Apple n'a pas l'habitude de jouer les rebelles. D'ordinaire, la firme à la Pomme se conforme sans problème aux décisions de justice, et revendique même son côté "bon élève". Mais pas cette fois.
Mardi 16 février, une juge de l'Etat de Californie a ordonné à Apple d'aider les enquêteurs chargés de l'attaque terroriste de San Bernardino, qui a causé quatorze morts et dix-sept blessés le 2 décembre dernier.
Le FBI réclame l'accès aux informations contenues dans l'iPhone 5c de Syed Rizwan Farook, l'un des deux auteurs de la fusillade, décédé le 2 décembre. Car à cause du système de chiffrement par défaut de l'iOS 8, les autorités se retrouvent dans l'incapacité de récupérer le détail des conversations. La justice californienne a donc exigé d'Apple qu'il fournisse une "assistance technique raisonnable" au FBI, sous la forme d'un logiciel capable d'empêcher la suppression automatique des données au bout de dix tentatives infructueuses pour deviner le mot de passe. Ce qui permettrait au FBI d'essayer toutes les combinaisons possibles.
Mais pour Apple, les autorités franchissent là une ligne rouge. Tim Cook, son PDG, a jugé la demande "sans précédent" et "inacceptable". Le géant californien refuse même catégoriquement de s'y soumettre. Cette prise de position très ferme a déclenché un véritable bras de fer politique et médiatique entre les entreprises technologiques d'une part, et les autorités américaines de l'autre.
Google, Facebook, Twitter et même Edward Snowden ont apporté leur soutien à Apple. De son côté, le FBI a reçu l'appui de la NSA, l'agence nationale de sécurité américaine. Michael Rogers, son patron, a dégainé jeudi un argument de choc, déjà entendu plusieurs fois ces derniers mois. Il a affirmé que les attentats de Paris du 13 novembre dernier "n'auraient pas eu lieu" sans l'utilisation d'outils de communications cryptés par les djihadistes, car le chiffrement leur aurait permis d'échapper aux radars de la surveillance.
Ces arguments soulèvent une question sensible: où placer le curseur entre liberté et sécurité face à la menace terroriste? Mais Apple présente de bons arguments pour refuser son aide aux enquêteurs. Revue de détail.
Raison numéro 1 : cette décision créerait un précédent juridique qui porte atteinte à la protection de la vie privée...
A quoi sert le chiffrement ? Mis en place après le scandale Prism révélé en 2013 par Edward Snowden (la surveillance de masse pratiquée par la NSA dans le monde entier), le chiffrement empêche l'accès aux informations sensibles comme les conversations privées, les photos, les vidéos, les contacts, les mots de passe et les informations de paiement. Il s'agit d'un système de sécurité visant à protéger ces données des cybercriminels, hackers, acteurs de l'espionnage économique et des services secrets étrangers, notamment chinois.
Concrètement, cela signifie que les contenus sont rendus illisibles grâce à l'action d'une "clef", que personne d'autre ne possède à part l'utilisateur. Même pas Apple, qui ne peut donc pas la transmettre aux autorités dans le cadre de leurs enquêtes.
Dans sa lettre ouverte aux clients d'Apple, Tim Cook justifie son refus par le caractère "dangereux" de la demande.
Pourtant, le tribunal se veut rassurant : selon lui, il s'agit uniquement d'accéder à un seul smartphone, celui du terroriste de San Bernardino. Mais Apple, rejoint par les associations de défense des libertés, craint que cette décision historique ouvre une brèche juridique pour demander par la suite -et obtenir- l'accès à du contenu chiffré pour d'autres finalités. Cela représente donc à leurs yeux une attaque majeure contre la liberté d'expression et le droit à la vie privée. Une instrumentalisation de la menace terroriste pour affaiblir les libertés publiques.
... et à la confiance des utilisateurs
Apple -comme Google et Facebook- craint aussi les répercussions économiques. L'affaire Snowden a été dévastatrice pour l'image des géants du Net, dont l'ambition est de connecter l'ensemble de la population mondiale et de récolter toujours plus de données personnelles pour proposer toujours plus de nouveaux services.
Ces acteurs ont donc besoin de la confiance de leurs utilisateurs pour les pousser à utiliser leurs services. D'autant plus que les secteurs d'avenir que sont la e-santé, la voiture autonome, la réalité augmentée ou l'intelligence artificielle, sur lesquels ces entreprises misent beaucoup, seront extrêmement demandeurs en données toujours plus sensibles, qu'il faut impérativement protéger des attaques extérieures.
Raison numéro 2 : ce logiciel, une fois créé, pourrait facilement être utilisé sur n'importe quel autre iPhone
Pour Tim Cook, la demande du FBI porte donc en elle d'éventuelles dérives inacceptables.
"Le gouvernement suggère que cet outil ne pourrait être utilisé qu'une seule fois, sur un seul téléphone. C'est tout simplement faux. Une fois créée, la technologie pourrait être utilisée encore et encore, sur tous les terminaux. Dans le monde physique, cela revient à donner une super-clé capable d'ouvrir des centaines de millions de portes -des restaurants, banques, magasins et maisons. Personne ne trouverait cela acceptable".
