OPINION. Apple se retrouve confronté à un dilemme de taille après avoir été contraint de désactiver sa fonction de chiffrement avancé sur iCloud en Grande-Bretagne. Cette décision fait suite à une loi controversée, l'Investigatory Powers Act, qui permet au gouvernement britannique d'accéder aux données sans contrôle judiciaire. Ce revirement marque une remise en question du modèle de sécurité inviolable prôné par Apple. Par Charles Cuvelliez et Jean-Jacques Quisquater (*)
Un chiffrement de bout en bout des communications ou des données avec la clé de chiffrement uniquement connue des destinataires a toujours été présenté comme la solution inviolable. Apple a constamment mis en avant cette sécurité, en expliquant ne pouvoir répondre à aucune demande d'autorités gouvernementales d'entrer dans un iPhone saisi à un criminel ou un terroriste.
C'est sa marque de fabrique qui marche très bien au niveau marketing
Apple vient pourtant de porter un sérieux coup de canif à sa posture, contrainte et forcée et par un gouvernement européen de surcroit et pas n'importe lequel puisque c'est le meilleur allié des USA : la Grande-Bretagne.
Avec son offre d'hébergement sur le cloud iCloud, il était possible d'activer gratuitement une protection dite ADP (Advanced Data Protection). Les données sur iCloud sont alors chiffrées avec des clés qui ne se trouvent que sur les appareils terminaux des propriétaires de ces machines et de l'espace iCloud associé. Sont couverts par cette protection : les backups sur iCloud, les photos, les notes, bookmarks Safari, les mémos et les données associées aux apps installées.
Le gouvernent britannique a pourtant réussi à forcer Appel à désactiver cette option en Grande-Bretagne sur base d'une loi de 2016 : Investigatory Powers Act (IPA), activable pour avoir accès à des données sans intervention d'un juge. Le gouvernement britannique aurait demandé à Apple d'installer une porte dérobée (backdoor) qui permet tout de même d'accéder aux données mêmes chiffrées par l'utilisateur et que par l'utilisateur (...en théorie).
Or Apple ne différencie pas ses produits et services selon le pays. Une telle backdoor aurait été offerte au gouvernement britannique et, tôt ou tard, aux hackers du monde entier qui auraient bien fini par découvrir un moyen d'y accéder. Apple a donc décidé de tout simplement ne plus offrir ce service ADP aux utilisateurs britanniques. Pas de backdoor, mais open bar à la place. Les données iCloud sont toujours chiffrées dans les centres de données de Apple, mais Apple possède les clés de chiffrement.
Newsletter
Ma Tribune
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
« Élégant ? »
Élégant pour ne pas manger son chapeau, mais au prix d'une réduction globale de sécurité pour tous les Britanniques. Mais ceux qui ont déjà activé ce service restent protégés : on ne peut forcer l'utilisateur à déchiffrer ses données une fois chiffrées par lui seul. Que faire aussi des voyageurs qui arrivent à Londres avec un iCloud et ce service ADP activé : les terroristes et criminels internationaux sont protégés ! Pas les locaux !
On a donc affaire à une variante du Cloud Act américain : ce dernier permet aux autorités américaines d'accéder aux données dans le cloud, même en dehors des États-Unis, d'utilisateurs de Azure ou Amazon, peu importe leur nationalité
Ici, c'est une sorte de version allégée du Cloud Act qui ne vise que les résidents sur le territoire, mais qui n'en reste pas moins préoccupant.
Un sénateur et un membre du Congrès américain l'ont d'ailleurs bien compris avec une lettre au FBI pour plus d'information qui menace de mettre fin au partenariat privilégié US-UK pour le renseignement. Ils sont d'autant plus furieux que, apprend-on, la Grande-Bretagne pouvait bénéficier du Cloud Act américain. Il suffit de demander. La réponse du FBI apporte d'ailleurs des clarifications : la Grande-Bretagne ne peut tout de même pas demander des informations sur les citoyens et résidents américains.
Cela semble élégant de Apple de ne pas ouvrir de backdoor, mais sa position reste intenable : il suffirait donc qu'un autre pays copie la Grande-Bretagne dans sa législation. Ils seraient nombreux à être tentés !
Il n'y a pas que iCloud qui offre du chiffrement bout-à-bout avec la clé de chiffrement accessible uniquement au propriétaire des données. Pensons à la sauvegarde de WhatsApp (sensible !), à Signal et à de nombreuses applications.
Ceux qui ont déjà activé ADP sont l'inconnue. Seuls ceux qui veulent l'activer maintenant ne le peuvent plus, mais comment Apple pourra-t-il forcer des utilisateurs à déchiffrer leurs données pour les beaux yeux du gouvernement britannique ? Apple les détruira-t-elle sinon ? Et après iCloud, quel autre service sera concerné par l'IPA ?
______
(*) Charles Cuvelliez, École Polytechnique de Bruxelles, Université de Bruxelles et Jean-Jacques Quisquater, École Polytechnique de Louvain, Université de Louvain
