iOS 15.2 La mise à jour de sécurité iMessage d’Apple est un changement majeur pour la confidentialité de l’iPhone
La prochaine mise à jour iOS 15.2 d’Apple semble être la mise à jour iPhone la plus radicale de ces dernières années. Non pas parce qu’il inclut de nouvelles fonctionnalités ou services exceptionnels, mais parce que, malgré d’innombrables avertissements, il inclut un choquant changement de cap pour Apple et plus d’un milliard d’utilisateurs d’iPhone.
Vous vous souviendrez du controverse autour de l’analyse côté client proposée par Apple qui a marqué la préparation de son lancement de l’iPhone 13 et de l’iOS 15. Apple a fait marche arrière et la controverse s’est estompée, bien qu’Apple ait promis de réfléchir à l’avalanche de commentaires qu’il avait reçus et de revenir, déclarant son intention de continuer malgré tout.
Et donc, nous y sommes.
Pommes plans de sécurité pour les enfants comprenait deux mises à jour distinctes. Tout d’abord, pour analyser les bibliothèques de photos des utilisateurs sur leurs iPhones avant de les synchroniser avec iCloud, en utilisant l’IA pour faire correspondre les images des utilisateurs aux listes de surveillance accréditées par le gouvernement, en signalant et en signalant le matériel d’abus sexuel d’enfants. Et deuxièmement, pour permettre aux parents d’activer Apples AI sur les iPhones de leurs enfants pour avertir lorsque des images nues ou sexuellement explicites sont envoyées ou reçues sur iMessage.
Les deux propositions ont suscité de graves avertissements sur les implications en matière de confidentialité et de sécurité. La numérisation sur l’appareil (côté client) de votre photothèque rompt un engagement dangereux, bien que non écrit, selon lequel votre téléphone lui-même n’est pas surveillé de la même manière que votre stockage en nuage pourrait le faire. Mais il n’y a pas de véritable controverse autour de l’analyse du stockage de photos dans le cloud à la recherche de contenu illégal. C’est devenu une pratique courante. Le changement d’iMessage est sans doute beaucoup plus grave, violant pratiquement, sinon techniquement, la sécurité et le caractère sacré sur lesquels iMessage a bâti sa réputation.
Apple a annoncé de manière confuse les deux mises à jour en même temps, comme ils l’ont reconnu. Bien que les deux aient à l’esprit la sécurité des enfants, ce dont nous pouvons tous convenir est un domaine où beaucoup, beaucoup il faut faire plus, il y a de sérieux problèmes avec les deux.
La numérisation de photos côté client ouvre la porte à l’ingérence du gouvernement dans ce qui est signalé et sape la sécurité perçue de ce qui se passe sur votre iPhone reste sur votre iPhone. Les critiques ont rapidement souligné que les gouvernements étrangers et nationaux y verraient une opportunité de rechercher plus que CSAM.
Bien qu’il n’y ait encore aucun signe de l’analyse CSAM, la dernière version bêta du développeur d’OS 15.2 vient d’introduire une version légèrement édulcorée de la mise à jour d’iMessage. Légèrement édulcoré, car le plan initial d’informer les parents des moins de 13 ans qui ont visionné les images signalées a été supprimé.
En l’absence de rapports externes dans cette mise à jour d’iMessage, cela peut sembler peu différent de la catégorisation des photos qui a déjà lieu sur les iPhones utilisant l’IA sur l’appareil. Mais le problème critique est qu’iMessage est crypté de bout en bout, et la mise à jour consiste essentiellement en l’ajout par Apple de la surveillance de l’IA à la plate-forme. Oui, ce cas d’utilisation initial est très limité. Mais l’obstacle technique à une surveillance plus large a été levé. Cela change fondamentalement iMessage et il n’y aura pas de retour en arrière.
Comme l’EFF l’a prévenu, il est impossible de créer un système de numérisation côté client qui ne peut être utilisé que pour les images sexuellement explicites envoyées ou reçues par des enfants… Même un effort bien intentionné pour créer un tel système brisera les promesses clés des messagers. chiffrement lui-même et ouvrir la porte à des abus plus larges.
