Apple et justice américaine : le cloud ne serait-il pas la faille ?

Apple défraye à nouveau la chronique, suite au jugement rendu mardi 16 février par la Cour fédérale du Riverside en Californie. Le juge américain exige que la multinationale offre « une assistance technique raisonnable » au FBI afin de lui permettre d’accéder au contenu crypté de l’iPhone d’un des auteurs présumés de la fusillade de San Bernadino.

Quelques jours après la tuerie, le FBI avait demandé aux autorités locales de réinitialiser le mot de passe de l’iCloud associé au téléphone. Le compte réinitialisé n’est actif que si l’ancien mot de passe est saisi sur l’iPhone en question. Or, le téléphone litigieux était bloqué, rendant impossible la saisine. Sur l’iPhone les données des applications sont synchronisées avec l’iCloud qui n’est pas chiffré. L’ensemble des données sont donc stockées sur les serveurs d’Apple. Apple prétend avoir proposé au FBI de réaliser une sauvegarde de l’iCloud, le cloud de l’entreprise américaine. Cependant, la manipulation effectuée par le FBI sur ledit téléphone a rendu impossible cette action. Le jugement de mardi dernier vise à donner aux autorités la possibilité de tester autant de combinaison de mots de passe nécessaires pour accéder au contenu du téléphone. En effet, en l’état la saisine de 10 codes PIN erronés conduirait à l’effacement du contenu du portable. L’assistance technique requise s’analyserait donc pour Apple en la fourniture d’une version du logiciel iOS visant à désactiver la sécurité du téléphone.

Tim Cook, successeur de Steve Jobs affirme que « concevoir une version d’iOS qui contourne la sécurité de cette manière créerait sans contestation possible un backdoor » engendrant par la même un certain nombre de dérives.  En effet, « dans de mauvaises mains, ce logiciel (…) pourrait débloquer n’importe quel iPhone que quelqu’un aurait physiquement en possession ».

La société conteste ainsi ce jugement considérant que cette requête « menace la sécurité » de ses clients. Depuis l’affaire Snowden qui avait révélé une collecte massive des données par la NSA dépassant le cadre sécuritaire, les sociétés américaines surfant sur cette vague d’indignation ont fait de la sécurité des données un véritable argument marketing. Le présent jugement fait à nouveau craindre une surveillance accrue des citoyens par les autorités, ce qui est considéré pour certains comme liberticide.

Joseph Hall du Centre pour la démocratie et la technologie prétend qu’ « Apple n’a pas les clés », puisqu’elles seraient détenues seulement par les utilisateurs. « Le fait qu’ils contestent le jugement de cette manière (…) fait penser qu’ils » sont capables de déchiffrer les informations cryptées selon Darren Hayes, professeur de criminologie informatique à l’Université Pace. Il est de l’intérêt de la multinationale de maintenir l’ambiguïté sur cette question dès lors qu’affirmer le contraire laisserait sous-entendre qu’elle a la possibilité d’accéder aux téléphones de ses clients, ce qui aurait un impact négatif en termes d’image.

Selon le communiqué de l’AFP, si l’inviolabilité des téléphones rassure les consommateurs, les autorités regrettent qu’elle puisse aider la criminalité. Cette affaire ravive ainsi le débat sur la nécessité d’accéder aux contenus en vue de lutter contre le terrorisme d’une part et de renforcer la sécurité des données, d’autre part. Le cloud est en ligne de mire.

D’un point de vue informatique, le premier suppose l’introduction d’une faille de sécurité dans le programme au moyen notamment des backdoors (ou « portes dérobées »), tandis que le second vise à rendre le logiciel infaillible à toute intrusion tierce. La confrontation entre ces deux mouvements qui sont actuellement en train de se dessiner, est intrinsèque à la contradiction de leurs finalités. Il ne peut y avoir de juste milieu. Elle appelle donc à une prise de position des gouvernants. Jonathan Turley, professeur de droit à l’Université George Washington estime que l’action du juge Sheri Pym dans la présente affaire « est presque de nature législative » dans la mesure où « le Congrès n’a pas ordonné aux fabricants de telles portes dérobées pour accéder aux appareils cryptés ».

En réponse à ce jugement, Tim Cook souhaite renforcer le chiffrement de bout en bout de ses iPhone, afin de maintenir le niveau de protection des données de ses utilisateurs et que le Cloud ne puisse constituer la faille de sécurité qui permettrait d’accéder aux contenus, même en présence d’une menace terroriste.

Cela n’est pas sans faire écho à l’utilisation par Daesh de l’application Telegram qui présente un haut niveau de sécurité. Le fondateur de l’application, Pavel Durov avait eu des propos similaires à ceux de Tim Cook. Il avait créé Telegram en réplique à la prise de contrôle du réseau social VKontakte, équivalent de Facebook en Russie, par les autorités de ce pays.

A noter que ce lundi 29 février, le juge James Orenstein a renvoyé le Département de la Justice dans ses retranchements en refusant la demande du FBI de mettre la main sur les données sauvegardées et chiffrées dans l’iPhone. Le juge a considère que réinterpréter une vieille loi au XXIe siècle n’était pas une bonne idée [Lire]. (avec Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM)