Provenance de contenu public pour les organisations (ITSP.10.005)

1. Inspiration de la confiance pour le contenu numérique : importance de la provenance de contenu

Dans le monde numérique actuel, l’information retrouvée sur Internet n’est pas toujours considérée comme une source fiable. Le nombre grandissant d’informations offertes et le rythme accéléré du contenu généré, en particulier au moyen de l’intelligence artificielle (IA), font en sorte qu’Internet est devenu un véritable champ de bataille pour les cyberactivités d’interférence et de malveillance.

Dans ce contexte, les organisations ont de plus en plus de difficultés à s’assurer de l’authenticité et de l’intégrité de leur information. C’est pourquoi elles doivent repenser comment établir et maintenir la confiance de leurs visiteuses et visiteurs. Comme souligné dans les documents du NCSC Impact of AI on cyber threat from now to 2027 (en anglais seulement) et du Centre pour la cybersécurité Cybermenaces contre le processus démocratique du Canada : Mise à jour de 2025, les capacités de l’IA continuent de profiter aux cybercriminels. Les États-nations commencent à intégrer des technologies alimentées par l’IA à leurs capacités. Les organisations auront de la sorte besoin d’outils pour améliorer leur résilience et leur sécurité afin de protéger l’intégrité de leurs données et de leur information. La pierre angulaire de ces efforts consiste à bien établir la provenance de leur contenu numérique.

La provenance fait référence au lieu d’origine. Dans le monde physique, ce concept implique la vérification de l’authenticité des artefacts. Mais celui-ci est également pertinent dans le monde virtuel. De nombreuses organisations utilisent déjà des systèmes de versionnage et de journalisation pour la provenance des documents internes. Mais ces systèmes peuvent également servir à l’extérieur des organisations. Afin d’inspirer une meilleure confiance auprès de clientèle externe, les organisations doivent ainsi améliorer leur traitement de la provenance publique de leur information.

2. Défi de la confiance numérique dans un environnement informationnel complexe

L’environnement informationnel d’aujourd’hui comporte une variété de formes de communication, allant des médias traditionnels et des médias sociaux jusqu’aux conversations téléphoniques, sans oublier les affiches rencontrées dans la rue. Il est de la sorte facile d’accéder rapidement à une grande quantité d’information chaque jour. Il existe différents processus au sein de cet environnement qui permettent de recueillir et d’organiser les données et les métadonnées dans le but de répondre aux besoins de différents groupes, comme les chercheuses et chercheurs d’information, les diffuseurs et les publicistes. De plus, les plateformes de médias sociaux favorisent une rediffusion à grande échelle, sans oublier l’option d’ajouter des commentaires.

Bien que l’environnement informationnel bénéficie du contenu généré par les créatrices et créateurs et les consommatrices et consommateurs, cela présente également certains défis. Tout au long de son cycle de vie, un élément de contenu original peut être collecté, réorganisé, résumé, agrégé, remis en forme, republié et modifié. Les modifications peuvent être délibérées, mais pas nécessairement. De plus, elles peuvent être réalisées sans l’intention de tromper, mais pas toujours. En outre, les modifications sont parfois difficiles à détecter, car, l’information persiste rarement sous sa forme originale. Cela signifie que nous ne pouvons pas nous assurer que ce qui était visé par le contenu sera conservé. Ou pire encore que l’intention n’a pas été déformée.

Pour les praticiens de la sécurité, la protection de l’information dans ce type d’environnement représente un défi de taille. Traditionnellement, les praticiens devaient se concentrer sur la protection de la confidentialité, de l’intégrité et de la disponibilité des données numériques directement sous la responsabilité de l’organisation. Cependant, maintenant, ils doivent également protéger l’information accessible au public, même si cela est quelque peu hors de leur contrôle. Pour tenter de répondre à ce défi, les organisations peuvent favoriser la confiance du public grâce à des mécanismes de vérification de source et d’historique du contenu.

