Quatorze des experts les plus réputés en matière de sécurité informatique et de cryptographie viennent de publier un article où ils expriment leur opposition au Client Side Scanning (CSS, ou analyse côté client), du nom donné aux propositions visant à analyser les données avant qu'elles ne soient chiffrées.
Au lieu d'affaiblir le chiffrement ou de fournir aux forces de l'ordre des clés de porte dérobée pour déchiffrer les communications, certains acteurs de l'industrie et du gouvernement proposent en effet d'analyser de manière préemptive les données directement dans les appareils de l'ensemble des utilisateurs, lorsqu'elles figurent encore en clair, et avant qu'elles ne soient transmises chiffrées de bout en bout (End to End Encryption, ou E2EE).
Si des données illégales étaient détectées, leur existence et, éventuellement, leur source, seraient alors transmises aux autorités. Ses partisans affirment que le CSS serait une solution au débat sur le chiffrement et la sécurité publique : il garantirait en effet la confidentialité en garantissant le chiffrement de bout en bout, tout en permettant aux autorités d'identifier des contenus préjudiciables.
Une proposition d'Apple visant à détecter des contenus pédocriminels de la sorte dans les iPhone, iPad et Mac avait, cet été, fait polémique. De nombreux experts, chercheurs et personnalités comme Edward Snowden avaient été vent debout contre ce qu’ils considèrent comme une porte dérobée, poussant Apple à remiser sa proposition à plus tard.
Dans leur rapport de 46 pages, intitulé « Des mouchards dans nos poches : les risques du Client-Side Scanning », les auteurs (dont Ross Anderson, Matt Blaze, Jon Callas, Whitfield Diffie, Susan Landau, Peter G. Neumann, Ronald L. Rivest et Bruce Schneier) soutiennent a contrario que le CSS ne garantit pas de prévention efficace de la criminalité, ni n'empêche la surveillance :
« En effet, l'effet est inverse. Le CSS, de par sa nature, crée de graves risques pour la sécurité et la vie privée de toute la société, tandis que l'assistance qu'il peut fournir aux forces de l'ordre est au mieux problématique. »
Une ligne rouge
Il existe « plusieurs façons dont l'analyse côté client peut échouer, être contournée ou faire l'objet d'abus », avertit le rapport. Le CSS repose en effet sur le calcul d'une signature ou empreinte unique, résultat d'une fonction de hachage, ou hash, des données. Un algorithme d'apprentissage automatique permet dans un second temps d'identifier les empreintes correspondant à des contenus illégaux, même si les données ont été légèrement modifiées.
Or, et dans les deux cas, il est impossible d'empêcher les faux positifs (contenus identifiés à tort comme préjudiciables). Et ce, alors que le caractère propriétaire ou classifié (de type « boîtes noires ») des technologies utilisées pourrait empêcher leur contre-expertise :
« Au lieu de disposer de capacités ciblées, telles que la mise sur écoute des communications avec un mandat et la réalisation d'analyses médico-légales sur les appareils saisis, les agences s'orientent vers un balayage en masse des données privées de chacun, en permanence, sans mandat ni soupçon.
Cela franchit une ligne rouge. Est-il prudent de déployer une technologie de surveillance extrêmement puissante qui pourrait facilement être étendue aux libertés fondamentales ? »
Une faille de sécurité
Alors que les partisans du CSS y voient une fonctionnalité de sécurité et une garantie en termes de protection de la vie privée (l'analyse est effectuée sur les terminaux, et non de façon centralisée), les auteurs de l'article y voient une « faille de sécurité » :
« Étant donné que la plupart des appareils des utilisateurs sont vulnérables, les capacités de surveillance et de contrôle fournies par le CSS peuvent potentiellement être utilisées de manière abusive par de nombreux adversaires, des acteurs étatiques hostiles aux partenaires intimes des utilisateurs en passant par les criminels. »
Ils estiment que le CSS « porterait beaucoup plus atteinte à la vie privée que les propositions précédentes d'affaiblissement du chiffrement », à mesure que « le CSS donne aux forces de l'ordre la possibilité de rechercher à distance non seulement les communications, mais aussi les informations stockées sur les appareils des utilisateurs » :
« Introduire cette puissante technologie de surveillance sur tous les appareils des utilisateurs sans en comprendre pleinement les vulnérabilités et sans réfléchir aux conséquences techniques et politiques serait une expérience sociétale extrêmement dangereuse. »
Pas de garde-fou
The Register rappelle qu'Apple avait tenté de remédier à la possibilité que des régimes répressifs tentent d'exploiter son système pour rechercher du contenu politiquement inacceptable en insistant sur le fait qu'il ne rechercherait que les hash de contenus présents dans les listes tenues par plusieurs organisations de protection des enfants.
