Client-side scanning (CSS) : une fausse bonne idée ?
Le déploiement massif d'algorithmes et technologies d'analyse côté client (client-side scanning ou CSS*) sur terminaux permet-il de mieux protéger ?
Non, si l'on en croit des chercheurs en cybersécurité.
L'an dernier, Apple a suspendu son plan de déploiement sur iPhone d'un algorithme (« NeuralHash ») pour détecter du matériel pédopornographique (CSAM) et signaler la présence de ces contenus aux autorités compétentes. La firme de Cupertino (Californie) a reculé face à une opposition forte de membres de son écosystème, clients et partenaires, de défenseurs des droits et de chercheurs en cryptographie.
En revanche, la Commission européenne, à travers sa proposition de règlement concernant la protection des mineurs sur internet dévoilée le 11 mai 2022, a relancé l'idée de backdoors (ou portes dérobées) légales.
Malgré les craintes de professionnels de la cybersécurité et des plateformes.
Casser le chiffrement ?
Dans un document d'étude [PDF] dont The Register s'est fait l'écho, des chercheurs en informatique, sciences de l'information et criminalistique d'universités écossaises indiquent :
« Les CSS peuvent rarement atteindre les objectifs attendus [de détection ciblée], comme on le constate avec les logiciels antivirus », expliquent les auteurs. Par ailleurs, le rapport « coût-bénéfice » est défavorable, selon eux. Aussi, la détection de contenus illicites dans ce contexte ne préserve « ni la confidentialité, ni la sécurité ».
Aussi, en cas de procédure en justice, les CSS peuvent heurter le droit à un procès équitable, le droit au respect de la vie privée et, plus largement, la liberté d'expression, insistent les chercheurs. De surcroît, lorsqu'une porte dérobée est ouverte à des fins d'enquête légale, elle peut aussi être exploitée par des cyber acteurs malveillants.
La proposition risque donc, selon eux, de fragiliser le chiffrement de bout en bout.
*A ne pas confondre avec les « cascading style sheets » (feuilles de style)
**Strathclyde University, Dundee Law School
(crédit photo via Pixabay)
Sur le même thème
Voir tous les articles Cybersécurité