Apple

Pourquoi l'analyse côté client est-elle un problème de chiffrement ?

Par Maximus , le 22 octobre 2021 - 8 minutes de lecture

Comme c'est aujourd'hui le Global Encryption Day, j'ai décidé de faire mon premier post ici sur ce sujet.

Il y a environ deux mois, Apple a provoqué une polémique en annonçant l'adoption d'une mesure visant à lutter contre la propagation des contenus pédopornographiques (CSAM). La polémique était si énorme que, un mois après son annonce, Apple a décidé de reporter ses plans pour les nouvelles fonctionnalités afin d'avoir plus de temps pour recueillir des informations auprès des différentes parties prenantes et mettre en œuvre des améliorations avant de publier les mesures initialement annoncées.

La controverse tourne principalement autour d'un mécanisme connu sous le nom d'analyse côté client. En bref, l'analyse côté client vérifie si le contenu d'un message, dans les différents formats dans lesquels il peut être, qu'il s'agisse de texte, d'images, de vidéos ou de fichiers, est similaire à un contenu « discutable » avant que le message ne soit envoyé au destinataire prévu. . Si du matériel « douteux » est trouvé, le logiciel peut empêcher l'envoi du message et/ou avertir un tiers de la tentative, même à l'insu de l'utilisateur.

L'idée de l'analyse côté client a pris de l'ampleur en raison du fait que les principales plates-formes de messagerie adoptent de plus en plus le cryptage de bout en bout (E2E), ce qui complique quelque peu l'accès des autorités répressives et des agences de sécurité nationale à des contenus potentiellement illégaux. Ainsi, ce mécanisme a été jugé intéressant pour traiter les contenus « douteux » partagés dans les services cryptés E2E sans casser le cryptage.

Une base de données d'empreintes digitales (également appelées « hachages ») de contenu répréhensible connu est nécessaire pour que ce mécanisme fonctionne. Une fois que vous avez la base de données, l'analyse côté client peut effectuer une comparaison d'empreintes digitales sur l'appareil de l'utilisateur ou sur un serveur distant.

Dans le premier cas, l'application sur l'appareil de l'utilisateur dispose d'une base de données complète et à jour. Lorsque l'utilisateur est sur le point de crypter le contenu et de l'envoyer dans un message, ce contenu est converti en empreinte digitale en utilisant les mêmes techniques appliquées aux empreintes digitales dans la base de données complète. Cette empreinte digitale est ensuite comparée à la base de données de l'appareil, et si une correspondance est trouvée, le message peut ne pas être envoyé et/ou un tiers désigné peut être notifié.

Dans le cas d'une comparaison effectuée sur un serveur distant, lorsque l'utilisateur s'apprête à chiffrer un contenu et à l'envoyer dans un message, ce contenu est converti en empreinte comme dans le premier cas. Mais dans ce scénario, les empreintes digitales du contenu de l'utilisateur sont transmises à un serveur où une comparaison avec une base de données centrale est effectuée.

Pour en revenir à l'affaire Apple, qui a mis en évidence le mécanisme actuellement, le contenu «discutable» est du matériel d'abus sexuel d'enfants. L'idée est qu'avant qu'une image ne soit enregistrée sur iCloud, un processus de comparaison sur l'appareil de l'utilisateur (qu'il s'agisse d'un iPhone, d'un iPad ou d'un Macbook) est effectué pour cette image avec des matériaux CSAM connus. Si un tel matériel est trouvé, cet événement est signalé au Centre national pour les enfants disparus et exploités (NCMEC).

Bien qu'au début, l'analyse côté client semble équilibrer la lutte contre les crimes dans l'environnement numérique et la confidentialité des utilisateurs, en fait, le mécanisme viole le modèle de confiance E2E en rendant le contenu des messages plus privé entre l'expéditeur et le destinataire et en empêchant potentiellement messages d'atteindre leurs destinations prévues.

Le premier point à exposer concerne la possibilité de « faux positifs » et de « faux négatifs » par rapport à la base de données d'empreintes digitales. Étant donné que les empreintes digitales sont créées à partir du contenu lui-même, une simple modification (comme changer la taille ou la couleur d'une image ou déformer l'audio dans une vidéo) rend l'empreinte digitale complètement différente, ne permettant pas plus que le matériel peut être identifié. De ce fait, le dispositif peut présenter un taux élevé de non-identification de contenus « douteux », rendant la mesure inefficace pour lutter contre la diffusion de ces types de contenus.

Concernant la comparaison d'empreintes digitales, lorsqu'elle est effectuée sur un serveur distant, cette action peut permettre au fournisseur de services de surveiller et de filtrer le contenu qu'un utilisateur souhaite envoyer. Cela se produit également lorsque la comparaison a lieu sur l'appareil de l'utilisateur si des tiers sont informés de tout contenu répréhensible trouvé. Une fois que les utilisateurs soupçonnent que le contenu qu'ils souhaitent envoyer est analysé, ils peuvent s'autocensurer ou passer à un autre service qui n'analyse pas le contenu.

Un autre point est que l'ajout de l'analyse côté client crée des vulnérabilités que les criminels peuvent exploiter en augmentant la « surface d'attaque ». Les attaquants peuvent manipuler la base de données de contenu répréhensible, par exemple, en y ajoutant des empreintes digitales et en recevant des notifications lorsque des correspondances avec ces empreintes digitales se produisent. Cela leur donnerait un moyen de savoir qui, quand et où certains contenus ont été communiqués. En tirant parti des capacités de blocage d'un système, les criminels peuvent même choisir d'empêcher les utilisateurs d'envoyer du contenu spécifique. Cela pourrait viser à avoir un impact sur les utilisations légitimes, ce qui pourrait entraver les communications entre les forces de l'ordre, les interventions d'urgence et le personnel de sécurité nationale.

Un autre défi technique pour ce mécanisme est de maintenir une version à jour de la base de données de référence complète sur chaque appareil si des comparaisons sont effectuées sur l'appareil de l'utilisateur. Cela inclut les restrictions potentielles sur le processus d'ajout ou de suppression du contenu des empreintes digitales de la base de données, la bande passante réseau nécessaire pour transmettre les versions mises à jour de la base de données et la capacité de stockage et de traitement des appareils nécessaires pour effectuer la comparaison en temps réel. En revanche, si les comparaisons sont effectuées sur un serveur central, l'empreinte du contenu que l'utilisateur essaie d'envoyer sera disponible pour ceux qui contrôlent ce serveur central, avant même qu'il ne soit qualifié de « discutable » aux yeux de Autorités chargées de l'application de la loi. Cela ouvre des problèmes liés à la sécurité et à la confidentialité des utilisateurs, exposant potentiellement les détails de leurs activités à toute personne ayant accès au serveur.

Enfin, une fois mis en œuvre, le mécanisme d'analyse côté client peut être utilisé à d'autres fins, pas seulement pour identifier le matériel pédopornographique, comme dans la justification utilisée par Apple. Par exemple, il peut être utilisé pour collecter des informations à des fins publicitaires, empêcher le partage de contenu légitime ou même bloquer la communication entre les utilisateurs (comme les opposants politiques). Dans ce cas, quiconque contrôle la base de données peut suivre tout contenu d'intérêt, créant des risques pour la sécurité et la confidentialité des utilisateurs.

En général, le scan côté client s'avère être une solution d'efficacité très limitée pour résoudre le problème de diffusion de contenus « douteux », comme le CSAM, qui comporte plusieurs risques d'atteinte à la sécurité et à la vie privée des utilisateurs, y compris la rupture du modèle de confiance. du cryptage E2E.

Maximus