L'idée était que si la Chine soumettait une photo du manifestant bloquant des tanks place Tiananmen par l'intermédiaire d'une organisation de protection de l'enfance, pour obtenir des rapports sur les dissidents politiques, son stratagème ne fonctionnerait pas en l'absence d'une autre organisation soumettant la même image.
Mais les auteurs de l'article rappellent qu'« Apple a cédé à de telles pressions dans le passé, par exemple en déplaçant les données iCloud de ses utilisateurs chinois vers trois centres de données sous le contrôle d'une entreprise publique chinoise, et en supprimant l'application de vote "Navalny" de son application russe ».
Une technologie dangereuse
Ils relèvent en outre que l'UE a de son côté suggéré que les contenus liés au terrorisme et au crime organisé puissent être analysés de la sorte, en plus des contenus pédocriminels. Au Royaume-Uni, par exemple, le projet de loi sur la sécurité en ligne envisage de son côté une obligation de bloquer les « contenus préjudiciables » :
« En clair, il s'agit d'une technologie dangereuse. Même si elle était déployée initialement pour rechercher des contenus liés à l'exploitation sexuelle des enfants, un contenu clairement illégal, il y aurait une pression énorme pour étendre son champ d'application. Nous aurions alors du mal à trouver un moyen de résister à son expansion ou de contrôler les abus du système. »
Dans leur conclusion, ils déplorent que le CSS ait « été présenté comme une solution technologique magique » au dilemme posé aux autorités par la généralisation du chiffrement, et estiment que « la promesse des solutions CSS est une illusion » :
« Techniquement, le déplacement de l'analyse du contenu du nuage vers le client donne du pouvoir à toute une série d'adversaires. Il est probable que cela réduise l'efficacité de l'analyse, tout en augmentant la probabilité d'une variété d'attaques. »
Une surveillance de masse
Ils relèvent au surplus que le document du GCHQ intitulé « AI for national security : online safety » (l'intelligence artificielle au service de la sécurité nationale : la sécurité en ligne) fixe les objectifs suivants :
« Fournir des outils et des techniques permettant d'identifier les comportements de séduction potentiels dans le texte des messages et dans les salons de discussion ; mettre en évidence l'échange d'images illégales et suivre les identités déguisées des délinquants sur plusieurs comptes ; rechercher et découvrir les personnes cachées et les services illégaux sur le dark web. L'IA pourrait également nous permettre d'aider les forces de l'ordre à infiltrer les réseaux de délinquants et à les traduire en justice.
Les outils d'IA peuvent également être formés pour analyser les images, les messages, les autres formes de contenu Internet et les chaînes de contact saisis et interceptés, afin d'aider les enquêteurs à identifier les victimes et à découvrir les délinquants complices. L'IA, qui fonctionne à la fois sur le contenu et les métadonnées, pourrait également protéger nos analystes d'une exposition inutile à des contenus traumatisants. »
Enfin, alors que les écoutes téléphoniques et techniques de renseignement (tels que les logiciels espions ou de captations informatiques) ne visent que les personnes suspectées de crimes ou de délits, les auteurs déplorent que le CSS mettrait sous surveillance l'intégralité de la population :
« Une telle surveillance de masse peut avoir un effet négatif important sur la liberté d'expression et, en fait, sur la démocratie elle-même. »
Pour Bruce Schneier, « ce n'est pas une porte dérobée cryptographique, mais c'est toujours une porte dérobée, qui apporte avec elle toutes les insécurités d'une porte dérobée ». Pour Susan Landau, « de tels systèmes ne sont rien de moins que des systèmes de surveillance en masse lancés sur les appareils personnels du public ».
Commentaires (14)
#1
On veut vous surveiller, mais on le fait avec style !
#2
Monde de merde
#3
Si on appelait les choses par leur vrai nom on dirait quantum of ass.
Je trouve d’ailleurs sidérant que les abus humains ne soient jamais envisagés côté “you too” aka les concepteurs de ces “solutions”.
