Depuis le début, Cloudflare s'est donné comme priorité de répondre aux incidents impliquant des contenus en ligne d’abus sexuels sur des enfants (contenu CSAM). Les histoires de victimes de CSAM sont tragiques et révèlent un aspect sordide d'Internet. En ce qui concerne le CSAM, notre position est claire : Nous ne le tolérons pas. Nous le reprouvons totalement. C'est un crime, et nous faisons tout notre possible pour soutenir les processus d'identification et de suppression de ce type de contenus.

En 2010, quelques mois après le lancement de Cloudflare, nous nous sommes mis en contact avec le Centre national pour les enfants exploités et disparus (NCMEC) et avons entamé un processus de collaboration pour comprendre notre rôle et comment nous pourrions coopérer avec eux. Au fil des ans, nous avons communiqué régulièrement avec un certain nombre de groupes gouvernementaux et groupes de pression pour déterminer d’une part ce que Cloudflare devrait et pouvait faire pour répondre aux rapports que nous recevons sur ces abus, d’autre part comment nous pouvions fournir les informations dans le cadre des enquêtes sur les sites Web utilisant les services de Cloudflare.

Récemment, 36 entreprises technologiques, dont Cloudflare, ont reçu cette lettre d'un groupe de sénateurs américains demandant plus d'informations sur la façon dont nous traitons le contenu CSAM. Les sénateurs ont fait référence à des articles marquants du New York Times publiés à la fin de septembre et au début de novembre qui indiquaient d’une part le nombre inquiétant d'images d'abus sexuels sur des enfants sur Internet, avec des détails graphiques sur les photos horribles et qui expliquaient d’autre part le nouveau traumatisme subi par des victimes suite à la retransmission de ces images. Ces articles mettaient l'accent sur les lacunes et les difficultés à traduire les contrevenants en justice, ainsi que sur les efforts, ou l'absence d'efforts, de la part de plusieurs entreprises technologiques dont Amazon, Facebook, Google, Microsoft et Dropbox, pour éliminer autant que possible ce contenu à l’aide de processus ou de nouveaux outils comme PhotoDNA qui permettent l'identification proactive de contenu CSAM.

Nous pensons qu'il est important de partager la réponse que nous avons adressée aux Sénateurs (reproduite à la fin de ce billet de blog), de parler publiquement de ce que nous avons fait à cet égard, et d’aborder toute autre action que nous estimons possible d’entreprendre.

Comment Cloudflare réagit au CSAM

Grâce à notre travail avec le NCMEC, nous savons qu'ils font tout ce qu'ils peuvent pour valider la légitimité des rapports CSAM et qu'ils travaillent aussi vite que possible pour faire retirer ce type de contenu d'internet par les opérateurs de sites Web, les animateurs de plate-formes ou les fournisseurs d’hébergement de sites Web. Même si Cloudflare n'est pas en mesure de retirer du contenu d'Internet pour les utilisateurs de nos services de base, nous avons travaillé continuellement au fil des ans pour comprendre comment contribuer au mieux à ces efforts.

Traitement des rapports

Le premier volet de la réponse de Cloudflare au contenu CSAM consiste à transmettre par les voies appropriées tout signalement que nous recevons. Chaque rapport que nous recevons sur le contenu d'un site Web utilisant les services Cloudflare, classé dans la catégorie « pédopornographie » sur notre page de rapport d'abus, mène à trois actions :

  1. Nous transmettons le rapport au NCMEC. En plus du contenu du rapport transmis à Cloudflare, nous fournissons à NCMEC des renseignements permettant d'identifier l'hébergeur du site Web, les coordonnées de ce fournisseur d'hébergement et l'adresse IP d'origine où le contenu en question peut se trouver.
  2. Nous transmettons le rapport à la fois à l'opérateur du site Web et à l’hébergeur afin qu'ils puissent prendre des mesures pour supprimer le contenu, et fournissons l'IP d’origine de l’emplacement où se trouve ce contenu sur le système pour qu'ils puissent localiser rapidement le contenu. (Depuis 2017, nous avons donné aux parties déclarantes la possibilité de déposer une déclaration anonyme si elles préfèrent que leur identité ne soit pas divulguée à l'hôte ou à l'opérateur du site).
  3. Nous fournissons à toute personne effectuant un rapport des informations sur l'identité et les coordonnées de l’hôte dans le cas où ils désirent effectuer eux-mêmes le suivi de leur rapport.

Depuis sa fondation, Cloudflare a envoyé 5 208 rapports au NCMEC. Au cours des trois dernières années, nous avons fourni 1 111 rapports en 2019 (à ce jour), 1 417 en 2018 et 627 en 2017.