Le cryptage de bout en bout sécurise le transport du contenu de votre appareil vers un autre endroit dans la messagerie, c’est évidemment l’appareil de quelqu’un d’autre. De manière critique, les deux (ou plusieurs) extrémités se trouvent en dehors du cryptage de bout en bout des messages et toutes les pièces jointes doivent être décryptées pour vous permettre de les lire. C’est pourquoi Apple peut dire que le cryptage de bout en bout reste intact. Mais cette nuance passe à côté de l’essentiel.
La base de données de messagerie sur votre téléphone est protégée par la sécurité de l’appareil, votre mot de passe ou votre accès biométrique. Si j’ai un accès complet à votre téléphone, j’ai accès à son contenu. C’est pourquoi les sauvegardes téléphoniques dans le cloud peuvent compromettre votre sécurité, comme vous l’aurez vu avec la mise à jour de sauvegarde cryptée de WhatsApps ; et c’est pourquoi les attaques sur les plates-formes de messagerie sécurisées se concentrent sur la compromission d’une fin et non de bout en bout.
Même une porte dérobée soigneusement documentée, soigneusement pensée et à portée limitée, prévient l’EFF, est toujours une porte dérobée. Si je peux compromettre une ou les deux extrémités, je n’ai pas besoin de compromettre la couche de transport entre ces extrémités. J’ai ce que je veux. C’est pourquoi Pegasus n’a pas besoin de casser le cryptage de bout en bout pour fonctionner.
Lorsque vous ouvrez un messager crypté, un message ou WhatsApp ou un signal, vous devez vous sentir en sécurité, que vous opérez dans une enclave protégée qui comprend l’application, la couche de transport et l’application de réception de l’autre côté. Dès que l’application inclut une forme de surveillance, aussi bien intentionnée soit-elle, tout change.
Techniquement, le chiffrement de bout en bout a été maintenu, mais le concept d’une plate-forme chiffrée de bout en bout a été cassé. Initialement, ce moteur d’IA recherche des classificateurs étroits. Mais que se passe-t-il lorsque les gouvernements jouent au jeu des lois locales qui a déjà compromis l’App Store et iCloud pour les utilisateurs chinois d’iPhone ?
Soyons très clairs, nous avons besoin de meilleures mesures sur les réseaux sociaux et les plateformes de communication pour protéger les enfants. Fonctions de reporting, tels que WhatsApps, permet au contenu d’être signalé par un destinataire, puis extrait les messages de la plate-forme sécurisée pour les envoyer aux réviseurs. Rien ne se passe automatiquement. Une action utilisateur spécifique déclenche la compromission de la sécurité, ce qui n’est pas différent de la capture d’écran. La solution Apples est automatisée et fonctionne sans aucune intervention directe de l’utilisateur.
Il s’agit d’un domaine exceptionnellement sensible, mais comme Jake Moorea, ancien expert en criminalistique numérique de la police, le dit cette semaine à STC, mon inquiétude est de savoir où cela s’arrête. Cela commence par cela, qui obtient des points de brownie parce que c’est une bonne chose. Qui ne voudrait pas s’occuper de nos enfants ? Mais ensuite, cela continue dans d’autres voies qui peuvent devenir assez dangereuses… Où cela s’arrête-t-il, tout pourrait mal tourner.
Cette mise à jour est contenue dans la version bêta d’Apple iOS 15.2, mais il n’y a aucune confirmation quant à la date de sortie ou si cette fonctionnalité parviendra à cette version finale. Cela ne devrait pas. Pas jusqu’à ce qu’il y ait eu plus de débat sur la porte qui s’ouvre et où elle pourrait mener. Ce n’est pas une pente glissante, prévient l’EFF. C’est un système entièrement construit qui n’attend que la pression extérieure pour faire le moindre changement.
Après le contrecoup, Apple a assuré qu’il s’en tiendrait à ses plans, en intégrant les commentaires. Il n’y a toujours pas de nouvelles sur l’analyse côté client CSAM sur les iPhones par rapport aux bibliothèques de photos iCloud. Mais en supposant que cela soit également en préparation, il y a eu d’autres mauvaises nouvelles pour Apple cette semaine, avec des chercheurs de l’une des principales universités du Royaume-Uni. affirmant leur nouvelle technologie pourrait battre une comparaison avec Apple CSAM AI 99% du temps.
