Apple invite les chercheurs à vérifier ses fonctionnalités de sécurité pour les enfants

Mais poursuit en justice une startup qui fait exactement cela

Au début du mois, Apple a annoncé l'arrivée de nouvelles fonctions d'identification des photos sur iOS qui utiliseront des algorithmes de hachage pour faire correspondre le contenu des photos de la galerie des utilisateurs avec des éléments connus d'abus d'enfants, tels que la pornographie enfantine. L'iPhone téléchargera un ensemble d'empreintes numériques représentant le contenu illégal, puis comparera chaque photo de la galerie de l'utilisateur à cette liste.

Apple a précisé que la technologie de balayage fait partie d'une nouvelle série de systèmes de protection des enfants qui « évolueront et se développeront au fil du temps ». Les fonctionnalités seront déployées dans le cadre d'iOS 15, dont la sortie est prévue le mois prochain. « Cette nouvelle technologie innovante permet à Apple de fournir des informations précieuses et exploitables au National Center for Missing and Exploited Children et aux forces de l'ordre concernant la prolifération de CSAM [child sexual abuse material] connus », a déclaré la société.

Le système, appelé neuralMatch, alertera de manière proactive une équipe d'examinateurs humains s'il pense que des images illégales sont détectées. Selon un article de Financial Times, qui a rapporté la nouvelle pour la première fois, les examinateurs humains contacteront ensuite les forces de l'ordre si le matériel peut être vérifié. Le système neuralMatch, qui a été formé à l'aide de 200 000 images du National Center for Missing & Exploited Children, sera d'abord déployé aux États-Unis, puis au reste du monde. Les photos seront hachées et comparées à une base de données d'images connues d'abus sexuels sur des enfants.

Selon les explications de Cupertino, chaque photo téléchargée sur iCloud aux États-Unis recevra un « bon de sécurité » indiquant si elle est suspecte ou non. Ainsi, une fois qu'un certain nombre de photos seront marquées comme suspectes, Apple permettra de déchiffrer toutes les photos suspectes et, si elles apparaissent comme illégales, de les transmettre aux autorités compétentes. « Apple ne prend connaissance des photos des utilisateurs que si ceux-ci possèdent une collection de CSAM connus dans leur compte iCloud Photos », a déclaré l'entreprise pour tenter de rassurer les utilisateurs quant à la confidentialité de leurs données.

Une initiative qui a créé la division, même au sein des employés Apple. Matthew Green, professeur à l'université John Hopkins et cryptographe, a indiqué sur Twitter : « Ce genre d'outil peut être une aubaine pour trouver de la pédopornographie dans les téléphones des gens... Mais imaginez ce qu'il pourrait faire entre les mains d'un gouvernement autoritaire ».

En outre, selon les chercheurs, bien que le système soit actuellement formé pour repérer les abus sexuels sur les enfants, il pourrait être amélioré pour détecter toute autre image, par exemple, les décapitations de terroristes ou les signes antigouvernementaux lors de manifestations. Mais les dangers ne se limitent pas là et pourraient atteindre d'autres plateformes.

Le précédent créé par Apple pourrait également accroître la pression exercée sur les autres entreprises technologiques pour qu'elles utilisent des techniques similaires. « Les gouvernements l'exigeront de tous », s'est inquiété Green. Alec Muffett, chercheur en sécurité et militant pour la protection de la vie privée qui a travaillé chez Facebook et Deliveroo, a déclaré que la décision d'Apple était "tectonique" et constituait un "pas énorme et régressif pour la vie privée". « Apple fait reculer la vie privée pour permettre 1984 [NDLR, le plus célèbre roman dystopique de George Orwell, publié en 1949] », a-t-il déclaré.


Apple poursuit une entreprise qui permet d'inspecter son code

Dans une récente interview accordée au Wall Street Journal (WSJ), Apple a reconnu avoir mal géré la communication autour du programme. Craig Federighi, responsable des logiciels chez Apple, a déclaré qu'en prenant du recul, la société s'est rendu compte que l'introduction de deux fonctionnalités en même temps était « une recette pour ce genre de confusion ». « Nous aurions aimé que l'annonce soit un peu plus claire pour tout le monde », a déclaré Federighi. L'ingénieur a apporté plus de détails sur le choix d'Apple et a également annoncé que le projet était toujours en cours de développement et que des changements étaient à prévoir.

Face à la résistance du public, Apple a insisté sur le fait que sa technologie peut être vérifiée. « Les chercheurs en sécurité sont constamment en mesure d'introspecter ce qui se passe dans le logiciel [téléphonique] d'Apple », a déclaré Craig Federighi, vice-président d'Apple, dans une interview au Wall Street Journal. « Donc, si des changements étaient apportés pour étendre la portée d'une manière que nous nous étions engagés à ne pas faire, il y a une vérifiabilité, ils peuvent détecter ce qui se passe ».

Pourtant, Apple poursuit une entreprise qui propose des logiciels pour permettre aux chercheurs en sécurité de faire exactement cela.

En 2019, Apple a déposé une plainte contre Corellium, qui permet aux chercheurs en sécurité de tester facilement et à moindre coût les appareils mobiles en émulant leur logiciel plutôt que de les obliger à accéder aux appareils physiques. Le logiciel, qui émule également les appareils Android, peut être utilisé pour résoudre ces problèmes.

Dans la plainte, Apple a fait valoir que Corellium avait violé ses droits d'auteur, permis la vente de failles logicielles utilisées pour le piratage et qui ne devraient pas exister. La startup a répliqué en disant que son utilisation du code d'Apple était un cas classique protégé de fair usage. Le juge s'est largement rangé du côté de Corellium jusqu'à présent. Une partie de cette affaire vieille de deux ans a été réglée la semaine dernière, quelques jours après que l'actualité de la technologie CSAM de l'entreprise soit devenue publique.

L'annonce de Corellium

Lundi, Corellium a annoncé une subvention de 15 000 $ pour un programme qu'il promeut spécifiquement comme un moyen d'examiner les iPhones au microscope et de tenir Apple responsable :

« Aujourd'hui, en l'honneur du quatrième anniversaire de Corellium, nous annonçons l'Initiative de sécurité ouverte de Corellium. Cette initiative soutiendra la recherche publique indépendante sur la sécurité et la confidentialité des applications et appareils mobiles grâce à une série de prix et à l'accès à la plateforme Corellium. »

« Plus que tout autre domaine de l'informatique, la sécurité dépend de l'existence d'une communauté de chercheurs importante, diversifiée et non officielle. Alors que les avancées dans des domaines tels que la conception de matériel informatique émergent souvent de laboratoires privés bien financés, la majorité des progrès en matière de cybersécurité au cours des dernières décennies sont venus de la "communauté de la recherche en sécurité", une communauté qui comprend non seulement des universitaires et des professionnels accrédités, mais aussi des hackers ou des amateurs. »

« Mener des recherches par des tiers sur les appareils mobiles reste difficile, inefficace et coûteux. En particulier dans l'écosystème iOS, les tests nécessitent généralement un...