Actualités

[MAJ 13 / 08] “Il s’agit d’une diminution de la confidentialité pour tous les utilisateurs de Photos iCloud” : les inquiétudes de l’EFF qui craint l’instauration de portes dérobées via le Child Sexual Abuse Material d’Apple !

 

>>> Mise à jour du 13 Août 2021 : Dans une interview accordée au WSJ – accès partiellement gratuit – le VP Senior de la section ingénierie logicielle Apple, Craig Federighi, est revenu pour préciser quelques points sur la technologie d’analyse et de correspondances (connues) des images intégrant du contenu pédo-pornographiques ou à connotation sexuelle mettant en avant un enfant. Tout comme expliqué par Mathis Hammel (cf. MAJ ci-dessous, le 12 Août 2021), le CSAM permettra de faire pointer les photos connues, recensées par la base de données du NCMEC. Une base de données déjà exploitée par Google, Facebook ou encore Microsoft. “En aucune manière il ne s’agit d’une porte dérobée“, confirme Craig Federighi qui “ne comprend pas cette qualification“. Enfin et lors des explications (vidéo) du WSJ (pas de la bouche directe du VP Senior), un nombre a été précisé concernant le fameux seuil à partir duquel un compte peut être limité, mis en pause voire bloqué lors d’une détection positive et avérée : 30 images ; Mathis Hammel évoquait un nombre estimé, faute de précisions, entre “3 et 5“… A suivre ! <<<

 


>>> Mise à jour du 12 Août 2021 : dans un long fil de discussion Twitter (thread), un chercheur-expert en cyber-sécurité nommé Mathis Hammel, indique s’être penché sur le protocole cryptographique PSI (Private Set Intersection) ; condensé de ses réflexions et conclusions à ce sujet (ne concerne pas la détection d’image de nudité infantile) :

 

 

 

 

  • Comme indiqué dans l’actualité d’origine ci-dessous, il s’agira de matcher-pointer les clichés pédo-photographiques connus, déjà en base de données du NCMEC, au détour d’un “fuzzy-hash” ;
  • Si le chercheur reconnaît une “intrusion assez directe dans la vie privée” de l’utilisateur, il estime que le protocole est sécuritairement fort ;

 

  • NeuralHash (algorithme de hashage de l’image basé, donc, sur le réseau neural, en pointant une correspondance identique sur deux clichés photographiques en évitant les erreurs ou impondérables d’identification comme le bruit, le rognage-recadrage, la compression, entre-autres) : la technique de correspondance est assimilable à word2vec, qui repose dans la transformation de l’image “en un vecteur de nombres”, explique le chercheur. Une technique employé – depuis 2009 – par Microsoft (PhotoDNA) et exploitée dans le même dessein (lutte contre l’exploitation des enfants). La polémique selon laquelle le chiffrement de bout-en-bout ne serait ainsi plus est fausse, selon le chercheur, du fait qu’Apple (selon ses dires et son communiqué) ne réceptionne pas les NeuralHash et les informations assimilées ;

 

  • Threshold Secret Sharing (Seuil du Partage du Secret ou SSS, pour le Secret Sharing Scheme, impulsé en 1979 par Adi Shamir, cryptologue ayant contribué à la sécurité au sein du RSA, entre-autres) : comme expliqué dans l’actualité originelle ci-dessous, Apple n’accède pas aux méta-données sauf lorsque le seuil (matching-correspondance des images) est atteint. Même si la probabilité de faux-positif est infinitésimale (1 chance sur 1 trilliard par an, selon la firme américaine), un faux-positif (le 1, donc) peut engendrer l’envoi de ces méta-données, potentiellement. Ce seuil (chiffré, valeur exacte) n’a pas été renseigné dans la documentation d’Apple mais il oscillerait “entre 3 et 5″, estime Mathis Hammel. Pour un mot de passe par exemple, au lieu de dyspatcher des caractères ou valeurs, des “parts” sont attribuées à des entités de confiance pour permettre une reconstitution dudit mot de passe : le principe réside le même avec ce partage du secret mis en place par Apple. Lorsque correspondance il y a (sur clichés-photos connus en base de données, pour rappel) des méta-données (chiffrées) sont ainsi associées à l’image en question qui pointe vers une clé ainsi générée depuis le terminal mobile de l’utilisateur ; le tout, sans qu’Apple ne puisse avoir une “méta” connaissance de cette clé. Par soucis de transparence ou d’éthique, Apple injecte volontairement des correspondances “synthétiques” qui intègrent de “faux fragments” de manière aléatoire par terminal mobile (méta)donné ;

 

