Apple explique comment les iPhones numériseront les photos à la recherche d’images d’abus sexuels sur des enfants
Peu après rapports aujourd’hui qu’Apple commencera à analyser les iPhones à la recherche d’images de maltraitance d’enfants, la société a confirmé son plan et a fourni des détails dans un communiqué de presse et un résumé technique.
“La méthode d’Apple pour détecter les CSAM connus (matériel d’abus sexuel sur enfants) est conçue en gardant à l’esprit la confidentialité des utilisateurs”, a déclaré Apple. annonce mentionné. “Au lieu de numériser des images dans le cloud, le système effectue une correspondance sur l’appareil à l’aide d’une base de données de hachages d’images CSAM connus fournie par le NCMEC (Centre national pour les enfants disparus et exploités) et d’autres organisations de sécurité des enfants. Apple transforme davantage cette base de données en un fichier illisible ensemble de hachages qui est stocké en toute sécurité sur les appareils des utilisateurs.”
Apple a fourni plus de détails sur le système de détection CSAM dans un résumé technique et a déclaré que son système utilise un seuil “défini pour fournir un niveau de précision extrêmement élevé et garantit moins d’une chance sur un billion par an de signaler de manière incorrecte un compte donné”.
Les changements seront déployés “plus tard cette année dans les mises à jour d’iOS 15, iPadOS 15, watchOS 8 et macOS Monterey”, a déclaré Apple. Apple déploiera également un logiciel capable d’analyser les images dans l’application Messages pour un nouveau système qui « avertira les enfants et leurs parents lors de la réception ou de l’envoi de photos sexuellement explicites ».
Apple accusé d’avoir construit des “infrastructures de surveillance”
Malgré les assurances d’Apple, les experts en sécurité et les défenseurs de la vie privée ont critiqué le plan.
“Apple remplace son système de messagerie crypté de bout en bout standard de l’industrie par une infrastructure de surveillance et de censure, qui sera vulnérable aux abus et à la dérive non seulement aux États-Unis, mais dans le monde entier”, mentionné Greg Nojeim, co-directeur du projet Security & Surveillance du Center for Democracy & Technology. “Apple devrait abandonner ces changements et restaurer la confiance de ses utilisateurs dans la sécurité et l’intégrité de leurs données sur les appareils et services Apple.”
Pendant des années, Apple a résisté pression du gouvernement américain d’installer une « porte dérobée » dans ses systèmes de cryptage, affirmant que cela nuirait à la sécurité de tous les utilisateurs. Apple a été salué par les experts en sécurité pour cette position. Mais avec son projet de déployer un logiciel qui effectue une analyse sur l’appareil et partage des résultats sélectionnés avec les autorités, Apple est sur le point d’agir dangereusement comme un outil de surveillance gouvernementale, a suggéré le professeur de cryptographie de l’Université Johns Hopkins, Matthew Green, sur Twitter.
L’analyse côté client annoncée aujourd’hui par Apple pourrait éventuellement “être un ingrédient clé pour ajouter une surveillance aux systèmes de messagerie cryptés”, a-t-il déclaré. a écrit. “La possibilité d’ajouter des systèmes de numérisation comme celui-ci à E2E [end-to-end encrypted] systèmes de messagerie a été une “demande” majeure des forces de l’ordre du monde entier.”
Analyse des messages et « intervention » de Siri
En plus de rechercher sur les appareils des images correspondant à la base de données CSAM, Apple a annoncé qu’il mettrait à jour l’application Messages pour “ajouter de nouveaux outils pour avertir les enfants et leurs parents lors de la réception ou de l’envoi de photos sexuellement explicites”.
“Messages utilise l’apprentissage automatique sur l’appareil pour analyser les pièces jointes d’images et déterminer si une photo est sexuellement explicite. La fonctionnalité est conçue pour qu’Apple n’ait pas accès aux messages”, a déclaré Apple.
Lorsqu’une image dans Messages est signalée, “la photo sera floue et l’enfant sera averti, présenté des ressources utiles et rassuré qu’il n’y a pas de problème s’il ne veut pas voir cette photo”. Le système permettra aux parents de recevoir un message si les enfants voient une photo signalée, et “des protections similaires sont disponibles si un enfant tente d’envoyer des photos sexuellement explicites. L’enfant sera averti avant que la photo ne soit envoyée, et les parents peuvent recevoir un message si l’enfant choisit de l’envoyer”, a déclaré Apple.
Apple a déclaré qu’il mettrait à jour Siri et Search pour “fournir aux parents et aux enfants des informations plus complètes et de l’aide s’ils rencontrent des situations dangereuses”. Les systèmes Siri et Search “interviendront lorsque les utilisateurs effectueront des recherches pour des requêtes liées à CSAM” et “expliqueront aux utilisateurs que l’intérêt pour ce sujet est nuisible et problématique, et fourniront des ressources de partenaires pour obtenir de l’aide sur ce problème”.
