Apple Private Cloud Compute : une nouvelle frontière pour la confidentialité de l’IA dans le cloud

 (security.apple.com)
1 points par GN⁺ 2024-06-11 | 1 commentaires | Partager sur WhatsApp
  • Private Cloud Compute (PCC) est un système de traitement IA dans le cloud développé par Apple, conçu selon une architecture centrée sur la confidentialité afin que les données personnelles soient traitées dans un état inaccessible même à Apple
  • Basé sur Apple Silicon et sur un système d’exploitation renforcé, il met en œuvre une architecture de calcul sans état (stateless) dans laquelle les données utilisateur sont supprimées immédiatement après le traitement de la requête et ne subsistent ni dans les logs ni dans les données de débogage
  • En supprimant le shell distant, les outils de débogage et les systèmes de logs généraux, il bloque par conception tout accès administrateur en production ; seul du code approuvé à l’avance peut être exécuté
  • Grâce à la vérification de la chaîne d’approvisionnement matérielle, aux relais OHTTP et à une authentification fondée sur RSA Blind Signature, il garantit une non-ciblabilité (non-targetability) empêchant les attaques visant un utilisateur précis
  • En publiant toutes les images logicielles et les mesures PCC et en fournissant des journaux de transparence ainsi qu’un environnement de recherche virtuel permettant aux chercheurs de les vérifier, Apple assure une transparence vérifiable (verifiable transparency)

Vue d’ensemble de Private Cloud Compute

  • PCC est un système d’IA dans le cloud conçu pour prendre en charge les fonctions avancées d’Apple Intelligence, en rendant possibles des calculs IA à grande échelle avec la protection des données personnelles comme principe de départ
  • Il s’agit de la première tentative d’étendre au cloud le modèle de sécurité et de confidentialité des appareils Apple, avec l’impossibilité pour Apple lui-même d’accéder aux données des utilisateurs
  • Il repose sur du matériel serveur personnalisé basé sur Apple Silicon et sur un système d’exploitation qui recompose les technologies de sécurité d’iOS et de macOS, en s’appuyant notamment sur la signature de code (Code Signing), le sandboxing et la Secure Enclave

Les limites de l’IA cloud traditionnelle

  • L’IA cloud classique nécessite l’accès à des données utilisateur non chiffrées, ce qui rend impossible le chiffrement de bout en bout
  • Elle présente des problèmes tels que la difficulté à vérifier la sécurité et la confidentialité, les accès privilégiés des administrateurs en exploitation et le manque de transparence logicielle
  • Pour dépasser ces limites, PCC adopte comme principe central de conception des garanties de sécurité applicables techniquement (enforceable guarantees)

Exigences clés de conception

  • Traitement des données sans état : les données utilisateur sont supprimées immédiatement après le traitement de la requête et ne restent ni dans les logs ni dans les données de débogage
  • Applicabilité technique : sans dépendre de composants externes, les garanties de sécurité doivent pouvoir être entièrement vérifiées à l’intérieur du système
  • Interdiction des accès privilégiés en exploitation : même en cas d’incident, les administrateurs ou ingénieurs ne peuvent pas accéder aux données utilisateur
  • Non-ciblabilité (non-targetability) : le système est conçu pour rendre impossibles les attaques ciblant un utilisateur particulier
  • Transparence vérifiable : les chercheurs doivent pouvoir comparer et vérifier le logiciel réellement exécuté en production avec les images publiées

Structure des nœuds PCC

  • Un matériel serveur personnalisé basé sur Apple Silicon constitue la base de confiance, en intégrant les technologies Secure Boot et Secure Enclave de l’iPhone
  • Le système d’exploitation est une version réduite et renforcée du cœur d’iOS et de macOS, optimisée pour des workloads d’inférence LLM
  • Il utilise une stack de machine learning fondée sur Swift on Server pour exécuter dans le cloud l’Apple Foundation Model

Calcul sans état et garanties de sécurité

  • L’appareil de l’utilisateur chiffre la requête avec la clé publique d’un nœud PCC avant de l’envoyer ; les composants intermédiaires ne peuvent pas la déchiffrer
  • Secure Boot et Code Signing garantissent que seul du code approuvé peut être exécuté, avec blocage de l’injection de code JIT
  • La Secure Enclave protège les clés de déchiffrement et la randomisation des clés de chiffrement au redémarrage empêche toute persistance résiduelle des données
  • Les Pointer Authentication Codes, le sandboxing et les mécanismes de sûreté mémoire réduisent au minimum la surface d’attaque