  • PSI (Private Set Intersection) : point sensible, la possibilité de faire correspondre ou matcher une image illégales (connues) avec un bandana ou un foulard sur les yeux d’Apple en matière de vie privée. Un sentier caché, en quelque sorte, volontairement par Apple (toujours pour éviter, théoriquement, un maximum d’intrusion dans la vie privée de l’utilisateur) qui résoudra le problème depuis le NeuralHash via une table “cuckoo” qui utilisera l’index-table pour le matching. Pour complexifier (pour des yeux indiscrets ou malveillants) la technique, les non-correspondances ou non-matching (clichés qui ne sont pas positivement reconnus, pointés) auront un hash randomisé, aléatoire. Les autres (hashs positifs) seront occultés avec une clé spécifique détenue par Apple. Celle-ci se compose ainsi du NeuralHash de l’image pointée positivement + le NeuralHash émanant de l’index-table (avec une probabilité de non-correspondance) avec, au final, le déchiffrement du fameux Threshold Secret Sharing (méta-données propre à l’image + les “fragments” associés). Cet ensemble est envoyé vers les serveurs d’Apple avec, en teneur, “une sous-partie de la clé“. Par sécurité, l’envoi-serveur se fera uniquement si le protocole décrit ci-avant est strictement effectué (notamment l’occultage ou masquage composant une partie du NeuralHash pour complexifier le déchiffrement pour des yeux indiscrets), ce qui implique un certain nombre de correspondances obligatoires (en-dessous, il n’y aura pas de possibilité d’envoi-serveur ni même d’ajout manuel – par Apple – d’un NeuralHash puisque ceux-ci se font sur l’instant, côté index-table). Coté données, l’image positivement matchée ne peut être re-pointée par l’utilisateur (il faudrait pour cela posséder la fameuse clé de hashage) ;

 

  • Mises en garde sécuritaires du chercheur cyber-sécuritaire : la possibilité d’un exploit “avec un input malicieux bien calculé” pour diffuser une viralité malveillante depuis une simple image, un risque latent de dérive du fait (comme souligné en bas d’actualité originelle par l’EFF) que seul Apple sera juge en la matière (pas d’autorités indépendantes ou non-assimilées à un réseau de lutte connu, du moins) pour décider (en manuel) si contenu pédo-pornographique il y a ou non. Ce dernier point peut légitimement susciter des inquiétudes critiques par pays ou par Gouvernement avec, suivant les contextes économiques voire sanitaires, un détournement non-éthique pour censurer ou limiter drastiquement la liberté d’expression ou encore certaines convictions ou opinions personnelles (journalisme, causes LGBTs, art, ONG…). En outre et hors propos du chercheur, ce genre d’analyse est assez éprouvant (des cellules spécialisées tournant régulièrement en effectif, un peu comme la modération sous Facebook par exemple, du fait de l’impossibilité humaine et psychique sur le long terme de continuer ce type de travail ou de modération…) et il faudra, alors, qu’Apple veille à régulièrement investir dans ce poste budgétaire pour renouveler régulièrement son personnel dans ce service spécifique pour éviter des faux-positifs ou, tout simplement, une non-détection latente. Ce protocole de chiffrement et l’ensemble de la technique appliquée est sécuritairement fiable mais réside “imparfait et manque de garde-fous“, conclut Mathis Hammel qui présentera ses derniers travaux à l’occasion du BarbHack (Toulon, France), le 28 Août 2021… A suivre ! <<<

 


Actualité originelle

L’idée se veut pourtant vertueuse : pouvoir lutter ou limiter grandement les contenus (pédo)pornographiques que des enfants ou des yeux sensibles pourraient voir par inadvertance ; c’est tout l’enjeu du CSAM (Child Sexual Abuse Material) qui sera intégré “plus tard cette année” au sein des versions 15 d’iOS, d’iPadOS et de watchOS 8, en passant par macOS Monterey.

 

 

Dans un communiqué publié début Août par la pomme californienne, cette lutte s’articulera autour de trois grands axes stratégiques :

 

  • Depuis l’application Messages qui permettra visuellement (par notifications, messages ludiques) d’indiquer à l’enfant mais aussi aux parents que quelque d’anormal ou de tendancieux se passe à ce niveau en indiquant le caractère explicite d’une photo ou vidéo. Lorsque cela est le cas, le média en question est automatiquement flouté par analyse (contenu reçu ou envoyé depuis Messages et au sein d’un compte jointé à Family Sharing) et les messages s’afficheront (avec des liens-ressources) pour expliquer la raison de ce masquage. Au besoin, l’enfant pourra notifier de lui-même ses parents ou proches pour prévenir du message. L’action globale est également déployée si les images émanent directement d’enfants (envoi vers un adulte par exemple ou un autre enfant) et l’ensemble reposera sur le machine learning ;

 

  • Via le dispositif-même : nommé CSAM, il permettra de pointer les contenus photographiques stockés sur l’iCloud (Photos) de l’utilisateur (au sein de son terminal mobile) et la base de données du National Center for Missing and Exploited Children (NCMEC). Ce “hashage d’images” peut s’assimiler à ce que fait déjà Europol en terme de cyber-criminalité ou, également, dans la lutte contre la pédophilie avec une base européenne assez fournie pour les personnes qui migreraient régulièrement d’un pays à un autre, par exemple. Concernant Apple, une “correspondance” crytpographique (Private Set Intersection, protocole PSI) est effectuée pour matcher ou non un résultat. Si tel est le cas, un “bon” (voucher) sécuritaire est créée puis téléchargé vers iCloud avec, en pièce jointe, l’image associée. Apple se veut rassurant : les faux positifs seront extrêmement rares (probabilité inférieure à 1 chance sur 1 trillion par an) et Apple ne pourra pas voir la teneur de ces bons. Des rapports sont alors générés et un examen manuel (humain) se produit pour savoir si le compte doit être ou non suspendu avec, pour l’utilisateur, un recours possible s’il s’agissait, alors, d’un faux positif ;