Le Center for Democracy & Technology a qualifié la numérisation de photos dans Messages de « porte dérobée », écrivant :
Le mécanisme qui permettra à Apple de numériser des images dans Messages n’est pas une alternative à une porte dérobée, c’est une porte dérobée. L’analyse côté client à une « extrémité » de la communication brise la sécurité de la transmission, et informer un tiers (le parent) du contenu de la communication porte atteinte à sa vie privée. Organisations environ les monde ont mis en garde contre l’analyse côté client car elle pourrait être utilisée comme un moyen pour les gouvernements et les entreprises de contrôler le contenu des communications privées.
La technologie d’Apple pour analyser les images
Le résumé technique d’Apple sur la détection CSAM comprend quelques promesses de confidentialité dans l’introduction. “Apple n’apprend rien sur les images qui ne correspondent pas à la base de données CSAM connue”, indique-t-il. “Apple ne peut pas accéder aux métadonnées ou aux dérivés visuels des images CSAM correspondantes tant qu’un seuil de correspondances n’est pas dépassé pour un compte iCloud Photos.”
La technologie de hachage d’Apple s’appelle NeuralHash, et elle « analyse une image et la convertit en un numéro unique spécifique à cette image. Seule une autre image qui semble presque identique peut produire le même nombre ; ont toujours la même valeur NeuralHash”, a écrit Apple.
Avant qu’un iPhone ou un autre appareil Apple ne télécharge une image sur iCloud, “l’appareil crée un bon de sécurité cryptographique qui encode le résultat du match. Il crypte également le NeuralHash de l’image et un dérivé visuel. Ce bon est téléchargé sur iCloud Photos avec l’image. ”
En utilisant le “partage de secret de seuil”, le “système d’Apple garantit que le contenu des bons de sécurité ne peut pas être interprété par Apple à moins que le compte iCloud Photos ne dépasse un seuil de contenu CSAM connu”, indique le document. “Ce n’est que lorsque le seuil est dépassé que la technologie cryptographique permet à Apple d’interpréter le contenu des bons de sécurité associés aux images CSAM correspondantes.”
Tout en notant la probabilité de 1 milliard sur 1 d’un faux positif, Apple a déclaré qu’il “examine manuellement tous les rapports adressés au NCMEC pour garantir l’exactitude des rapports”. Les utilisateurs peuvent « faire appel pour rétablir leur compte » s’ils pensent que leur compte a été signalé par erreur.
Appareils utilisateur pour stocker la base de données CSAM masquée
Les appareils des utilisateurs stockeront une “base de données aveugle” qui permet à l’appareil de déterminer quand une photo correspond à une image dans la base de données CSAM, a expliqué Apple :
Tout d’abord, Apple reçoit les NeuralHashs correspondant aux CSAM connus des organisations de sécurité des enfants ci-dessus. Ensuite, ces NeuralHashes subissent une série de transformations qui incluent une dernière étape d’aveuglement, alimentée par la cryptographie à courbe elliptique. L’aveuglement est effectué à l’aide d’un secret aveuglant côté serveur, connu uniquement d’Apple. Les hachages CSAM masqués sont placés dans une table de hachage, où la position dans la table de hachage est purement fonction du NeuralHash de l’image CSAM. Cette base de données masquée est stockée en toute sécurité sur les appareils des utilisateurs. Les propriétés de la cryptographie à courbe elliptique garantissent qu’aucun périphérique ne peut rien déduire des hachages d’image CSAM sous-jacents à partir de la base de données masquée.
Un iPhone ou un autre appareil analysera les photos des utilisateurs, calculera un NeuralHash et recherchera “l’entrée dans la table de hachage en aveugle”. L’appareil “utilise également le hachage aveugle que le système a recherché pour obtenir une clé de chiffrement dérivée” et utilise cette clé de chiffrement “pour chiffrer les données de charge utile associées”.
Combiné à d’autres étapes, cela garantit que seules les images correspondant à la base de données CSAM seront déchiffrées, a écrit Apple :
Si le hachage de l’image utilisateur correspond à l’entrée dans la liste de hachage CSAM connue, le NeuralHash de l’image utilisateur se transforme exactement en hachage aveugle s’il a subi la série de transformations effectuée au moment de la configuration de la base de données. Sur la base de cette propriété, le serveur pourra utiliser l’en-tête cryptographique (dérivé du NeuralHash) et en utilisant le secret côté serveur, il pourra calculer la clé de chiffrement dérivée et déchiffrer avec succès les données de charge utile associées.
Si l’image de l’utilisateur ne correspond pas, l’étape ci-dessus ne conduira pas à la clé de chiffrement dérivée correcte et le serveur sera incapable de déchiffrer les données de charge utile associées. Le serveur n’apprend donc rien sur les images non concordantes.
L’appareil n’apprend pas le résultat du match car cela nécessite la connaissance du secret aveuglant côté serveur.
Enfin, le client télécharge l’image sur le serveur avec le bon qui contient les données de charge utile cryptées et l’en-tête cryptographique.
Comme indiqué précédemment, vous pouvez lire le résumé technique ici. Apple a également publié un explication plus longue et plus détaillée de la technologie cryptographique « private set intersection » qui détermine si une photo correspond à la base de données CSAM sans révéler le résultat.