Blocage des accès privilégiés

  • Le shell distant, les outils de débogage et le mode développeur sont entièrement supprimés
  • Le système n’intègre pas de logs généraux ; seuls des journaux d’audit structurés prédéfinis peuvent être transmis vers l’extérieur
  • Cette conception établit une architecture où toute fuite de données utilisateur est impossible, même en exploitation

Non-ciblabilité (Non-targetability)

  • Pour empêcher un attaquant de viser un utilisateur précis, PCC applique une vérification de la chaîne d’approvisionnement matérielle et une diffusion des requêtes (target diffusion)
    • Lors de la fabrication, des inspections d’images haute résolution et des scellés, ainsi qu’une vérification par des observateurs tiers, sont mis en œuvre
    • Les métadonnées des requêtes n’incluent pas d’informations d’identification personnelle et l’authentification repose sur RSA Blind Signature
    • Les relais OHTTP permettent d’anonymiser l’adresse IP
  • Le load balancer est conçu pour ne pas connaître les informations utilisateur, afin d’empêcher tout routage biaisé vers un nœud spécifique

Transparence vérifiable (Verifiable Transparency)

  • Toutes les images logicielles et les mesures des builds PCC en production sont publiées
  • Les mesures de code enregistrées dans les journaux de transparence peuvent être vérifiées par tous
  • Des outils pour les chercheurs et un environnement de recherche virtuel (PCC Virtual Research Environment) sont fournis
  • Une partie du code source critique pour la sécurité est publiée, et les bootloaders sepOS et iBoot sont fournis en clair
  • Le programme Apple Security Bounty récompense les signalements de vulnérabilités

Suite des plans

  • PCC est présenté comme une nouvelle référence pour l’architecture de sécurité de l’IA dans le cloud
  • Après la publication d’une version bêta, une analyse technique approfondie et un élargissement de la participation des chercheurs en sécurité sont prévus
  • Avec PCC, Apple vise à établir une infrastructure d’IA centrée sur la confidentialité des utilisateurs

À lire aussi

1 commentaires

 
GN⁺ 2024-06-11
Avis Hacker News

  • Avis du cryptographe Matt Green : L’avis de Matt Green mérite d’être consulté. Un lien vers le tweet est fourni.

  • Problème d’accessibilité des tweets : Certains se demandent si Matt est conscient qu’on ne peut pas lire le tweet sans compte X. Suggestion d’utiliser BlueSky ou Masto.

  • Problème de confiance envers Apple : Apple peut à tout moment introduire une porte dérobée via une mise à jour, et un gouvernement peut l’y contraindre. En l’absence de transparence, le discours sur la confiance s’en trouve affaibli.

  • Problèmes de confidentialité aux États-Unis : Aux États-Unis, le gouvernement peut contraindre Apple à divulguer des données et peut aussi lui interdire de le révéler. C’est une limite qu’Apple ne peut pas résoudre.

  • Amélioration pour les chercheurs : Pour la première fois sur la plateforme Apple, le firmware sepOS et le bootloader iBoot sont fournis en clair, ce qui permet aux chercheurs d’étudier plus facilement des composants importants.

  • Un écart de 90 jours : Il peut y avoir jusqu’à 90 jours d’écart entre la publication d’un logiciel vulnérable et sa découverte. On espère que les images réelles seront disponibles le plus vite possible.

  • Pour qui est-ce fait ? : Certains se demandent à qui s’adresse cette fonctionnalité. Personnellement, ils préféreraient désactiver la fonction « calls home ». Ils ne veulent pas dire qu’Apple est l’option la plus sûre.

  • Utilisation de Swift côté serveur : Il est intéressant qu’un nouveau stack de machine learning ait été construit avec Swift côté serveur. Un lien vers la documentation Swift server est fourni.

  • Garanties de sécurité auditables : Un optimisme prudent existe quant à la capacité d’Apple à fournir des garanties de sécurité auditables. Si l’OS cloud était proposé en open source, cela aurait énormément de valeur.

  • Possibilité de contournement : Si Apple change d’avis, l’entreprise peut renvoyer des clés à de faux nœuds PCC et contourner ainsi toutes les protections. Il est aussi possible qu’elle le fasse pour certains utilisateurs en particulier.

  • Accessibilité réseau du cloud privé : Il manque des informations sur la capacité du cloud privé à accéder à des réseaux externes. Si l’absence d’accès réseau n’est pas garantie, alors la promesse que la requête reste dans le cloud perd tout son sens.

  • Une direction positive : Même sans y envoyer de données sensibles, certains saluent fortement l’effort d’Apple et la direction prise par rapport à la tendance actuelle du secteur.