Dans le cadre de ses efforts constants pour enrichir lexprience utilisateur, Apple a rcemment dploy une fonctionnalit danalyse automatique des photos sur ses appareils. Baptise Enhanced Visual Search, cette technologie utilise des algorithmes dintelligence artificielle (IA) pour identifier des points de repre et dautres lments visuels marquants dans les images des utilisateurs. Ce systme repose sur des principes de chiffrement homomorphe, une mthode suppose offrir des garanties en matire de confidentialit. Cependant, le choix dApple dactiver cette fonctionnalit par dfaut, sans consultation pralable des utilisateurs, soulve des questions cruciales sur la frontire entre innovation technologique et respect des droits fondamentaux.
L’anne dernire, Apple a dploy un mcanisme d’identification des points de repre et des lieux d’intrt dans les images stockes dans l’application Photos sur les appareils iOS et macOS de ses clients et l’a activ par dfaut, apparemment sans consentement explicite.
Les clients d’Apple commencent peine s’en rendre compte.
La fonctionnalit, connue sous le nom de Enhanced Visual Search, a t signale il y a quelques jours par le dveloppeur de logiciels Jeff Johnson, qui s’est inquit dans deux articles de l’incapacit d’Apple expliquer cette technologie, qui aurait t introduite avec iOS 18.1 et macOS 15.1 le 28 octobre 2024.
Dans un document de politique dat du 18 novembre 2024 (non index par la Wayback Machine de l’Internet Archive jusqu’au 28 dcembre 2024, date de l’article initial de Johnson), Apple dcrit la fonctionnalit comme suit :
Enhanced Visual Search dans Photos vous permet de rechercher des photos l’aide de repres ou de points d’intrt. Votre appareil compare en priv les lieux figurant sur vos photos un index global qu’Apple gre sur ses serveurs. Nous appliquons le chiffrement homomorphique et la confidentialit diffrentielle, et nous utilisons un relais OHTTP qui masque [votre] adresse IP. Cela empche Apple de prendre connaissance des informations contenues dans vos photos. Vous pouvez dsactiver la recherche visuelle amliore tout moment sur votre appareil iOS ou iPadOS en accdant Rglages > Apps > Photos. Sur Mac, ouvrez Photos et allez dans Rglages > Gnral.
Apple a expliqu la technologie dans un document technique publi le 24 octobre 2024, peu prs l’poque o la recherche visuelle amliore aurait t lance. Un modle local d’apprentissage automatique analyse les photos la recherche d’une rgion d’intrt susceptible de reprsenter un point de repre. Si le modle d’IA trouve une correspondance probable, il calcule un vecteur d’intgration – un tableau de nombres – reprsentant cette partie de l’image.
Le dispositif utilise ensuite le chiffrement homomorphique pour brouiller l’intgration de manire ce qu’elle puisse tre excute par des algorithmes soigneusement conus qui produisent un rsultat galement chiffr. L’objectif est que les donnes chiffres puissent tre envoyes un systme distant pour tre analyses sans que la personne qui exploite ce systme ne connaisse le contenu de ces donnes ; elle a seulement la possibilit d’effectuer des calculs sur ces donnes, dont le rsultat reste chiffr. L’entre et la sortie sont chiffres de bout en bout et ne sont pas dchiffres au cours des oprations mathmatiques, c’est du moins ce qui est prtendu.
Dit plus simplement : vous prenez une photo ; votre Mac ou iPhone dessine localement ce qu’il pense tre un point de repre ou un lieu d’intrt dans l’image ; il chiffre de manire homomorphique une reprsentation de cette partie de l’image d’une manire qui peut tre analyse sans tre dchiffre ; il envoie les donnes chiffres un serveur distant pour effectuer cette analyse, de sorte que le point de repre puisse tre identifi partir d’une grande base de donnes de lieux ; et il reoit nouveau l’emplacement suggr sous une forme chiffre qu’il est le seul pouvoir dchiffrer.
Si tout fonctionne comme prvu et qu’il n’y a pas de canaux latraux ou d’autres fuites, Apple ne peut pas voir ce que contiennent vos photos, ni les donnes de l’image, ni l’tiquette recherche.
Une prouesse technologique
Le recours au chiffrement homomorphe est sans conteste un atout majeur de cette fonctionnalit. Contrairement aux mthodes traditionnelles, cette approche permet de traiter les donnes sans les dchiffrer, garantissant ainsi quaucune information brute ne quitte lappareil de lutilisateur. Apple positionne cette innovation comme un compromis idal entre performance et confidentialit, un point particulirement crucial dans un contexte o la protection des donnes personnelles est devenue une priorit pour les consommateurs et les lgislateurs.
La reconnaissance visuelle avance intgre Enhanced Visual Search peut potentiellement amliorer des usages quotidiens : retrouver des photos de vacances en fonction dun monument spcifique, classer automatiquement des images ou encore enrichir des souvenirs numriques grce des descriptions contextuelles. En dautres termes, il sagit dune rponse une demande latente pour des outils plus intelligents et intuitifs.