Figure 1 : Communication de l’information de l’organisation dans un environnement informationnel

Figure 1 - Description détaillée suit immédiatement
Description détaillée – Figure 1 : Communication de l’information de l’organisation dans un environnement informationnel

Pour communiquer avec le public, les organisations partagent de l’information dans leur environnement informationnel. Cet environnement est composé de toutes les formes de communication entre l’organisation et les visiteuses et visiteurs. Cela comprend les médias sociaux, le contenu de sites d’agrégation et de services de recherche Web, les médias traditionnels, comme la radio et la télévision, etc. D’autres parties peuvent contribuer aux communications en ajoutant leur propre contenu sous la forme de commentaires, de filtrage de contenu sélectif et autres ajouts. De la sorte, le message global reçu ou consulté par le public peut ne pas correspondre à ce que la partie initiale souhaitait. Il se peut même que le message soit inexact.

2.1 Provenance de contenu numérique

Le terme de provenance est défini comme étant « le lieu d’origine », ce qui sert de guide pour vérifier l’authenticité et la qualité d’un artefact particulier. Ce terme est traditionnellement utilisé dans le contexte des arts et en histoire. Dans les environnements numériques, ce concept peut être appliqué de différentes façons afin de répondre aux défis particuliers du domaine, comme l’histoire du contenu sur Internet, l’intégrité de la chaîne d’approvisionnement, la gestion des données, la certification logicielle, la gestion des processus scientifiques, le suivi des transactions financières ainsi que la gestion de la chaîne de possession judiciaire. Et chaque application a ses propres exigences.

La présente publication se concentre sur la provenance de contenu public. La provenance de contenu offre de l’information factuelle à propos de l’historique du contenu numérique, sans toutefois faire une évaluation de la valeur ou de la vérité du contenu en tant que tel. Les décisions sur le caractère véridique du contenu sont laissées aux consommateurs, mais de l’information supplémentaire vérifiable est tout de même fournie afin de les aider à effectuer une détermination finale. La provenance de contenu peut présenter différents types d’information vérifiable, y compris, mais sans se limiter à ce qui suit:

  • personne ou entité déclarant quelque chose à propos du contenu;
  • date et heure de la déclaration;
  • image, comparée à la vignette vérifiée;
  • déclarations, comme l’emplacement, l’appareil ou les modifications réalisées par un logiciel;
  • énoncé concernant le travail qui est une création originale ou générée par l’IA;
  • affectation des droits appartenant aux autres personnes (par exemple, licences Creative Commons ou autres licences de droit d’auteur).

En établissant clairement les faits au sujet de l’historique du contenu numérique public, comme l’origine, l’authenticité et la qualité, les organisations peuvent favoriser une meilleure confiance avec leurs visiteuses et visiteurs, leurs clientes et clients et leurs intervenantes et intervenants.

2.2 Analogie pour la provenance de contenu numérique

Une bonne analogie pour expliquer la provenance est le notariat. De nombreux systèmes juridiques exploitent les principes du notariat pour établir des signatures authentifiées dans le cadre des instances judiciaires. Une ou un notaire est une tierce partie de confiance qui exerce un rôle de témoin d’une façon jugée acceptable pour les exigences juridiques.

Les membres du public qui ont besoin de documents pour des exigences juridiques ont ainsi recours aux services d’une ou d’un notaire, qui pourra confirmer leur identité et s’assurer que la signature est consentante. La ou le notaire attestera par la suite l’authenticité du document, ainsi que la date et l’heure de l’attestation. Une telle attestation fait intervenir une déclaration formelle de l’authenticité du document et de la validité des signatures. Un document notarié est légalement reconnu et peut servir de preuve en cour.

De façon similaire, le propriétaire de contenu numérique peut utiliser un service d’attestation pour vérifier les détails du contenu, comme les données de hachage ou une vignette, et établir des preuves vérifiables, comme l’emplacement, le moment et les détails notariés. Cependant, ces activités sont réalisées par des moyens cryptographiques, plutôt qu’en utilisant des documents papier.