De nombreux experts informatiques abondent dans le sens de Tim Cook. Selon eux, donner au FBI des outils de déchiffrement ouvre la porte à toutes les dérives potentielles. Surtout si Apple n'a pas la maîtrise de l'usage futur de ce logiciel, comme l'explique Kevin Bocek, vice-président de la société de cyber-sécurité Venafi:
"La question n'est pas de décrypter un téléphone utilisé par un terroriste. Si le gouvernement est autorisé à entrer dans les téléphones Apple, il contrôle l'accès aux logiciels, à Internet et aux applications. Il en prendra alors le contrôle et le détournera".
Raison numéro 3 : les "portes dérobées" fragilisent l'ensemble du système au bénéfice des cybercriminels
L'autre argument d'Apple, appuyé par la plupart des experts, est d'ordre technique. Pour que le FBI accède au smartphone, Apple doit créer une "porte dérobée", c'est-à-dire ajouter une vulnérabilité à son système.
Or, une vulnérabilité ne profite pas seulement à ceux qui en sont les bénéficiaires autorisés. En témoignent plusieurs affaires récentes, comme celle du virus Stuxnet, en 2011. Il s'agissait d'un malware ajouté à des logiciels à l'aide de certificats valides. Plus récemment, des faiblesses dans les algorithmes du pare-feu Juniper ont permis à des cybercriminels d'introduire des morceaux de code non-autorisés pour créer leur propre "porte dérobée", et donc déchiffrer le trafic de Juniper aux Etats-Unis...
"Si l'Etat peut accéder aux contenus chiffrés par des moyens détournés, alors toute l'infrastructure est vulnérable pour des hackeurs, escrocs et Etats étrangers", expliquait en janvier à La Tribune Tristan Nitot, l'ex-fondateur de la fondation Mozilla Europe et ingénieur chez Cozy Cloud.
C'est précisément pourquoi les Pays-Bas défendent mordicus le chiffrement. Début janvier, le ministre de la Sécurité et de la Justice, Henk Camp, a réaffirmé que cet outil de sécurité est primordial "pour la protection des données des citoyens, des entreprises, du gouvernement et de l'économie toute entière".
C'est aussi la position de la France, qui a rejeté un amendement à la loi numérique d'Axelle Lemaire visant à obliger les constructeurs de matériel informatique (téléphones, ordinateurs) à créer des "portes dérobées" pour les forces de l'ordre.
Raison numéro 4 : le chiffrement est un bouc émissaire facile
Selon le patron de la NSA, Michael Rogers, le chiffrement complique sérieusement la tâche des services de renseignement. Le procureur de Paris, François Molins, a affirmé exactement la même chose l'an dernier dans une interview à L'Express, accusant le chiffrement de "rendre la justice aveugle".
S'il est vrai que Daesh recommande l'utilisation d'outils de communication chiffrés à ses dhijadistes et que les enquêteurs se sont parfois retrouvés dans l'incapacité d'accéder à des informations à cause du chiffrement (huit smartphones de terroristes seraient restés inaccessibles en 2015 selon François Molins), l'affirmation de Michael Rogers selon laquelle le chiffrement serait responsable de la non-détection des attentats de Paris apparaît exagérée.
Tout d'abord, les enquêteurs ont révélé que les terroristes n'utilisaient pas tous le chiffrement, en témoignent les SMS "classiques" qui ont été retrouvés par la suite. De plus, accuser le chiffrement revient à minorer les failles des services de renseignement.
Enfin, un dossier contre un terroriste ne repose quasiment jamais sur les seuls contenus de conversations : il s'agit d'un outil parmi d'autres. Sans compter que les métadonnées, c'est-à-dire les données de connexion qui permettent de savoir qui communique avec qui, quand, où, combien de temps et à quelle fréquence, sont beaucoup plus révélatrices que les contenus. Benjamin Bayart, le président de la Fédération French Data Network, nous expliquait pourquoi en juin dernier:
"Ce que disent les gens n'a pas d'importance. Les données de connexion contiennent plus d'informations que le contenu du message lui-même. Si vous êtes un terroriste, vous n'allez pas dire ou écrire "j'ai déposé la bombe" mais "c'est bon" ou "le plan est en marche". Les mots sont moins pertinents que les métadonnées".
Or, les services de renseignement, à la fois américains et français, ont accès aux métadonnées. De manière générale, les outils légaux mis à la disposition des agents du renseignement se sont considérablement étoffés ces quinze dernières années. En France, la loi Renseignement de juillet 2015, la loi antiterroriste de novembre 2014 et les nombreuses mesures sécuritaires prises depuis les attentats du 13 novembre donnent un arsenal considérable à l'Etat pour lutter contre le terrorisme.
Que va-t-il se passer maintenant ?
Apple a obtenu vendredi 19 février trois jours supplémentaires pour répondre à l'injonction de la cour californienne. La "deadline" court désormais jusqu'au 26 février.
Selon Reuters, Apple a fait appel à deux avocats réputés pour la défense de la liberté d'expression, Ted Olson et Theodore J. Boutrous Jr. Dans son recours, la firme à la Pomme devrait tenter de faire appel au Premier amendement, qui garantit la liberté d'expression. L'affaire pourrait donc aller jusqu'à la Cour suprême si le blocage persiste.
Article publié le 19 février, mis à jour le 22 février à 10h14.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés