Depuis un an, les gouvernements du monde entier font pression sur Facebook pour qu’il abandonne son projet de chiffrement de bout en bout sur l’ensemble de ses apps, arguant que cette fonctionnalité offre une couverture aux criminels et, surtout, aux prédateurs d’enfants. Aujourd’hui, Facebook déploie de nouveaux outils de détection des abus et d’alerte dans Messenger qui peuvent aider à répondre à ces critiques – sans affaiblir ses protections.
Facebook a annoncé aujourd’hui de nouvelles fonctionnalités pour Messenger qui vous alerteront lorsque des messages semblent provenir d’escrocs financiers ou d’abuseurs potentiels d’enfants, en affichant des avertissements dans l’application Messenger qui fournissent des conseils et vous suggèrent de bloquer les contrevenants. La fonction, que Facebook a commencé à déployer sur Android en mars et qu’il est en train de transposer sur iOS, utilise l’analyse par apprentissage automatique des communications entre les plus d’un milliard d’utilisateurs de Facebook Messenger pour identifier les comportements douteux. Cependant, Facebook précise que la détection ne se fera que sur la base des métadonnées, et non de l’analyse du contenu des messages, afin de ne pas compromettre le cryptage de bout en bout que Messenger offre dans sa fonction Conversations secrètes. Facebook a déclaré qu’il finira par déployer ce cryptage de bout en bout à toutes les conversations par défaut.
« Nous introduisons des avis de sécurité dans Messenger qui apparaîtront dans un chat et fourniront des conseils pour aider les gens à repérer les activités suspectes et à prendre des mesures pour bloquer ou ignorer quelqu’un lorsque quelque chose ne semble pas normal », peut-on lire dans un billet de blog du directeur de la gestion des produits pour la confidentialité et la sécurité de Messenger de Facebook, Jay Sullivan. « Alors que nous passons au chiffrement de bout en bout, nous investissons dans des outils de préservation de la vie privée comme celui-ci pour assurer la sécurité des personnes sans accéder au contenu des messages. »
« Je pense que c’est un bon signe qu’ils expérimentent ici. »
Alex Stamos, ancien responsable de la sécurité de Facebook
Facebook n’a pas révélé beaucoup de détails sur la façon dont ses astuces de détection des abus par apprentissage automatique fonctionneront. Mais un porte-parole de Facebook explique à WIRED que les mécanismes de détection sont basés uniquement sur les métadonnées : qui parle à qui, quand ils envoient des messages, avec quelle fréquence, et d’autres attributs des comptes concernés – essentiellement tout ce qui n’est pas le contenu des communications, auquel les serveurs de Facebook ne peuvent pas accéder lorsque ces messages sont chiffrés. « Nous pouvons obtenir d’assez bons signaux que nous pouvons développer grâce à des modèles d’apprentissage automatique, qui s’amélioreront évidemment avec le temps », a déclaré un porte-parole de Facebook lors d’un appel téléphonique à WIRED. Ils ont refusé de partager plus de détails en partie parce que la société dit qu’elle ne veut pas aider par inadvertance les mauvais acteurs à contourner ses mesures de protection.
Le billet de blog de la société offre l’exemple d’un adulte qui envoie des messages ou des demandes d’amis à un grand nombre de mineurs comme un cas où ses mécanismes de détection comportementale peuvent repérer un abuseur probable. Dans d’autres cas, dit Facebook, il pèsera un manque de connexions entre les graphes sociaux de deux personnes – un signe qu’elles ne se connaissent pas – ou considérera les cas précédents où les utilisateurs ont signalé ou bloqué une personne comme un indice qu’elle prépare quelque chose de louche.
Une capture d’écran de Facebook, par exemple, montre une alerte qui demande si le destinataire du message connaît un escroc potentiel. S’il répond par la négative, l’alerte suggère de bloquer l’expéditeur et propose des conseils pour ne jamais envoyer d’argent à un inconnu. Dans un autre exemple, l’application détecte que quelqu’un utilise un nom et une photo de profil pour se faire passer pour un ami du destinataire. Une alerte montre alors les profils de l’usurpateur et du véritable ami côte à côte, suggérant à l’utilisateur de bloquer le fraudeur.
Facebook a une exception à son affirmation selon laquelle il ne regarde pas le contenu des messages : Le mécanisme de signalement des abus de Messenger comprend depuis longtemps une fonction qui envoie des messages à Facebook lorsqu’un utilisateur les signale. Cela donne à Facebook un autre indice potentiel sur les autres mauvais comportements que cet expéditeur pourrait avoir, mais n’est généralement pas considéré comme une violation du chiffrement de bout en bout puisque le destinataire d’un message chiffré peut toujours choisir de partager la version déchiffrée avec un tiers1.