En outre, tout comme les notaires qui conservent un registre de tous les documents notariés, les services d’attestation peuvent consigner les transactions d’attestation dans le cadre de leurs services. La fonction de base des notaires est illustrée à la figure 2 ci-dessous.

Figure 2: Fonction de notaire à titre d’analogie pour la vérification de la provenance publique

Figure 2 - Description détaillée suit immédiatement
Description détaillée − Figure 2 : Fonction de notaire à titre d’analogie pour la vérification de la provenance publique

Fonction de notaire à titre d’analogie pour la vérification de la provenance publique. De nombreuses juridictions exploitent le travail des notaires pour agir à titre de valideur de document tiers à des fins juridiques. Le demandeur soumet ses documents au notaire et indique ses déclarations. La ou le notaire valide les documents ainsi que les déclarations et fournit une attestation officielle à la demandeuse ou au demandeur, comme un timbre ou un document. La ou le notaire consigne les actions réalisées dans un dossier notarié. Le demandeur pourra fournir par la suite le dossier notarié de l’attestation à toute personne souhaitant une vérification. La vérificatrice ou le vérificateur, typiquement la cour, pourra également vérifier auprès du notaire pour vérifier que l’attestation a été réalisée. La vérificatrice ou le vérificateur pourra également consulter une association professionnelle afin de déterminer si la ou le notaire détient un permis d’exercice pour réaliser ses fonctions.

2.3 Comment assurer la confiance du contenu numérique

Pour comprendre pourquoi les organisations doivent tenir compte de la provenance publique, il est utile de considérer le contexte plus vaste de la confiance numérique. Les problèmes de confiance sur Internet ne sont pas nouveaux, et ils font partie intégrante du développement du commerce électronique.

Un objectif important pour les organisations est d’établir la confiance auprès de leurs visiteurs, de leurs clients et de leurs intervenants.

Le rapport 2022 du World Economic Forum décrit les huit dimensions suivantes pour la confiance des technologies numériques. Ces facteurs sont importants pour l’assurance de l’information sur une base plus générale.

  • Cybersécurité : atténuer les risques des utilisations malveillantes ou accidentelles des technologies
  • Sécurité : prévenir les préjudices (par exemple, émotionnels, physiques ou psychologiques) envers les personnes ou les membres de la société découlant d’une technologie ou du traitement des données
  • Transparence : établissement de la visibilité et de la clarté au sujet des utilisations et des opérations numériques
  • Interopérabilité : s’assurer que les systèmes d’information peuvent se connecter et échanger de l’information pour une utilisation mutuelle, sans charges excessives ou restrictions
  • Vérifiabilité : s’assurer que les organisations et les tierces parties sont en mesure de vérifier et de confirmer les activités et les résultats des processus technologiques et de gouvernance, des systèmes ou des utilisations de données
  • Redressement : fournir la possibilité d’un recours aux personnes, aux groupes ou aux entités si celles-ci ont été affectées négativement par des processus technologiques, des systèmes ou des utilisations de données
  • Justice : s’assurer que les technologies et que le traitement des données d’une organisation tient compte de la possibilité d’un effet disparate et tente d’obtenir des résultats justes et équitables pour tous les intervenants, compte tenu des circonstances pertinentes et des attentes
  • Respect de la vie privée : s’assurer que la plupart des personnes ont le contrôle sur la confidentialité de leur information nominative

La plupart des organisations modernes traitent ces huit dimensions à un certain degré. Toutefois, les exigences de confiance numérique doivent s’adapter au fur et à mesure de l’évolution d’Internet. Ces exigences sont également motivées par des changements comportementaux des personnes sur Internet et des percées de l’IA.