Les plaintes déposées dans la catégorie « pédopornographie » représentent environ 0,2 % des plaintes pour abus reçues par Cloudflare. Ces rapports sont traités comme une priorité absolue par notre équipe Trust & Safety et sont placés en tête de la file d'attente des réponses à apporter en cas d'abus. Nous sommes généralement en mesure de réagir en déposant le rapport auprès du NCMEC et en fournissant les renseignements supplémentaires en quelques minutes, quel que soit l'heure ou le jour.

Demandes de renseignements

Le deuxième volet principal de notre réponse au CSAM est le fonctionnement de notre programme Trusted Reporter (Rapporteur de confiance) pour fournir des informations pertinentes permettant de contribuer aux enquêtes menées par près de 60 organisations chargées de la sécurité des enfants dans le monde. Le programme Trusted Reporter a été établi en réponse à notre travail continu avec ces organisations et à leurs demandes de renseignements, aussi bien sur les fournisseurs d’hébergement des sites Web en cause que sur l'adresse IP d'origine des contenus incriminés. Les informations sur les adresses IP d'origine, qui sont généralement des informations critiques de sécurité parce qu'elles pourraient permettre aux pirates informatiques de contourner certaines protections de sécurité pour un site Web, comme les protections DDoS, sont fournies très rapidement à ces organisations par des canaux dédiés.

Comme le NCMEC, ces organisations sont chargées d'enquêter sur les rapports de CSAM sur les sites Web ou sur les fournisseurs d’hébergement qui opèrent hors de leur juridiction locale, et cherchent les ressources nécessaires permettant d’identifier et de contacter ces parties aussi rapidement que possible pour qu’ils retirent le contenu. Parmi les participants au programme Trusted Reporter figurent des groupes comme Internet Watch Foundation (IWF), INHOPE Association, Australian eSafety Commission, et Meldpunt. Au cours des cinq dernières années, nous avons répondu à plus de 13 000 demandes de l'IWF et à plus de 5 000 demandes de Meldpunt. Nous répondons à de telles demandes le jour même, généralement dans un délai de quelques heures. De même, Cloudflare reçoit et répond aux demandes d'informations des forces de l'ordre dans le cadre d'enquêtes liées au CSAM ou à l'exploitation d'un mineur.

Dans ce groupe, le Centre canadien de protection de l'enfance fournit un travail remarquable qui mérite une mention particulière. Le programme Cybertip du Centre gère son projet Arachnid, une nouvelle approche utilisant un moteur de recherche automatisé qui effectue des recherches proactives sur Internet pour identifier les images qui correspondent à un hash CSAM connu, puis alerte les fournisseurs d'hébergement en cas de résultat positif. Sur la base de notre travail continu avec le projet Arachnid, nous avons répondu à plus de 86 000 rapports en fournissant des informations sur le fournisseur d’hébergement et en indiquant l'adresse IP d’origine, qui peut être utilisée pour contacter directement ce fournisseur d’hébergement avec ce rapport et tous les rapports ultérieurs.

Bien que nous traitions généralement ces rapports en quelques heures, des participants à notre programme Trusted Reporter nous ont expliqué que la réaction non instantanée de notre part gênait leurs systèmes. Ils souhaitent pouvoir interroger directement nos systèmes pour obtenir les informations sur le fournisseur d’hébergement et l'IP d'origine, ou mieux, de construire des extensions sur leurs systèmes automatisés qui permettraient interagir avec les données de nos systèmes pour supprimer tout retard. Ceci concerne notamment le personnel du Projet Arachnid du Centre canadien, qui veulent intégrer nos renseignements à leur système automatisé.  Après avoir étudié cette question, nous avons trouvé une solution et nous avons informé certains Trusted Reporters en novembre que nous allions leur fournir une API leur permettant d'obtenir des informations instantanées en réponse à leurs demandes dans le cadre de leurs enquêtes. Nous prévoyons que cette fonctionnalité sera en ligne au cours du premier trimestre 2020.

Suspension des services

Cloudflare prend des mesures appropriées pour mettre un terme à ses services pour les sites qui partagent à l’évidence du contenu CSAM ou lorsque les opérateurs du site Web et le fournisseur d’hébergement ne prennent pas les mesures appropriées pour retirer le contenu CSAM. Dans la plupart des cas, les rapports de CSAM impliquent des images individuelles qui sont postées sur des sites de contenu générés par les utilisateurs et sont rapidement supprimées par les opérateurs de sites Web ou les fournisseur d’hébergement responsables. Dans d'autres circonstances, lorsque les opérateurs ou les fournisseurs d’hébergement ne prennent pas les mesures nécessaires, Cloudflare ne peut pas à lui seul supprimer ou retirer le contenu mais prend des mesures adaptées pour interrompre les services fournies aux sites concernées.  Nous procédons à suivi des rapports du NCMEC ou d'autres organisations lorsqu'ils nous signalent qu'ils ont terminé leur enquête initiale et confirmé la légitimité de la plainte, mais qu'ils n'ont pas été en mesure de faire retirer le contenu de l’opérateur ou du fournisseur d’hébergement du site Web. Nous collaborons également avec Interpol pour identifier et interrompre les services des sites qui n'ont pas pris les mesures nécessaires pour faire face au CSAM.