Pour l’instant, la fonctionnalité des avis de sécurité ne suggérera explicitement que de bloquer ou d’ignorer un abus potentiel. (Les utilisateurs peuvent toujours signaler un comportement abusif avec la méthode habituelle qui consiste à taper sur le nom de l’expéditeur, puis sur « Quelque chose ne va pas », puis à préciser ce qui s’est passé). « Nous voulions donner aux gens une action immédiate, et le blocage est l’action la plus immédiate que quelqu’un peut prendre pour éviter le mal », explique un porte-parole de Facebook. « Le signalement est quelque chose que nous envisageons d’apporter à la fonctionnalité également. »
L’ajout par Facebook Messenger d’alertes d’abus basées uniquement sur les métadonnées est un « bon début », estime Alex Stamos, l’ancien responsable de la sécurité de Facebook. Mais il soutient que l’entreprise pourrait – et devrait – faire plus. Stamos, qui dirige maintenant le Stanford Internet Observatory, a fait valoir que Facebook, Google, Microsoft, Snap et d’autres devraient tous surveiller les signes de mauvais comportement sur les appareils des utilisateurs.
« Je pense qu’ils devraient avoir un regard côté client sur le contenu. Et une fois qu’ils font cela, ils devraient inciter les gens à être en mesure de le signaler », dit Stamos. Cette analyse du contenu sur l’appareil et le signalement permettent à Facebook de trouver les mauvais acteurs plus rapidement que la simple analyse des métadonnées, dit Stamos, tout en maintenant le cryptage de bout en bout.
Stamos note également que si Facebook mettait l’accent sur le signalement plutôt que sur le simple blocage dans ses alertes à, ces rapports pourraient créer des preuves que les forces de l’ordre pourraient utiliser contre les grands criminels. « Vous n’allez pas arrêter quelqu’un parce que vos données montrent qu’il a essayé d’être ‘ami’ avec un groupe d’adolescentes », ajoute Stamos. « Alors que si quelqu’un envoie effectivement une demande de nus à un enfant, c’est probablement illégal dans la plupart des cas. Cela pourrait être utilisé pour obtenir un mandat de perquisition et éventuellement poursuivre la personne en justice. Vous voulez vraiment le contenu des communications, et la meilleure façon de le faire dans le chiffrement de bout en bout est simplement d’encourager le destinataire à signaler la conversation. »
Un porte-parole de Facebook, interrogé sur cette possibilité d’analyse du contenu côté client, dit que la mesure « n’a pas été envisagée et n’est pas nécessaire pour cette fonction de sécurité. »
Facebook, ainsi que beaucoup d’autres entreprises technologiques, a subi une pression croissante de l’administration Trump et du Congrès pour intégrer des mécanismes dans le chiffrement qui permettent aux forces de l’ordre d’accéder aux communications et aux données stockées. En mars, un projet de loi appelé EARN IT Act a été présenté, qui pourrait en pratique interdire le cryptage fort de bout en bout s’il était adopté dans sa forme actuelle. Et cette semaine encore, le procureur général William Barr a critiqué Apple pour ne pas avoir aidé à décrypter une paire d’anciens iPhones appartenant à Mohammed Saeed Alshamrani, lié à Al-Qaïda, qui a tué trois personnes lors d’une fusillade de masse en décembre dernier.
Facebook soutient que ses nouveaux avis de sécurité ne sont pas une réponse à cette pression politique – qu’en fait, ils étaient en préparation depuis même avant que Mark Zuckerberg n’annonce la lente transition de l’entreprise vers un système de messagerie crypté unifié de bout en bout l’année dernière.
Mais Stamos soutient qu’exactement ce genre d’outil est nécessaire pour apaiser les critiques du cryptage – et que davantage peut encore être à la fois nécessaire et possible sans compromettre les garanties fondamentales de confidentialité du cryptage. « Je pense que c’est un bon signe qu’ils expérimentent ici », dit Stamos. « C’est une reconnaissance qu’ils croient avoir la responsabilité de traiter certains des inconvénients, ce qui, je pense, n’est pas seulement moralement juste. C’est un prédicat de la survie du cryptage de bout en bout. »
1Mise à jour le 21/5/2020 à 14h HNE pour préciser comment fonctionne le processus de signalement des conversations cryptées par Facebook.
More Great WIRED Stories
- How a Chinese AI giant made chatting—and surveillance—easy
- The confessions of Marcus Hutchins, the hacker who saved the internet
- We’ll learn to sing together when we’re far apart
- 27 days in Tokyo Bay: Ce qui s’est passé sur le Diamond Princess
- Des conseils et des outils pour couper vos cheveux à la maison
- 👁 L’IA découvre un traitement potentiel du Covid-19. Plus : recevez les dernières nouvelles de l’IA
- 🏃🏽♀️ Vous voulez les meilleurs outils pour être en bonne santé ? Découvrez les choix de notre équipe Gear pour les meilleurs trackers de fitness, les équipements de course (y compris les chaussures et les chaussettes) et les meilleurs écouteurs
.
More Great WIRED Stories
- How a Chinese AI giant made chatting—and surveillance—easy
- The confessions of Marcus Hutchins, the hacker who saved the internet
- We’ll learn to sing together when we’re far apart
- 27 days in Tokyo Bay: What happened on the Diamond Princess
- Tips and tools for cutting your hair at home
- 👁 AI uncovers a potential Covid-19 treatment. Plus: Get the latest AI news
- 🏃🏽♀️ Want the best tools to get healthy? Check out our Gear team’s picks for the best fitness trackers, running gear (including shoes and socks), and best headphones