La technologie de détection CSAM d’Apple est sous le feu – encore une fois – TechCrunch


Apple a rencontré un contrecoup monumental à une nouvelle technologie de détection d’images d’abus sexuels sur enfants (CSAM) qu’elle a annoncée plus tôt ce mois-ci. Le système, qu’Apple appelle NeuralHash, n’a pas encore été activé pour ses plus d’un milliard d’utilisateurs, mais la technologie fait déjà face à la chaleur des chercheurs en sécurité qui disent que l’algorithme produit des résultats erronés.

NeuralHash est conçu pour identifier le CSAM connu sur l’appareil d’un utilisateur sans avoir à posséder l’image ou à connaître le contenu de l’image. Étant donné que les photos d’un utilisateur stockées dans iCloud sont cryptées de bout en bout afin que même Apple ne puisse pas accéder aux données, NeuralHash recherche à la place des CSAM connus sur l’appareil d’un utilisateur, qu’Apple les revendications sont plus respectueuses de la vie privée car il limite la numérisation à des photos uniquement plutôt qu’à d’autres sociétés qui numérisent tous les fichiers d’un utilisateur.

Apple le fait en recherchant des images sur l’appareil d’un utilisateur qui ont le même hachage – une chaîne de lettres et de chiffres qui peuvent identifier de manière unique une image – qui sont fournies par des organisations de protection de l’enfance comme le NCMEC. Si NeuralHash trouve 30 hachages correspondants ou plus, les images sont signalées à Apple pour un examen manuel avant que le propriétaire du compte ne soit signalé aux forces de l’ordre. Apple affirme que le risque d’un faux positif est d’environ un compte sur mille milliards.

Mais les experts en sécurité et les défenseurs de la vie privée ont exprimé leur inquiétude quant au fait que le système pourrait être abusé par des acteurs aux ressources considérables, comme les gouvernements, pour impliquer des victimes innocentes ou pour manipuler le système afin de détecter d’autres matériaux que les États-nations autoritaires trouvent répréhensibles. Le NCMEC a qualifié les critiques de « voix hurlantes de la minorité », selon un mémo divulgué distribué en interne au personnel d’Apple.

Hier soir, Asuhariet Ygvar a procédé à l’ingénierie inverse de NeuralHash d’Apple dans un script Python et code publié sur GitHub, permettant à quiconque de tester la technologie, qu’il ait ou non un appareil Apple à tester. Dans un article sur Reddit, Ygvar a déclaré que NeuralHash “existe déjà” dans iOS 14.3 en tant que code obscurci, mais a pu reconstruire la technologie pour aider d’autres chercheurs en sécurité à mieux comprendre l’algorithme avant qu’il ne soit déployé sur les appareils iOS et macOS plus tard cette année.

Il n’a pas fallu longtemps avant que d’autres bricolent avec le code publié et sont bientôt arrivés le premier signalé cas d’une « collision de hachage », qui dans le cas de NeuralHash est celle où deux images entièrement différentes produisent le même hachage. Cory Huntersville, un chercheur bien connu d’Intel Labs, découvert la collision de hachage. Ygvar a confirmé la collision peu de temps après.

Les collisions de hachage peuvent sonner le glas des systèmes qui s’appuient sur la cryptographie pour assurer leur sécurité, comme le cryptage. Au fil des ans, plusieurs algorithmes de hachage de mot de passe bien connus, comme MD5 et SHA-1, ont été a pris sa retraite après des attaques par collision les a rendus inefficaces.

Kenneth White, expert en cryptographie et fondateur de l’Open Crypto Audit Project, a déclaré dans un tweet: “Je pense que certaines personnes ne comprennent pas que le temps entre la découverte du code iOS NeuralHash et [the] la première collision n’a pas duré des mois ou des jours, mais quelques heures.

Une fois contacté, un porte-parole d’Apple a refusé de commenter le dossier. Mais lors d’un appel de fond où les journalistes n’étaient pas autorisés à citer les dirigeants directement ou par leur nom, Apple a minimisé la collision de hachage et a fait valoir que les protections qu’elle met en place – comme un examen manuel des photos avant qu’elles ne soient signalées aux forces de l’ordre – sont conçues pour prévenir les abus. Apple a également déclaré que la version de NeuralHash qui a fait l’objet d’une ingénierie inverse est une version générique, et non la version complète qui sera déployée plus tard cette année.

Ce ne sont pas seulement les groupes de défense des libertés civiles et les experts en sécurité qui expriment leur inquiétude au sujet de la technologie. Un haut législateur au parlement allemand envoyé une lettre au PDG d’Apple, Tim Cook, cette semaine, déclarant que la société s’engageait sur une “voie dangereuse” et exhortait Apple à ne pas mettre en œuvre le système.





Source link