Compte tenu de ces constatations et de ces interactions, nous avons suspendu nos services pour 5 428 domaines au cours des 8 dernières années.

De plus, Cloudflare a introduit de nouveaux produits, dont Cloudflare Stream et Cloudflare Workers, où nous servons effectivement d'hôte de contenu, et sommes en mesure de retirer du contenu d'Internet.  Bien que l’usage de ces produits soit encore limité à ce jour, nous prévoyons que leur utilisation augmentera considérablement au cours des prochaines années. Par conséquent, nous effectuerons des scans des contenus que nous hébergeons pour les utilisateurs de ces produits en utilisant PhotoDNA (ou des outils similaires) qui font usage d’une liste de hash d'images de NCMEC. En cas de signalement, nous supprimons immédiatement le contenu incriminé. Nous travaillons actuellement sur cette fonctionnalité, et nous pensons qu'elle sera en place au cours du premier semestre de 2020.

Collaboration à une approche organisée pour faire face au CSAM

L'approche de Cloudflare pour traiter le CSAM s'inscrit dans un contexte juridique et politique complet. Le Congrès, les forces de l'ordre et les groupes de protection de l'enfance collaborent depuis longtemps sur la meilleure façon de lutter contre l'exploitation des enfants. Reconnaissant l'importance de lutter contre la propagation en ligne du CSAM, le NCMEC a d'abord créé la CyberTipline en 1998, afin de fournir un système de signalement centralisé permettant aux membres du public et aux fournisseurs en ligne de signaler l'exploitation des enfants en ligne.

En 2006, le Congrès a mené une enquête d'une année et a ensuite adopté un certain nombre de lois visant à lutter contre les violences sexuels exercées sur les enfants. Ces lois ont tenté de jauger les intérêts en jeu et de coordonner les réponses des différentes parties. L'équilibre politique que le Congrès a établi sur la façon d'aborder le CSAM sur Internet comportait un certain nombre d'éléments pour les fournisseurs de services en ligne.

Tout d'abord, le Congrès a officialisé le rôle du NCMEC en tant que centre de documentation pour les rapports et les enquêtes, par le biais de la CyberTipline La loi ajoute une obligation pour les fournisseurs de services en ligne de signaler à NCMEC tout rapport de CSAM et prévoit des amendes en cas de non-respect de cette obligation. La loi précise que pour préserver la vie privée, le législateur ne crée pas l'obligation de surveiller le contenu ou d’effectuer une recherche ou un filtrage positif du contenu pour identifier d'éventuels rapports.

Deuxièmement, le Congrès a répondu aux nombreux récits d'enfants victimes qui ont souligné le traumatisme continu causé par la diffusion des images correspondant aux violences qu’ils avaient subies. Comme le décrit le MEC, « non seulement ces images et vidéos mettent en évidence l'exploitation et les violences subies par les victimes, mais lorsque ces fichiers sont partagés sur Internet, les enfants victimes subissent un nouveau traumatisme chaque fois que l'image des abus sexuels qu’ils ont subis est visionnée », même à des fins d'enquête légitimes. Pour répondre à cette préoccupation, la loi demande aux fournisseurs de réduire au minimum le nombre d'employés ayant accès à toute représentation visuelle d'abus sexuels sur des enfants.

Enfin, pour s'assurer que les organismes de protection de l'enfance et de maintien de l'ordre disposent des dossiers nécessaires pour mener une enquête, la loi impose aux fournisseurs de conserver pendant une période de 90 jours non seulement le rapport envoyé au NCMEC, mais aussi « les représentations visuelles, les données ou tout autre fichier numérique qui sont raisonnablement accessibles et qui peuvent fournir un contexte ou apporter des renseignements supplémentaires sur le matériel ou la personne signalés ».

Puisque les services de Cloudflare sont si largement utilisés (par plus de 20 millions de propriétés Internet, et sur la base des données de W3Techs, par plus de 10 % des 10 millions de sites Web les plus importants au monde) nous avons travaillé dur pour comprendre ces principes stratégiques afin de répondre de manière appropriée dans une très grande majorité de cas Les processus décrits dans ce post ont été conçus pour réaffirmer que nous nous conformons à ces principes, de la manière la plus complète et la plus rapide qui soit, et que nous prenons toutes les mesures nécessaires pour soutenir les objectifs sous-jacents du système.

Conclusion

Nous savons pertinemment que notre travail dans ce domaine est loin d’être terminé. Nous continuerons de collaborer avec les groupes qui se consacrent à la lutte contre ces crimes abjects et leur fournirons des outils pour leur permettre d'obtenir plus rapidement les informations permettant de démanteler les contenus CSAM et de rechercher les criminels qui les créent et les distribuent.

Cloudflare's Senate Res... by Cloudflare on Scribd