L’œil d’Apple dans nos iPhones ?
Les outils développés par Apple pour traquer et signaler automatiquement les images pédopornographiques stockées sur les smartphones de ses utilisateurs soulèvent de nombreuses inquiétudes relatives à la protection des données. Ils sont surtout le symptôme d'une évolution dans les standards de traitement des données par les géants du numérique.
Apple a développé et souhaite introduire prochainement un nouveau système de surveillance électronique sur ses iPhones, permettant la détection automatique de matériel pédopornographique parmi les photos stockées en ligne par l’utilisateur sur l’application iCloud1. Ce système suscite actuellement le scepticisme chez les experts en protection de la vie privée. Nommée provisoirement CSAM Detection (CSAM étant l’acronyme pour « Child Sexual Abuse Material »), la technologie d’Apple compare les photos mises en ligne avec de gigantesques bases de données de photos pédophiles fournies par les associations américaines de lutte contre la pédocriminalité. Si le nombre d’images de l’utilisateur jugées similaires à celles de la base de données dépasse un certain seuil (qui serait d’une trentaine afin d’éviter tout risque de faux positif), ces images sont alors évaluées par un opérateur humain, qui pourra décider de les signaler ou non aux autorités.
Enjeux éthiques et politiques
Apple emploie ici des procédures cryptographiques subtiles, grâce auxquelles les utilisateurs n’ont accès « en clair » (c’est-à-dire sous une forme humainement interprétable) ni aux images pédopornographiques de référence, ni au nombre d’images en leur possession soupçonnées d’être illégales. Le système de détection, quant à lui, n’a accès « en clair » à aucune information relative aux images non-référencées dans les bases de données. Il n’a pas non plus accès « en clair » aux images illégales, ni même au nombre d’images actuellement soupçonnées de l’être, tant que le seuil limite n’a pas été atteint. De plus, l’emploi d’un algorithme d’intelligence artificielle baptisé NeuralHash permettrait de reconnaître une image même légèrement déformée, recadrée ou encore enregistrée en plus basse résolution.
CSAM Detection soulève des problèmes de deux natures. Il y a en premier lieu les limitations pratiques de la méthode employée : seules les images déjà répertoriées pourront être identifiées, ce qui présente toutefois l’avantage de ne pas risquer que des photos innocentes (vos enfants dans leur bain) soient faussement signalées ; rien n’a par ailleurs été prévu pour les vidéos pédocriminelles, alors même que leur nombre est en constante augmentation. En outre, il a déjà été démontré qu’il était possible de tromper le réseau de neurones au cœur de NeuralHash : certains algorithmes permettent d’appliquer de petites modifications invisibles à l’œil humain sur une photo innocente, l’amenant à être identifiée avec un cliché pédopornographique, et vice-versa2. Notons toutefois que l’intervention d’un expert humain en dernière phase du processus réduit encore le risque de signalement abusif.
Plus profondes sont les inquiétudes liées aux ramifications éthiques et politiques d’un tel système. Permettre à une entreprise de surveiller ainsi le contenu de nos téléphones portables et de nos ordinateurs est pour beaucoup une perspective effrayante : Will Cathcart, le directeur de Whatsapp, dénonce sur Twitter « un recul de la protection de la vie privée au niveau mondial ». Bien que la mise en service du système de surveillance ait été repoussée à un avenir proche face à cette levée de boucliers, Apple se veut rassurant, et évoque une mauvaise compréhension de son dispositif3.
Deux éléments troublants posent toutefois la question des intentions réelles de la compagnie. D’une part, il est pour l’instant extrêmement aisé d’échapper à CSAM Detection, puisque seules les photos enregistrées sur l’application de stockage en ligne iCloud Photos y sont soumises. Il suffit donc de la désactiver. D’autre part, les photos actuellement stockées sur le service iCloud ne sont pas chiffrées de « bout en bout », c’est-à-dire qu’elles sont librement accessibles par Apple, qui est souvent contraint de les communiquer plus ou moins ouvertement à diverses agences gouvernementales américaines4. Cela continuerait d’être le cas avec le nouveau système, ce qui rendrait en apparence vaines les subtilités cryptographiques déployées pour protéger l’intimité des utilisateurs – il ne saurait y avoir d’intimité quand toute photo sur iCloud est à la disposition tant de la compagnie que des autorités. Dans de telles conditions, quelles intentions peuvent justifier l’introduction d’un tel système par Apple ?
Vers de nouveaux modes de traitement des données personnelles
En réalité, il n’est pas tant question de l’introduction d’une innovation technologique ou d’un système de surveillance particuliers que d’une possible évolution du standard de traitement de nos données personnelles par les grandes compagnies technologiques.
