellent qu'« Apple a cédé à de telles pressions dans le passé, par exemple en déplaçant les données iCloud de ses utilisateurs chinois vers trois centres de données sous le contrôle d'une entreprise publique chinoise, et en supprimant l'application de vote "Navalny" de son application russe ».
Une technologie dangereuse
Ils relèvent en outre que l'UE a de son côté suggéré que les contenus liés au terrorisme et au crime organisé puissent être analysés de la sorte, en plus des contenus pédocriminels. Au Royaume-Uni, par exemple, le projet de loi sur la sécurité en ligne envisage de son côté une obligation de bloquer les « contenus préjudiciables » :
« En clair, il s'agit d'une technologie dangereuse. Même si elle était déployée initialement pour rechercher des contenus liés à l'exploitation sexuelle des enfants, un contenu clairement illégal, il y aurait une pression énorme pour étendre son champ d'application. Nous aurions alors du mal à trouver un moyen de résister à son expansion ou de contrôler les abus du système. »
Dans leur conclusion, ils déplorent que le CSS ait « été présenté comme une solution technologique magique » au dilemme posé aux autorités par la généralisation du chiffrement, et estiment que « la promesse des solutions CSS est une illusion » :
« Techniquement, le déplacement de l'analyse du contenu du nuage vers le client donne du pouvoir à toute une série d'adversaires. Il est probable que cela réduise l'efficacité de l'analyse, tout en augmentant la probabilité d'une variété d'attaques. »
Une surveillance de masse
Ils relèvent au surplus que le document du GCHQ intitulé « AI for national security : online safety » (l'intelligence artificielle au service de la sécurité nationale : la sécurité en ligne) fixe les objectifs suivants :
« Fournir des outils et des techniques permettant d'identifier les comportements de séduction potentiels dans le texte des messages et dans les salons de discussion ; mettre en évidence l'échange d'images illégales et suivre les identités déguisées des délinquants sur plusieurs comptes ; rechercher et découvrir les personnes cachées et les services illégaux sur le dark web. L'IA pourrait également nous permettre d'aider les forces de l'ordre à infiltrer les réseaux de délinquants et à les traduire en justice.
Les outils d'IA peuvent également être formés pour analyser les images, les messages, les autres formes de contenu Internet et les chaînes de contact saisis et interceptés, afin d'aider les enquêteurs à identifier les victimes et à découvrir les délinquants complices. L'IA, qui fonctionne à la fois sur le contenu et les métadonnées, pourrait également protéger nos analystes d'une exposition inutile à des contenus traumatisants. »
Enfin, alors que les écoutes téléphoniques et techniques de renseignement (tels que les logiciels espions ou de captations informatiques) ne visent que les personnes suspectées de crimes ou de délits, les auteurs déplorent que le CSS mettrait sous surveillance l'intégralité de la population :
« Une telle surveillance de masse peut avoir un effet négatif important sur la liberté d'expression et, en fait, sur la démocratie elle-même. »
Pour Bruce Schneier, « ce n'est pas une porte dérobée cryptographique, mais c'est toujours une porte dérobée, qui apporte avec elle toutes les insécurités d'une porte dérobée ». Pour Susan Landau, « de tels systèmes ne sont rien de moins que des systèmes de surveillance en masse lancés sur les appareils personnels du public ».