2.4 La provenance de contenu numérique pour améliorer la confiance du public dans une organisation

La provenance de contenu numérique peut aider à traiter et à améliorer la confiance envers une organisation, et ce, en exploitant les huit dimensions ci-dessous. Par exemple :

  • Cybersécurité : Aide à vérifier que le contenu provient d’une source légitime et sûre, ce qui réduit le risque de contenu malveillant. Favorise également le maintien de registres inaltérable pour la création de contenu et les modifications afin d’empêcher les altérations non autorisées.
  • Sécurité : Réduit l’impact de l’information inexacte à propos des personnes et des organisations. Un enregistrement de provenance vérifiable peut servir à contredire de l’information inexacte qui se trouve en ligne.
  • Transparence : Établit des métadonnées vérifiables à propos du contenu en tant que tel. Ces métadonnées permettent d’établir un historique des éléments de contenu, y compris le moment de création et les traitements. La disponibilité au public de ces données permet des processus associés au contenu plus transparents.
  • Vérification : Établit un enregistrement de contenu numérique et des moyens pour faire des vérifications. Ces moyens peuvent être utilisés par des programmes d’audit.
  • Justice : Établit un enregistrement formel vérifiable de l’information à propos du contenu. Cela peut comprendre de l’information à propos du créateur, du propriétaire et des droits associés au contenu numérique. L’information vérifiable peut servir pour rendre des décisions lors des contestations à propos des droits et de la validité du contenu.

La provenance de contenu peut fournir au public un moyen de vérifier la précision du contenu créé par une organisation ou à son sujet. Cela permet également d’améliorer la confiance du public envers les organisations.

3. Provenance : Choix des systèmes et des technologies qui conviennent

Le sujet de la provenance de contenu n’est pas entièrement nouveau, mais les percées technologiques, comme l’IA générative, exercent de la pression pour une évolution plus rapide.

Des cadres qui offrent des moyens pour structurer les systèmes de provenance sont encore en cours de mise au point.

Il existe de nombreuses facettes associées au défi de la provenance de contenu. Ainsi, différentes approches sont nécessaires. Il se peut qu’une approche particulière ne permette pas de résoudre entièrement toutes les exigences de provenance de contenu d’une organisation. Certains exemples de défi de provenance actuels incluent l’étiquetage des médias synthétiques, la provenance de la source numérique des médias, la détection des hypertrucages et la provenance de contenu agrégé.

Les organisations devront de la sorte déterminer un cadre qui sera pertinent à leurs besoins. Les aspects importants à considérer lors de la sélection d’un cadre incluent ce qui suit :

Les organisations auront leurs propres exigences pour la provenance de contenu, mais elles doivent être conscientes de l’évolution rapide des exigences et des normes pour les infrastructures de provenance publique. Elles doivent tenir compte des normes utilisées dans leurs propres solutions pour assurer la fonctionnalité de provenance, comme les processus de vérification à grande échelle.

En plus de devoir choisir une solution de provenance permettant de répondre à des objectifs particuliers, une organisation devra sélectionner les technologies à utiliser. Cette décision sera motivée par les objectifs organisationnels ainsi que la disponibilité des solutions technologiques.

3.1 Facteurs à considérer pour choisir un système de provenance

Les systèmes de provenance varient du point de vue de la complexité, des coûts et de l’efficacité. De plus, une organisation devra choisir sa solution en tenant compte de ses propres objectifs. Il est en outre important de savoir que les technologies de provenance numérique sont encore à leur balbutiement et que les exigences organisationnelles évolueront inévitablement. Pour toutes ces raisons, il se peut qu’une organisation choisisse de mettre en œuvre des solutions partielles ou itératives.

La présente section fournit de l’information sur les aspects à considérer lors de la sélection d’une méthode d’établissement de provenance.

3.1.1 Source de confiance

Quelle est la source de confiance pour l’enregistrement de provenance de contenu? Les organisations peuvent utiliser des services internes, mais devront tout de même considérer les façons permettant d’éviter l’impression négative associée à « l’auto-signature » de l’enregistrement de provenance. Ce défi peut être traité grâce à des opératrices et opérateurs ou à des vérificatrices et vérificateurs tiers. Les organisations devront considérer la réputation et la stabilité des organisations tierces servant à l’établissement des enregistrements de provenance.