Les GAFAMs en général, et Apple en particulier, sont soumis à de fortes pressions contradictoires : d’un côté, il leur est intimé de protéger autant que possible les données de leurs utilisateurs – Apple a fréquemment cherché à se positionner comme l’entreprise la plus privacy friendly ; d’un autre, les gouvernements, démocratiques comme autoritaires, souhaiteraient avoir un contrôle accru sur ces données, avec des intentions allant de la lutte contre la pédophilie ou le terrorisme au contrôle des oppositions politiques – des demandes souvent relayées par une partie de l’opinion publique. Facebook, par exemple, est simultanément accusé de trop surveiller ses utilisateurs et de ne pas en faire suffisamment pour censurer les contenus jugés pernicieux (antivax ou trumpistes, notamment). De même, le New York Times, qui jugeait dans un article5 qu’Apple ne s’investit pas assez dans la lutte contre la pédopornographie, et rechignait trop à partager les données de ses clients avec la police, n’hésite pas à présenter, dans un autre article6, ce nouveau système de surveillance comme une dérive inquiétante.
Quoiqu’ayant parfois cédé, Apple s’est historiquement montré plutôt réticent à livrer les données de ses utilisateurs aux autorités : l’année passée, 265 cas de pédocriminalité ont été signalés par l’entreprise, là où Facebook en a dénoncé plus de 20 millions7. L’introduction de nouvelles procédures, permettant de scanner un appareil de façon à ce que seul le contenu jugé indésirable selon des critères stricts soit révélé, pourrait être conçue par Apple comme un compromis acceptable entre les injonctions contradictoires qui lui sont adressées. Cela permettrait de limiter l’accès des autorités aux bases de données, au motif qu’elles ont déjà été automatiquement fouillées, tout en présentant l’avantage additionnel de limiter la présence d’images pédopornographiques sur les serveurs. En particulier, certains experts y voient un signe de la volonté d’Apple d’adopter prochainement le chiffrement « bout à bout » pour toutes les données de ses utilisateurs : un tel chiffrement rendrait ces données inaccessibles, pour les autorités comme pour Apple. Un paradigme actuellement inacceptable pour le gouvernement américain ; le FBI aurait déjà par le passé contraint Apple à renoncer à de tels plans8. L’introduction de méthodes permettant de repérer toute donnée problématique à la source pourrait ainsi être une façon d’apaiser les autorités en leur garantissant un niveau minimal de surveillance, et donc de les amener, à terme, à accepter le passage au chiffrement bout à bout.
Indépendamment des intentions futures d’Apple, beaucoup voient dans le client-side scanning (i.e. la surveillance de l’appareil même de l’utilisateur) une pente dangereusement glissante, à l’instar d’Edward Snowden9 ou des signataires d’un long rapport d’experts paru en 202110. Malgré son attachement affiché à la protection de notre vie privée, l’entreprise a déjà montré par le passé les limites de sa résistance aux injonctions gouvernementales, en censurant par exemple certaines applications en Chine sous la pression des autorités. Apple a beau affirmer énergiquement que CSAM Detection est parfaitement respectueux de l’intimité de ses utilisateurs et ne sait identifier que du contenu pédopornographique, une telle technologie pourrait aisément être détournée sous la pression d’un gouvernement ou même d’une partie de la société civile pour identifier et signaler tout autre type de données jugées problématiques.
Ce système controversé résulte donc moins d’une évolution technique et d’une volonté accrue de contrôle de la part d’Apple que de l’émergence de nouveaux standards de protection des données personnelles, résultant d’un jeu de négociations et de pressions entre grandes compagnies de technologie et agences gouvernementales américaines. Un jeu dont populations et législateurs ont pour l’instant été largement tenus à l’écart, et où l’Europe peine à s’imposer.
- 1. La firme propose une description détaillée du dispositif sur son site internet.
- 2. Voir Hal Abelson et al., “Bugs in Our Pockets: The Risks of Client-Side Scanning”, arXiv:2110.07450 [cs.CR], 15 octobre 2021.
- 3. Voir Joanna Stern et Tim Higgins, “Apple Executive Defends Tools to Fight Child Porn, Acknowledges Privacy Backlash”, The Wall Street Journal, 13 août 2021.
- 4. Voir Joseph Menn, “Exclusive: Apple dropped plan for encrypting backups after FBI complained”, Reuters, 21 janvier 2020.
- 5. Voir Gabriel J.X. Dance et Michael H. Keller, “Child Abusers Run Rampant as Tech Companies Look the Other Way”, The New York Times, 9 novembre 2019.
- 6. Voir Kellen Browning, “Cybersecurity Experts Sound Alarm on Apple and E.U. Phone Scanning Plans”, The New York Times, 14 octobre 2021.
- 7. Voir Jack Nicas, “Apple’s iPhones Will Include New Tools to Flag Child Sexual Abuse”, The New York Times, 5 août 2021.
- 8. Voir Joseph Menn, ibid.
- 9. Il s’exprime à ce sujet sur son site internet. Voir Edward Snowden, “The All-Seeing ‘i’: Apple Just Declared War on Your Privacy”.
- 10. Voir Hal Abelson et al., ibid.