L’équipe de l’Imperial College de Londres a découvert qu’en attaquant une signature de hachage perceptuelle d’images sur un appareil, elle pouvait usurper la correspondance côté client. En utilisant des technologies de détection similaires aux systèmes proposés par Apple, les chercheurs ont déclaré que leurs images masquées par filtre visuellement imperceptibles étaient différentes de l’algorithme 99,9% du temps, bien qu’elles aient l’air identiques à l’œil humain.
J’ai demandé à l’équipe si elle s’attendait à vaincre la solution éventuelle d’Apple. L’algorithme d’Apple n’est pas public, m’ont-ils dit, nous n’avons donc pas été en mesure de vérifier leurs affirmations… Cette recherche montre que ce que le hachage perceptuel vise à atteindre est une tâche difficile avec des compromis difficiles. Aucun des cinq algorithmes (y compris les PDQ de Facebook) que nous avons testés n’était robuste pour [our] attaque… Il est probable que les technologies actuelles utilisées pour le cloud scanning (comme PhotoDNA) soient relativement faciles à vaincre.
Le filtre Impériaux n’est pas rendu public. Mais les plans d’Apple, la publicité, la défense, le contrecoup et le retour en arrière a mettre une énorme quantité d’informations techniques dans le domaine public, couvrant le fonctionnement des systèmes de sécurité et où ils sont vulnérables.
Il n’y a aucun mot d’Apple sur ce qui se passera ensuite avec ses plans de numérisation de photos côté client, mais espérons que cette dernière recherche, s’ajoutant à ce qui a déjà été fait, poussera l’entreprise à s’en tenir à la numérisation dans le cloud, bien qu’avec une certaine confidentialité à la Apple. améliorations. Il n’y a pas vraiment de controverse sur cette approche.
Le message principal de cette recherche, m’a dit Imperial, est que les allégations de robustesse et de compromis doivent être évaluées et non prises pour argent comptant, en particulier pour les solutions invasives telles que l’analyse côté client. Un avertissement qui est tout aussi valable pour iMessage.
En attendant, nous pouvons nous concentrer sur ce que ce changement d’iMessage signifie à plus long terme, car l’une des plus grandes plateformes de messagerie sécurisée au monde devient la première à surveiller le contenu de cette manière. Nous attendons des arguments expliquant pourquoi cela devrait être limité aux images sexuellement explicites. Qu’en est-il de l’imagerie terroriste pour lutter contre la radicalisation ? Qu’en est-il de la drogue ou de l’automutilation ? Cela ne justifie-t-il pas la même chose avec cette nouvelle technologie en place ?
Le tweak pour supprimer la notification parent est important. Mais le fait qu’il était cela signifie qu’il peut facilement être remis en place.Apple sera probablement soumis à des pressions pour le faire. Nous voyons la même chose dans les rapports CSAM actuels de Facebook et en quoi cela diffère de WhatsApp. Alors que Facebook et Messenger peuvent surveiller le contenu, WhatsApp ne le peut pas et s’appuie plutôt sur les métadonnées. La défense de WhatsApp est qu’il techniquement ne peut pas surveiller le contenu. Si WhatsApp ajoutait des classificateurs d’IA comme le prévoit actuellement iMessage, cela changerait.
iMessage, Signal, WhatsApp et d’autres n’ont actuellement aucune visibilité sur ce qui est envoyé sur leurs plateformes. Dès que cela changera, une question très valable se posera : si votre technologie sait qu’un enfant envoie ou reçoit des images explicites, comment pouvez-vous ignorer vos obligations de signalement ? Et cela ouvrira la porte à des modifications des lois pour imposer un tel signalement lorsqu’une plate-forme a identifié des abus potentiels.
Quel que soit le nom d’Apple, selon l’EFF, ce n’est plus une messagerie sécurisée… Son compromis sur le cryptage de bout en bout est une volte-face choquante pour les utilisateurs qui se sont appuyés sur le leadership de l’entreprise en matière de confidentialité et de sécurité.
.