3.1.2 Durée de vie des enregistrements de provenance

Quelle période temporelle est utilisée pour l’enregistrement de provenance? Au minimum, l’enregistrement doit permettre de retracer le contenu jusqu’à sa date de publication et d’identifier si l’information provient d’un appareil réel ou a été généré par un système alimenté par l’IA. Idéalement, il devrait être possible de retracer la provenance jusqu’au matériel source à l’origine de la création et d’inclure des données de provenance des autres éléments de contenu intégrés, comme les images.

3.1.3 Facilité de la vérification

À quel point est-il simple de vérifier la provenance d’un élément de contenu? Dans la plupart des cas, la vérificatrice ou le vérificateur sera un membre du public en général. Le mécanisme de vérification doit être simple à utiliser et fournir des données compréhensibles et précises au sujet de l’enregistrement de provenance.

3.1.4 Coûts associés aux activités de provenance

Quel est le coût d’un enregistrement de provenance? L’organisation doit être en mesure d’absorber de tels coûts.

3.1.5 Force de la déclaration de provenance

Quelle est la force d’une déclaration de provenance? Est-ce que les faits à propos des déclarations d’identité et de date et heure peuvent résister à un examen? Une validation cryptographique par d’autres parties peut renforcer la déclaration et améliorer la confiance du public concernant l’enregistrement de provenance de contenu.

3.1.6 Durée d’une déclaration de provenance

Quelle est la durée de vie nécessaire d’un enregistrement de provenance? Si l’échelle temporelle correspond à des années ou à des dizaines d’années, alors il sera nécessaire de tenir compte à la fois du stockage du contenu et des mécanismes de vérification.

Haut de la page 

3.1.7 Utilité de la provenance

Comment le mécanisme de provenance permettra-t-il de réduire les erreurs ou la déformation de l’information d’une organisation? Est-ce que les mécanismes aideront le public à prendre des décisions à propos du contenu de l’organisation? D’autres mesures de correction de l’information pourront être plus efficaces pour répondre aux défis d’une organisation particulière.

3.1.8 Exigences de correction

À quel point sera-t-il possible de corriger l’information inexacte? Tous les pays ont établi des mécanismes juridiques pour répondre à certaines déclarations d’information inexactes au sujet des organisations (lois sur la diffamation). Ainsi, la plupart des pays disposent de lois pour traiter les problèmes d’infractions des droits d’auteur et de marque de commerce. Celles-ci, ainsi que d’autres lois, peuvent être utilisées par les organisations afin de corriger les données inexactes à leur sujet.

Dans certains cas, comme pour les droits d’auteur, il existe des exigences très structurées pour déterminer le matériel en infraction et aviser les services hôtes d’effectuer une suppression. Il peut s’agir d’un mécanisme d’étiquetage ou de processus automatisés pour les soumissions et les réponses. Les recours juridiques existants et à venir, ainsi que les processus connexes, devront être considérés, ainsi que les coûts et le temps nécessaire pour l’exploitation des mécanismes de correction.

3.1.9 Respect de la vie privée

Est-ce qu’il sera possible de respecter la vie privée des personnes? L’identification des acteurs est un détail de provenance important, mais il ne sera pas toujours possible d’utiliser cette donnée, car cela peut poser certains risques pour la sécurité, la réputation ou d’autres préoccupations pertinentes pour les personnes qui fournissent du contenu. Dans certains cas, les lois peuvent exiger de masquer l’identité d’une personne.

3.2 Facteurs à considérer pour choisir des technologies de provenance

En plus de devoir choisir une solution de provenance permettant de répondre à des objectifs particuliers, une organisation devra sélectionner les technologies à utiliser. Cette décision sera motivée par les objectifs organisationnels ainsi que la disponibilité des solutions technologiques.

