Bonnes pratiques pour réduire l’offre d’images d’abus pédosexuels sur les services en ligne

Les délinquants qui distribuent des images d’abus pédosexuels sur Internet s’appliquent à trouver des services en ligne propices à la conduite de leurs activités malveillantes du fait de leurs caractéristiques de conception.

La recherche et les retours d’information des entreprises de technologie ont permis à l’équipe de Projet Arachnid d’identifier plusieurs bonnes pratiques qui permettront aux fournisseurs de réduire considérablement le risque d’utilisation de leurs services en ligne à des fins de distribution d’images d’abus pédosexuels. Certes, les caractéristiques particulières d’un service en ligne peuvent affecter l’efficacité de certaines pratiques recommandées ici. Mais lorsqu’elles sont déployées en combinaison, ces pratiques s’avèrent généralement très efficaces pour freiner la propagation des images d’abus pédosexuels.

Voici quelques-unes des pratiques recommandées les plus courantes :

Certaines API d’analyse de contenu permettent de prévenir le téléversement d’images d’abus pédosexuels connues. Par exemple, Shield par Projet Arachnid offre une option à coût nul. À la place d’une API d’analyse de contenu, les services à fort volume préféreront utiliser des banques d’empreintes numériques pour analyser le contenu localement. Plusieurs banques d’empreintes numériques d’images d’abus pédosexuels sont mises à disposition, dont la liste d’empreintes numériques de Projet Arachnid et celle de l’Internet Watch Foundation (IWF). Communiquez avec nous pour plus de détails sur la marche à suivre pour avoir accès à la liste d’empreintes numériques de Projet Arachnid.

Pour téléverser des images d’abus pédosexuels, les délinquants utilisent souvent des réseaux d’anonymisation comme Tor pour éviter d’exposer leur véritable adresse IP. Les fournisseurs de services en ligne peuvent utiliser la liste de nœuds de sortie tenue par le Projet Tor pour identifier les utilisateurs qui accèdent à leurs services via le réseau Tor. Il ne leur restera plus qu’à leur barrer l’accès aux fonctions propices aux abus (p. ex. téléversement de fichiers) ou à rejeter systématiquement les requêtes émanant d’utilisateurs du réseau Tor.

Soucieux de ne pas exposer leur véritable adresse IP, les délinquants passent souvent par des réseaux privés virtuels (RPV) ou des serveurs mandataires anonymes pour téléverser des images d’abus pédosexuels. Les fournisseurs de services peuvent recourir à des API et à des bases de données commerciales pour identifier les adresses IP des RPV et des serveurs mandataires anonymes, de manière à les empêcher d’accéder aux fonctions propices aux abus (p. ex. téléversement de fichiers) ou à rejeter systématiquement les requêtes émanant d’utilisateurs du réseau Tor.

Les services en ligne qui permettent à des utilisateurs anonymes et non inscrits de téléverser des fichiers risquent de faciliter malgré eux la distribution d’images d’abus pédosexuels. S’ils sont obligés de s’inscrire et de fournir certains détails, comme leur nom et leur adresse courriel pour téléverser des fichiers, les délinquants seront potentiellement moins enclins à utiliser les services de ce fournisseur pour distribuer des images d’abus pédosexuels. Les fournisseurs qui proposent des services d’automatisation sous la forme d’une API sont invités à prévoir des procédures d’inscription rigoureuses, car l’automatisation augmente le risque de distribution massive d’images d’abus pédosexuels.

Même lorsqu’un fournisseur de services applique la recommandation d’obliger les utilisateurs à s’inscrire et à fournir une adresse courriel valide, les personnes qui téléversent des images d’abus pédosexuels peuvent quand même réussir à s’inscrire sans divulguer leur adresse courriel principale, en utilisant plutôt une adresse courriel temporaire ou jetable. Combinée à d’autres tactiques d’anonymisation, cette méthode peut permettre de distribuer des images d’abus pédosexuels anonymement sur des services en ligne qui obligent les utilisateurs à s’inscrire. Les opérateurs peuvent implanter un mécanisme pour bloquer activement l’inscription d’utilisateurs au moyen d’une adresse courriel jetable ou utiliser les listes mises gratuitement à la disposition du public.

Les tests CAPTCHA servent généralement à empêcher la soumission automatique de formulaires par des scripts ou des robots, mais ils offrent aussi un mécanisme efficace pour prévenir la distribution d’images d’abus pédosexuels.

Pour téléverser des images d’abus pédosexuels sur des services en ligne, les utilisateurs emploieront diverses techniques pour protéger leur anonymat, dont la désactivation du JavaScript dans leur navigateur Web. L’ajout d’un test CAPTCHA généré par JavaScript aux formulaires de téléversement peut avoir un effet dissuasif sur les distributeurs d’images d’abus pédosexuels.

Les fournisseurs de services en ligne qui appliquent la recommandation de détecter proactivement les images d’abus pédosexuels connues (prévention des téléversements) sont invités à procéder périodiquement à des analyses rétroactives. La détection proactive se fait généralement au moment même où les fichiers sont téléversés; les fichiers téléversés avant sa mise en place sont donc exclus de l’analyse. De plus, avec l’enrichissement continu des banques d’empreintes numériques, les images d’abus pédosexuels qui passaient sous le radar finissent parfois par être détectées. L’analyse périodique des fichiers précédemment téléchargés peut donc permettre aux fournisseurs de services de détecter et de supprimer ces images d’abus pédosexuels nouvellement identifiées.

En raison de leurs caractéristiques de conception, certains services en ligne peuvent difficilement vérifier ou contrôler les contenus qu’ils hébergent. Cette situation peut compromettre l’efficacité de certaines bonnes pratiques recommandées ici. Par exemple, de nombreux fournisseurs d’hébergement et de serveurs dédiés virtuels n’ont pas la possibilité d’analyser directement les contenus de leurs clients. Dans ces cas, les fournisseurs de services peuvent quand même faire œuvre utile dans la lutte contre les images d’abus pédosexuels en incorporant les bonnes pratiques précitées dans leurs conditions générales d’utilisation ou leur politique d’utilisation acceptable.