Tout ceci ressemble de plus en plus à un remake de retour vers le futur, version paquerette cut, et sans overboard.
Du CINEMA.
#4
Outre les critiques de l’article, qui sont en elles-même déjà effrayantes, il y en a une autre selon moi:
Si ces systèmes se généralisent (y compris si ils sont mis en place par les GAFAM plutôt que les états), ça implique que les terminaux ne peuvent pas être rootés, ou mis à jour par un tiers, sinon on va nous expliquer , à raison, que le système d’espionnage ne peux être fiable dans ce cas.
Or, les gafam et les constructeurs de téléphones, eux, veulent…. vendre. Ils s’en foutent de l’obsolescence, du marché de l’occasion, ….
Du coup, et on commence à le voir actuellement, on va avoir des appareils à la durée de vie (maintenance OS) réduite et des systèmes alternatifs (style Lineage) “bridés” sous prétexte de sécurité (et en réalité pour une raison purement mercantile).
Bienvenue dans un monde qui ne change pas !
#5
d’analyser de manière préemptive les données directement dans les appareils
de l’ensemble des utilisateurs, lorsqu’elles figurent encore en clair, et avant
qu’elles ne soient transmises chiffrées de bout en bout (End to End Encryption, ou E2EE).
Je me demande :
#5.1
Le NOKIA 3310
#5.2
c’est une régression ta ‘soluce’ = plus de ‘SMS.’ !
https://fr.wikipedia.org/wiki/Nokia_3310
#5.4
Moi pas compris, le 3310 gère très bien les SMS!
#5.5
Je pense qu’il voulait dire + par plus
#5.3
Il suffira de choisir des téléphones qu’on peut rooter pour dégager Androïd et IOS.
De la même manière qu’on peut utiliser Linux pour éviter le tracking de Windows et OSX.
Mais en vrai, et comme toujours, ce genre de choses ne concerne qu’un public d’initié (coucou NXi). Les Michus n’en auront rien à faire.
#5.6
Et quand Google imposera aux constructeurs de téléphones de bloquer le boot loader sous peine de perdre la certif play store, on fera comment ?
Android est soit disant plus ouvert qu’iOS mais croire que ça va durer est une utopie. Google a toujours agit ainsi depuis 20 ans : on est les plus cool, les plus ouverts et les plus compatibles, adoptez nous ! Et puis sous couvert de sécurité et d’ergonomie, on ferme tout petit à petit : Jabber à disparu de Google Talk, l’accès IMAP de Gmail est volontairement tordu, les flux RSS ont disparu de YouTube, les options avancées du moteur de recherche fonctionnent de moins en moins bien (Google s’obstine à présenter des résultats ne contenant pas les mots placés derrière un + ou une combinaison qui digère un peu d’une phrase pourtant placée entre guillemets)…
En bref, Google ne va que dans une direction que de plus en plus de contrôle et d’enfermement et ainsi la fin des bootloaders ouverts n’est que le sens attendu de l’histoire. Le tout est de savoir non pas « si » mais « quand ? » , car Google joue sur un temps suffisamment long pour ne pas se mettre trop d’utilisateurs à dos au passage.
#5.7
On fera en sorte de chercher des failles matérielles et logicielles pour y arriver. Mais ça ne sera que temporaire. L’autre solution serait que l’UE exige que des bootloaders soit libéré afin de les laisser le citoyen libre de bidouiller son téléphone comme il attend (par ex. dans un soucis d’écologie et réutilisation). Mais là c’est de l’utopie pur est simple ! Je préfère encore miser sur la Chine, dont les téléphones pourront peut-être plus simplement rootable et qui se fout royalement de la certif play store.
Quand la suite de votre commentaire, vous avez résumé le fameux 3E (Embrass, Extend, Extenguish) que pratique Google, Apple, MS et d’autres sociétés. Le plus grave étant l’absence de réponse de la part de la France et de l’UE. (Mais depuis quand nos dirigeants sont calés en technologie et ses enjeux géopolitiques à long termes).
#6
C’est une mesure intéressante, mais il faut voir plus loin. Pour être efficace, il faut transmettre les données à des drones armés pour neutraliser immédiatement les individus dangereux.
Toute ressemblance avec un scénario de SF est purement fortuite.
#7
Vous avez le nokia 216 qui est très bien