Les technologies pertinentes pour une organisation incluent les suivantes :

  • des mécanismes d’intégrité cryptographiques, comme une identité au moyen d’une infrastructure à clé publique (ICP), des mécanismes de hachage et des données d’horodatage de confiance, qui pourront servir à rattacher ensemble des parties de contenu pour la solution de provenance afin d’assurer la véracité et l’intégrité des enregistrements de provenance;
  • des mécanismes d’authentification pour les appareils, les logiciels et les personnes, ainsi que des ancrages de confiance, qui sont une partie essentielle pour l’établissement de la pertinence d’un enregistrement de provenance;
  • un stockage décentralisé, ce qui peut faciliter la tâche;
    • un moyen d’assurer la continuité du contenu et des enregistrements lorsqu’une organisation est démantelée;
    • un mécanisme pour assurer qu’une partie n’ait pas le contrôle total du contenu numérique ou des registres;
  • des registres inviolables, qui permettront de traiter le défi de la permanence d’enregistrement de provenance en créant des dossiers impossibles à modifier sans un enregistrement de modification et qui seront indépendants du contenu.

Il sera nécessaire également de considérer les parties qui mettront en œuvre ces diverses technologies afin d’optimiser la confiance engendrée. On peut s’attendre à ce que les organisations qui « auto-signent » leurs propres enregistrements de provenance ne constatent pas de réelle amélioration en matière de confiance pour leur contenu.

3.2.2 Identité cryptographique

Les identités cryptographiques font partie de l’ICP. Elles sont liées à une clé cryptographique privée connue seulement de l’entité en question. L’identité peut correspondre à une personne, à une organisation, à une entité machine (comme un appareil ou un service) ou encore à une entité anonyme.

Les identités cryptographiques sont souvent ancrées dans les autorités de certification publiques. Elles peuvent jouer un rôle important pour l’établissement de la provenance de contenu, car elles lient des personnes et des appareils à du contenu, y compris des vérifications pertinentes. Cela peut de la sorte renforcer la fiabilité des mécanismes de provenance.

Haut de la page 

3.2.3 Registres numériques (chaîne de blocs)

La chaîne de blocs est une technologie de registre numérique distribué qui enregistre les transactions d’une manière sécurisée et sans possibilité de violation. Chaque transaction, ou bloc, est associé cryptographiquement au précédent et forme de la sorte une chaîne continue. Cette chaîne de blocs fournit un historique complet et transparent de toutes les transactions. Il est ainsi pratiquement impossible de modifier ou de manipuler le contenu sans être détecté.

Les chaînes de blocs sont souvent mises en œuvre dans un système de fichiers décentralisé, ce qui signifie qu’ils ne sont pas sous la responsabilité d’une personne ou d’une organisation. De plus, elles ne sont pas sujettes à un point de défaillance unique. Les organisations peuvent exploiter les chaînes de blocs ou encore utiliser une mise en œuvre de type privée, en fonction de ses besoins particuliers en matière de provenance.

Le NCSC a publié un guide pour l’utilisation de la technologie de registre distribué (en anglais seulement) afin d’aider à déterminer si un registre distribué est une technologie appropriée, selon différents scénarios.

3.2.4 Archivage Web

L’archivage Web fait référence au processus de collecte et de conservation du contenu numérique du World Wide Web afin que celui-ci reste accessible à l’avenir, même si le contenu a été supprimé d’un site particulier. L’objectif principal de l’archivage Web est de créer un enregistrement permanent du contenu du Web, de saisir les évolutions des sites Web et de tenir compte des changements des renseignements en ligne. Ce processus est très précieux pour la préservation de la provenance de contenu des médias numériques, car il permet de saisir les ressources numériques sous leur forme originale dans leur contexte, d’établir le lien avec la ou le propriétaire et d’examiner les différentes versions du contenu. La Internet Archive Wayback Machine (en anglais seulement) est un exemple général de service d’archivage Web.

L’approche de l’archivage Web peut être étendue à un mécanisme de provenance plus robuste intégrant des signatures cryptographiques et des horodatages. Les données archivées pourront de la sorte servir à vérifier l’authenticité et l’intégrité du contenu numérique et à établir un contexte historique.

3.2.5 Filigrane numérique

Les filigranes numériques ne sont pas un mécanisme de provenance en soi, mais on les mentionne ici, car ils permettent souvent de répondre à certains défis de la confiance numérique. Les filigranes numériques peuvent être ouverts ou encore dissimulés.

