Le projet d'Apple de numériser les photos iCloud des utilisateurs suscite de nouvelles craintes quant à l'accès aux données mandaté par le gouvernement

Une tempête de feu a éclaté vendredi et a fait rage pendant le week-end contre le nouveau "

Protections étendues pour les enfants

", une série de mesures sur les plates-formes d'Apple visant à lutter contre le matériel pédopornographique (CSAM). Les nouvelles protections concernent trois domaines, notamment les outils de communication pour les parents et les mises à jour de Siri et la recherche pour aider les enfants et les parents à faire face aux situations dangereuses.

[ Apprendre

quelle est la prochaine étape pour le cryptage si l'algorithme RSA est cassé

| Recevez les dernières nouvelles de CSO en

inscription à nos newsletters

. ]

Le point d'éclair pour

cryptographes, spécialistes de la cybersécurité et défenseurs de la vie privée

est l'utilisation prévue par Apple de « nouvelles applications de cryptographie pour aider à limiter la propagation de CSAM en ligne, tout en concevant pour la confidentialité des utilisateurs ». Le plan consiste à numériser les bibliothèques de photos des utilisateurs, puis à appliquer une nouvelle forme de cryptage pour comparer ces photos aux images des bibliothèques CSAM existantes.

Les nouvelles applications de cryptographie dans iOS et iPadOS permettraient à Apple d'analyser l'intégralité des photothèques des utilisateurs à la recherche d'images CSAM connues téléchargées depuis leurs appareils vers iCloud Photos, puis de signaler ces instances au National Center for Missing and Exploited Children (NCMEC). Pomme

dit

, "la technologie de hachage, appelée NeuralHash, analyse une image et la convertit en un numéro unique spécifique à cette image", ce qui permet aux systèmes "d'effectuer une correspondance sur l'appareil à l'aide d'une base de données de hachages d'images CSAM connus fournis par le NCMEC et d'autres enfants- organismes de sécurité."

"C'est une très mauvaise idée", a déclaré le cryptographe principal Matthew Green

tweeté

au début d'un long fil qui a déclenché le tollé désormais généralisé sur le plan d'Apple. Le problème est que ce système pourrait être la pointe de la lance qui fournit essentiellement un cryptage

porte arrière

que les États-Unis et d'autres autorités mondiales ont demandé depuis les années 1990. "Ce genre d'outil peut être une aubaine pour trouver de la pornographie juvénile dans les téléphones des gens, mais imaginez ce qu'il pourrait faire entre les mains d'un gouvernement autoritaire", a tweeté Green.

Au fur et à mesure que les implications de ce que propose Apple sont devenues claires, plus de 4 000 experts en sécurité et confidentialité, cryptographes, chercheurs, professeurs, experts juridiques et clients Apple

signé

Une lettre ouverte contre la technologie d'analyse de contenu envahissante pour la vie privée d'Apple

. Les signataires, dont le lanceur d'alerte de la NSA Edward Snowden, affirment que "la proposition d'Apple introduit une porte dérobée qui menace de saper les protections fondamentales de la vie privée pour tous les utilisateurs de produits Apple".

Le plan d'Apple a également été repoussé par certains dirigeants techniques. Par exemple, le responsable de WhatsApp chez Facebook, Will Cathcart,

tweeté

que "Apple a créé un logiciel qui peut numériser toutes les photos privées sur votre téléphone, même les photos que vous n'avez partagées avec personne. Ce n'est pas de la confidentialité."

Tim Sweeney, PDG d'Epic Games

tweeté

que "J'ai essayé de voir cela du point de vue d'Apple. Mais il s'agit inévitablement d'un logiciel espion gouvernemental installé par Apple sur la base d'une présomption de culpabilité. Bien qu'Apple ait écrit le code, sa fonction est d'analyser les données personnelles et de le signaler à gouvernement."

Les gouvernements du monde entier imposent l'accès aux données

Si Apple finit par installer une porte d'entrée qui permet aux gouvernements autoritaires et démocratiques d'accéder aux données des utilisateurs, Apple accélérerait sans aucun doute une tendance déjà en cours dans le monde, selon un briefing de Black Hat la semaine dernière par Andrea Little Limbago, vice-président, recherche et analyse. , chez Interos.

En elle

parlez

,

Portes d'entrée mandatées par le gouvernement ? : Une évaluation globale de l'accès légalisé du gouvernement aux données,

Limbago a déclaré que ses recherches indiquent que plus de la moitié de la population mondiale vit sous des gouvernements mandatant ou envisageant de mandater l'accès du gouvernement aux données cryptées. Ce qui est encore plus inquiétant, c'est que ces portes d'entrée ne se produisent pas nécessairement en cassant le cryptage, mais en modifiant la politique gouvernementale pour accéder à de vastes réservoirs de données collectées.

