Hier, rédaction indépendante ProPublica publié un article détaillé examinant les revendications de confidentialité de la populaire plate-forme de messagerie WhatsApp. Le service propose un « chiffrement de bout en bout », que la plupart des utilisateurs interprètent comme signifiant que Facebook, propriétaire de WhatsApp depuis 2014, ne peut ni lire les messages lui-même ni les transmettre aux forces de l’ordre.
Cette affirmation est contredite par le simple fait que Facebook emploie environ 1 000 modérateurs WhatsApp dont tout le travail consiste, vous l’aurez deviné, à examiner les messages WhatsApp qui ont été signalés comme « incorrects ».
Cryptage de bout en bout, mais qu’est-ce qu’une « fin » ?
La faille dans le cryptage de bout en bout de WhatsApp est simple : destinataire de n’importe quel message WhatsApp peut le signaler. Une fois signalé, le message est copié sur l’appareil du destinataire et envoyé en tant que message séparé à Facebook pour examen.
Les messages sont généralement signalés et examinés pour les mêmes raisons qu’ils le seraient sur Facebook lui-même, y compris les allégations de fraude, de spam, de pornographie juvénile et d’autres activités illégales. Lorsqu’un destinataire de message signale un message WhatsApp pour examen, ce message est groupé avec les quatre messages précédents les plus récents dans ce fil, puis envoyé au système de révision de WhatsApp en tant que pièces jointes à un ticket.
Bien que rien n’indique que Facebook collecte actuellement les messages des utilisateurs sans pour autant intervention manuelle du destinataire, il est à noter qu’il n’y a aucune raison technique pour qu’il ne puisse pas le faire. La sécurité du cryptage « de bout en bout » dépend des points de terminaison eux-mêmes et, dans le cas d’une application de messagerie mobile, cela inclut l’application et ses utilisateurs.
Une plate-forme de messagerie cryptée « de bout en bout » pourrait choisir, par exemple, d’effectuer une analyse automatisée du contenu basée sur l’IA de tous les messages sur un appareil, puis de les transférer. automatiquement signalé des messages au cloud de la plate-forme pour une action ultérieure. En fin de compte, les utilisateurs axés sur la confidentialité doivent s’appuyer autant sur les politiques et la confiance de la plate-forme que sur les puces technologiques.
Modération du contenu par tout autre nom
Une fois qu’un ticket de révision arrive dans le système de WhatsApp, il est automatiquement introduit dans une file d’attente « réactive » pour que les travailleurs contractuels humains l’évaluent. Les algorithmes d’IA alimentent également le ticket dans des files d’attente « proactives » qui traitent des métadonnées non cryptées, notamment les noms et les images de profil des groupes de l’utilisateur, le numéro de téléphone, les empreintes digitales de l’appareil, les comptes Facebook et Instagram associés, etc.
Les réviseurs humains de WhatsApp traitent les deux types de file d’attente (réactive et proactive) pour les violations de politique signalées et/ou suspectées. Les examinateurs n’ont que trois options pour un ticket : l’ignorer, placer le compte d’utilisateur sur « regarder » ou interdire complètement le compte d’utilisateur. (Selon ProPublica, Facebook utilise l’ensemble limité d’actions comme justification pour dire que les évaluateurs ne « modèrent pas le contenu » sur la plate-forme.)
Bien que les modérateurs de WhatsApp—pardonnez-nous, examinateurs– ont moins d’options que leurs homologues de Facebook ou Instagram, ils font face à des défis similaires et ont des obstacles similaires. Accenture, l’entreprise avec laquelle Facebook passe un contrat de modération et de révision, embauche des travailleurs qui parlent plusieurs langues, mais pas tous langues. Lorsque les messages arrivent dans une langue que les modérateurs ne maîtrisent pas, ils doivent s’appuyer sur les outils de traduction automatique de Facebook.
« Depuis trois ans que je suis là-bas, ça a toujours été horrible », a déclaré un modérateur à ProPublica. L’outil de traduction de Facebook offre peu ou pas de conseils sur l’argot ou le contexte local, ce qui n’est pas surprenant étant donné que l’outil a souvent des difficultés à identifier la langue source. Une entreprise de rasage vendant des rasoirs droits peut être considérée à tort comme une « vente d’armes », tandis qu’un fabricant de soutiens-gorge pourrait être considéré comme une « entreprise à orientation sexuelle ».
Les normes de modération de WhatsApp peuvent être aussi déroutantes que ses outils de traduction automatisée. la tête dans une vidéo est vraie ou fausse.
Sans surprise, certains utilisateurs de WhatsApp utilisent également le système de signalisation lui-même pour attaquer d’autres utilisateurs. Un modérateur a déclaré à ProPublica que « nous avons eu quelques mois où l’IA interdisait les groupes à gauche et à droite » parce que les utilisateurs au Brésil et au Mexique changeaient le nom d’un groupe de messagerie en quelque chose de problématique, puis signalaient le message. « Au pire », a rappelé le modérateur, « nous en recevions probablement des dizaines de milliers. Ils ont trouvé des mots que l’algorithme n’aimait pas. »
Métadonnées non cryptées
Bien que le cryptage « de bout en bout » du contenu des messages de WhatsApp ne puisse être détourné que par l’expéditeur ou les appareils destinataires eux-mêmes, une multitude de métadonnées associées à ces messages sont visibles par Facebook et par les autorités chargées de l’application de la loi ou d’autres que Facebook décide de partager. avec—sans une telle mise en garde.
ProPublica trouvé plus d’une douzaine d’instances du ministère de la Justice à la recherche de métadonnées WhatsApp depuis 2017. Ces demandes sont appelées « commandes de registre de stylos », terminologie datant des demandes de métadonnées de connexion sur les comptes de téléphonie fixe. ProPublica souligne à juste titre qu’il s’agit d’une fraction inconnue du total des demandes au cours de cette période, car bon nombre de ces ordonnances et leurs résultats sont scellés par les tribunaux.
Étant donné que les commandes de stylos et leurs résultats sont souvent scellés, il est également difficile de dire exactement quelles métadonnées l’entreprise a fournies. Facebook qualifie ces données de « Paires de messages potentiels » (PMP) – nomenclature donnée à ProPublica de manière anonyme, ce que nous avons pu confirmer dans l’annonce d’un janvier 2020 cours offert aux employés du ministère brésilien de la justice.
Bien que nous ne sachions pas exactement quelles métadonnées sont présentes dans ces PMP, nous savons qu’elles sont très précieuses pour les forces de l’ordre. Dans une affaire particulièrement médiatisée en 2018, la dénonciatrice et ancienne responsable du département du Trésor, Natalie Edwards, a été reconnue coupable d’avoir divulgué des rapports bancaires confidentiels à BuzzFeed via WhatsApp, qu’elle croyait à tort être « sécurisés ».
L’agent spécial du FBI Emily Eckstut a pu préciser qu’Edwards a échangé « environ 70 messages » avec un journaliste de BuzzFeed « entre 00h33 et 00h54 » le lendemain de la publication de l’article ; les données ont permis d’obtenir une condamnation et une peine de six mois de prison pour complot.
Source link