 

  • Depuis Search et l’assistant Siri : lors des requêtes vocales demandent des informations sur le CSAM ou toute information relative à la mise en danger d’un enfant, un relais ou hub sera proposé en terme de ressource documentaire pour les enfants et les parents. La prochaine mise à jour de Search et Siri intégrera des ressources informatives renvoyant vers des “partenaires” pour affiner les recherches dans ce domaine.

 

Bien évidemment, ce futur procédé d’analyse au sein des terminaux Apple soulève des questions éthiques, morales voire juridiques : au sein d’un des documents dédiés, Apple confirme que ce procédé ne servira pas à reproduire certains épisodes sécuritaires (San Bernardino…) pour aider les Gouvernements à faciliter logiciellement des accès (porte dérobée, par exemple). De plus, l’entreprise américaine assure qu’il n’y aura pas de ciblage spécifiques ou de contenus photographiques autres que ceux analysés par l’entremise de la base de données du NCMEC : le pointage se fera depuis un contenu “d’images connues […] qui ont été acquises et validées par les organisations de sécurité des enfants“. La probabilité de faux-positifs (1 sur 1 trilliard par année, est-il rappelé) sera assez forte pour éviter toute erreur ou malentendu avec, en seconde sécurité et avant le signalement au NCMEC, un examen humain par les équipes d’Apple, ce qui devrait, théoriquement, éviter de signaler faussement des utilisateurs en dévoilant des photos personnelles qui n’auraient aucune connotation ayant attrait à la pornographique infantile.

 

De manière légitime, on peut soulever, tout de même, un risque ou une tentation, alors, palpable de pouvoir instaurer (en commençant avec une action aussi vertueuse qu’innocente qu’est la lutte contre les abus sexuels des mineurs) progressivement des verrous étendus pour d’autres domaines comme, par exemple, la limitation de la liberté d’expression pour des journalistes, artistes, par exemple, qui pourraient potentiellement être limité via un algorithme personnalisé (comme le fait déjà Twitter en bloquant automatiquement les comptes, au bout d’un certain temps et suivant le type de tweet – hashtags, mots, expressions… – effectués, quitte à faire plaider l’utilisateur par mail pour qu’il justifie de sa bonne foi… et du faux-positif ainsi obtenu. Autant de mécanisme impulsé par l’intelligence artificielle ou le machine learning qui permettent, petit à petit, des dérives avec une censure qui s’installe pour ne laisser, finalement, que des messages lisses ou, du moins, qui ne piquent pas les yeux.

 

Une éviction des composantes, parfois, d’un débat sain que craint l’Electronic Frontier Foundation : “L’une des technologies conçues à l’origine pour analyser et hacher les images d’abus sexuels sur des enfants a été réutilisée pour créer une base de données de contenu « terroriste » à laquelle les entreprises peuvent contribuer et auxquelles accéder dans le but d’interdire un tel contenu. La base de données, gérée par le Global Internet Forum to Counter Terrorism (GIFCT), est troublante sans contrôle externe, malgré les appels de la société civile. Bien qu’il soit donc impossible de savoir si la base de données a dépassé les limites, nous savons que les plateformes signalent régulièrement le contenu critique comme « terrorisme », y compris la documentation sur la violence et la répression, le contre-discours, l’art et la satire […] Nous savons, grâce à des années de documentation et de recherche, que les technologies d’apprentissage automatique, utilisées sans surveillance humaine, ont l’habitude de classer à tort le contenu, y compris le contenu prétendument « sexuellement explicite ». Lorsque la plate-forme de blogs Tumblr a institué un filtre pour le contenu sexuel en 2018, elle a capturé toutes sortes d’autres images sur le net, y compris des photos de chiots de Poméranie, des selfies d’individus entièrement vêtus, etc. Les tentatives de Facebook pour contrôler la nudité ont entraîné la suppression de photos de statues célèbres telles que la Petite Sirène de Copenhague […] Il s’agit d’une diminution de la confidentialité pour tous les utilisateurs de Photos iCloud“, argue la foundation, au sein d’un communiqué, le 5 Août 2021.

Bien qu’Apple rétorque que le chiffrement de bout-en-bout réside et que l’accès aux méta-données (jusqu’au dépassement du seuil des matching-correspondances) n’est pas possible pour un compte-utilisateur sous iCloud Photos, l’EFF souligne le fait que l’analyse sous machine-learning d’une image à caractère sexuellement explicite fait basculer cette notion sécuritaire… A veiller !

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0