Surveillance et infrastructure technologique en hausse

Sur la base de son examen des politiques d'accès aux données dans le monde, Limbago a déclaré avoir découvert que même si "les guerres cryptographiques étaient certainement, et sont toujours, une grande préoccupation dans ce domaine, il existe d'autres types de changements en cours. Nous voyons également l'augmentation de la surveillance et de l'infrastructure technologique, et à son tour avec l'accès de ce gouvernement à ces données. »

La dernière étape de l'évolution de l'accès aux données gouvernementales est « les exigences d'accès aux données simplement flagrantes. Tout cela est généralement sous les auspices des exigences de sécurité nationale. Vous entendrez le même genre de discussions à travers le monde, que ce soit dans des régimes autoritaires ou démocraties, demandant l'accès aux données sur des demandes pour divers types de raisons de sécurité nationale », a déclaré Limbago. « Nous avons une plus grande interférence du gouvernement à travers le monde en ce qui concerne la protection des données et les risques d'accès. »

L'autoritarisme numérique et la démocratie existent sur un spectre

Les autoritaires numériques, comme la Corée du Nord, la Chine et la Russie, sont à ce stade bien étudiés. "Ils essaient de rassembler autant d'informations et de données que possible pour prendre le contrôle de ces données" par le biais de comportements offensants, tels que non seulement des mandats, mais également par la censure, la manipulation et la désinformation, a déclaré Limbago.

De l'autre côté du spectre se trouvent ce que Limbago appelle les démocraties numériques, comme l'Union européenne. Ces gouvernements ont un « Internet ouvert, sécurisé et résilient, se concentrent sur les droits des données individuelles, la protection des données individuelles et aucun accès gouvernemental à ces données, ou très minime ou dans une sorte de garde-corps transparent pour cet accès à l'information. Il y a un très Un livre de jeu solide commence à émerger pour les autoritaires numériques. Ce même type de livre de jeu n'existe pas encore vraiment pour les démocraties numériques. "

De nombreux pays se situent entre ces deux extrêmes, comme l'Équateur. Après que le gouvernement a imposé aux fournisseurs de services de transmettre des données ou même de les décrypter, le pays a adopté une loi sur la protection de la vie privée à la suite d'une violation importante des données. "Nous voyons beaucoup de pays différents se situer dans cette zone intermédiaire, une sorte d'hybride, adoptant certains aspects de l'autoritarisme, certains aspects des démocraties, et s'unissant vraiment pour atteindre leurs propres objectifs de régime et objectifs de gouvernement. "

Les démocraties ne sont pas à l'abri de l'accès obligatoire

L'Australie a adopté une loi sur la cryptographie qui rend obligatoire l'accès au contenu crypté. Un autre gouvernement démocratique, le Royaume-Uni, avec sa Charte du Snooper, a été reconnu coupable de violation des droits à la vie privée par la Cour européenne des droits de l'homme. "Donc, les démocraties ne sont en aucun cas à l'abri de ce genre de tendances [violant la vie privée]", a déclaré Limbago.

La bonne nouvelle est que, sur la base des recherches de Limbago, plus de 100 pays ont promulgué des lois sur la protection des données, et encore plus de pays ont adopté des lois sur la protection des données mais ne les ont pas encore promulguées. Néanmoins, "ce que je vois beaucoup, c'est ce passage de la censure et de la manipulation à l'étape suivante, l'accès obligatoire aux données", a-t-elle déclaré. "C'est une préoccupation. Si la censure et les manipulations fonctionnent, essayons simplement. Allons directement et essayons de saisir ces données par le biais de changements juridiques et réglementaires. De nombreux pays poursuivent certains aspects du modèle autoritaire et certains aspects du modèle démocratique."

Les changements de lois et de politiques se produisent très rapidement, avec de nombreuses variations qui évoluent rapidement à travers le monde. "Tout vient des États-Unis, dont je n'ai pas beaucoup parlé, poussant les entreprises technologiques à remettre le code source à l'Inde, une énorme démocratie tombant vraiment dans ce modèle hybride, avec certaines procédures de protection des données, tout en même temps, exigeant l'accès aux données de diverses sociétés de médias sociaux. Vous avez l'UE, aussi forte que soit le RGPD, vous avez le gouvernement hongrois qui en suspend certains aspects.

Il est trop tôt pour dire quelles tendances deviendront dominantes à mesure que les pays continueront à faire évoluer leurs politiques d'accès aux données obligatoires. « Lequel de ces mouvements [à chaque extrémité du spectre] gagne du terrain. Les accapareurs de données gagnent-ils ou les défenseurs de la protection des données gagnent-ils ? »

Ensuite, lisez ceci

Exercices sur table : six exemples de scénarios

21 meilleurs outils de sécurité gratuits

Sécurisation des pipelines CI/CD : 6 bonnes pratiques

7 principes de la confiance zéro expliqués

Comment pirater 2FA : 5 méthodes d'attaque de base expliquées

Comment vérifier les erreurs de configuration des services de certificats Active Directory

Passez au XDR, il est temps pour l'observabilité, la hiérarchisation et la validation de la sécurité (SOPV)

Comment braquer une banque : une procédure pas à pas d'ingénierie sociale

10 outils de sécurité que tous les employés distants devraient avoir

8 biais qui tueront votre programme de sécurité

Articles populaires