Une activation controverse
Mais lefficacit technologique suffit-elle justifier les choix dApple en matire dimplmentation ? En activant cette fonctionnalit par dfaut, lentreprise impose un modle paternaliste qui soulve plusieurs problmatiques. Dabord, elle ne laisse pas aux utilisateurs le temps dvaluer pleinement les implications pratiques de cette technologie. Ensuite, elle contourne implicitement le consentement clair, un principe pourtant central dans la gestion des donnes personnelles.
Certains dtracteurs accusent Apple de prendre des dcisions unilatrales, en sappuyant sur une image de marque largement perue comme respectueuse de la vie prive. Ce comportement soulve une question : labsence de consultation pralable nest-elle pas une forme de contrle dguis, masqu sous des arguments dutilit et de simplicit ?
Le billet de blog d’Apple sur l’apprentissage automatique n’explique pas entirement le fonctionnement de l’Enhanced Visual Search, mais il semble que les mtadonnes ( dfaut d’un meilleur terme) de toutes les photos locales avec des rgions d’intrt identifies par l’apprentissage automatique soient tlcharges sur les serveurs d’Apple avant qu’une recherche ne soit effectue.
C’est logique, car sinon les recherches dans de trs grandes photothques pourraient tre trs lentes.
Ainsi, mme si vous dsactivez la fonction dans les rglages, il sera trop tard pour protger votre photothque actuelle. Les mtadonnes seront dj parties.
Apple rflchit la manire de prserver (thoriquement) la vie prive, mais je ne pense pas que l’entreprise soit la hauteur de ses idaux
Apple affirme que l’utilisation de ce chiffrement homomorphique et de ce que l’on appelle la confidentialit diffrentielle (un moyen de protger la vie prive des personnes dont les donnes apparaissent dans un ensemble de donnes) exclut tout problme potentiel en matire de protection de la vie prive.
Mais le dveloppeur logiciel Michael Tsai rtorque :
Apple fait preuve d’une grande rflexion sur la manire de prserver (thoriquement) la vie prive, mais je ne pense pas que l’entreprise soit la hauteur de ses idaux dans ce domaine. Non seulement il n’y a pas d’option d’adhsion, mais vous ne pouvez pas vous dsengager efficacement si Apple commence tlcharger des mtadonnes sur vos photos avant mme que vous n’utilisiez la fonction de recherche. Et ce, mme si vous avez dj choisi de ne pas tlcharger vos photos sur iCloud. L’expression correspondre en priv est un euphmisme. Il n’existe pas de texte en clair indiquant que l’application tlcharge des informations sur vos photos et prcisant de quelles informations il s’agit. On pourrait penser qu’il s’agit simplement de partager des coordonnes GPS, mais apparemment, c’est en fait le contenu des photos qui est utilis pour la recherche.
Tsai affirme que l’approche d’Apple est encore moins prive que son plan de balayage CSAM abandonn parce qu’elle s’applique aux photos non iCloud et tlcharge des informations sur toutes les photos, pas seulement sur celles dont les hachages neuronaux sont suspects .
Nanmoins, Tsai reconnat l’affirmation d’Apple selon laquelle les donnes traites de cette manire sont chiffres et dissocies du compte et de l’adresse IP de l’utilisateur.
Bien qu’aucune preuve ne contredise ce stade les affirmations d’Apple en matire de protection de la vie prive, l’inquitude de la communaut porte davantage sur la manire dont Apple a dploy cette technologie.
Il est trs frustrant d’apprendre l’existence d’un service deux jours avant le Nouvel An et de constater qu’il a dj t activ sur son tlphone , a dclar Matthew Green, professeur associ d’informatique l’Institut de scurit de l’information Johns Hopkins, aux tats-Unis.
Une tension entre innovation et choix clair
Ce cas illustre un dilemme rcurrent pour les gants de la technologie : comment concilier des innovations rapides et des pratiques solides en matire de choix clair des utilisateurs ? En effet, mme si le chiffrement homomorphe est cens garantir que personne y compris Apple ne peut accder directement aux photos, la mfiance persiste. Dans un monde marqu par des scandales de collecte abusive de donnes, les consommateurs exigent de plus en plus de transparence et de contrle sur leurs informations personnelles.
Apple aurait pu opter pour une stratgie plus respectueuse : informer les utilisateurs avant dactiver cette fonctionnalit, expliquer ses avantages, et, surtout, offrir une option claire de dsactivation ds le dpart. Une telle approche aurait renforc la confiance, tout en vitant de donner limpression dune surveillance non sollicite.
Sources : Apple (1, 2, 3), Jeff Johnson, IEEE, Michael Tsai
Et vous ?
Est-il acceptable quune entreprise active une fonctionnalit affectant les donnes personnelles sans un consentement explicite ?
Comment Apple pourrait-elle mieux communiquer sur de telles innovations pour viter la mfiance des utilisateurs ?
Le chiffrement homomorphe suffit-il garantir la vie prive, ou la perception de contrle personnel est-elle tout aussi importante ?
Ce type danalyse automatise pourrait-il tre dtourn dautres fins, comme la surveillance ou la publicit cible ?
Les utilisateurs ont-ils suffisamment de contrle pour dsactiver cette fonctionnalit ou viter lanalyse de leurs donnes ?
Quels outils ou mcanismes pourraient tre mis en place pour permettre aux utilisateurs de dcider eux-mmes des fonctionnalits quils souhaitent activer ?