Les filigranes ouverts font intervenir un marquage facilement détectable ajouté au contenu, comme des images et des vidéos. Cela correspond souvent à un motif que les utilisateurs peuvent voir. La modification du filigrane mènera à une déformation de l’image ou de la vidéo, qui sera détectable par l’utilisateur final, à moins d’avoir recours à des mécanismes de transformations plus sophistiqués.

Les filigranes dissimulés font également intervenir un marquage, mais celui-ci ne sera pas visible directement dans le contenu. Toutefois, l’image ou la vidéo sera aussi déformée en cas de modification. Cette déformation ne sera pas directement détectable par les utilisateurs, mais les personnes à l’origine de la publication pourront le détecter.

Ainsi, les filigranes ouverts et dissimulés peuvent présenter un moyen pour détecter les tentatives de déformation de contenu numérique. Cependant, il est possible de supprimer de nombreuses formes de filigrane ouvert au moyen des logiciels d’édition moderne. De plus, l’efficacité des filigranes dissimulés est limitée par le petit nombre de parties pouvant détecter les changements. Ces considérations limitent donc l’utilité des filigranes pour répondre aux exigences de confiance du secteur numérique. Toutefois, les filigranes peuvent tout de même ajouter de la valeur dans une mise en œuvre de défense en couches.

3.2.6 La Coalition for Content Provenance and Authenticity

La Coalition for Content Provenance and Authenticity (C2PA) (en anglais seulement) est une organisation du secteur visant à répondre au problème de la prévalence d’information trompeuse au moyen de normes techniques. Il s’agit d’une norme ouverte et bien établie pour documenter et certifier la source et l’historique du contenu des médias.

The CAI (Content Authenticity Initiative) (en anglais seulement), qui fait intervenir des entreprises importantes du secteur des technologies et des médias, est responsable de faire la promotion de la norme C2PA. La norme C2PA est relativement nouvelle, mais néanmoins importante dans le secteur de la provenance. Elle est toutefois encore en cours de développement.

La norme C2PA exploite des méthodes de chiffrement afin d’établir la provenance de contenu multimédia. Elle repose sur un registre qui est stocké dans le cadre du contenu. Le registre peut saisir de l’information à propos des modifications d’un élément de contenu, y compris l’auteur ou l’éditeur, de l’horodatage et de l’emplacement. De plus, il est lié de manière cryptographique au contenu. Plusieurs registres peuvent être stockés dans un magasin de registres afin de tenir compte de l’historique des modifications apportées au contenu. Le magasin de registres est également connu sous le nom de Content Credential (représenté par l’icône constituée des lettres « C » et « R »). La norme exploite en outre des horodatages de confiance et des filigranes.

3.3 Pourquoi les systèmes de provenance privée ne conviennent-ils pas au contenu public?

La plupart des organisations présentent différents systèmes internes pour le versionnage et la journalisation dans le but de faire le suivi des modifications apportées au contenu. Ces systèmes sont privés dans le sens que les systèmes et les mécanismes d’intégrité, comme les autorités de certification ICP, sont souvent internes à l’organisation.

Une infrastructure de provenance privée fonctionne bien pour certaines exigences d’entreprise et juridiques, mais reste largement impraticable pour des exigences de provenance publique. Une des raisons principales est que le mécanisme est entièrement géré par l’organisation et conçu exclusivement pour une utilisation interne et restreinte. De plus, les systèmes de provenance privée misent en grande partie sur la séparation des responsabilités à titre de mécanisme principal pour l’intégrité des documents.

Les systèmes de provenance privée n’ont pas les fonctionnalités nécessaires de visibilité, de transparence et de pertinence pour faire en sorte que leurs capacités de provenance soient utiles pour établir la confiance pour l’information d’une organisation auprès des visiteuses et visiteurs. Pour répondre aux exigences publiques, les organisations devront reconsidérer les mécanismes de provenance pour au moins une partie de leur contenu.