Apple et justice américaine : le cloud ne serait-il pas la faille ?

Posted On 02 Mar 2016

Tag: apple, chiffrement, cloud, espionnage, fbi

Apple défraye à nouveau la chronique, suite au jugement rendu mardi 16 février par la Cour fédérale du Riverside en Californie. Le juge américain exige que la multinationale offre « une assistance technique raisonnable » au FBI afin de lui permettre d’accéder au contenu crypté de l’iPhone d’un des auteurs présumés de la fusillade de San Bernadino.

Quelques jours après la tuerie, le FBI avait demandé aux autorités locales de réinitialiser le mot de passe de l’iCloud associé au téléphone. Le compte réinitialisé n’est actif que si l’ancien mot de passe est saisi sur l’iPhone en question. Or, le téléphone litigieux était bloqué, rendant impossible la saisine. Sur l’iPhone les données des applications sont synchronisées avec l’iCloud qui n’est pas chiffré. L’ensemble des données sont donc stockées sur les serveurs d’Apple. Apple prétend avoir proposé au FBI de réaliser une sauvegarde de l’iCloud, le cloud de l’entreprise américaine. Cependant, la manipulation effectuée par le FBI sur ledit téléphone a rendu impossible cette action. Le jugement de mardi dernier vise à donner aux autorités la possibilité de tester autant de combinaison de mots de passe nécessaires pour accéder au contenu du téléphone. En effet, en l’état la saisine de 10 codes PIN erronés conduirait à l’effacement du contenu du portable. L’assistance technique requise s’analyserait donc pour Apple en la fourniture d’une version du logiciel iOS visant à désactiver la sécurité du téléphone.

Tim Cook, successeur de Steve Jobs affirme que « concevoir une version d’iOS qui contourne la sécurité de cette manière créerait sans contestation possible un backdoor » engendrant par la même un certain nombre de dérives. En effet, « dans de mauvaises mains, ce logiciel (…) pourrait débloquer n’importe quel iPhone que quelqu’un aurait physiquement en possession ».

La société conteste ainsi ce jugement considérant que cette requête « menace la sécurité » de ses clients. Depuis l’affaire Snowden qui avait révélé une collecte massive des données par la NSA dépassant le cadre sécuritaire, les sociétés américaines surfant sur cette vague d’indignation ont fait de la sécurité des données un véritable argument marketing. Le présent jugement fait à nouveau craindre une surveillance accrue des citoyens par les autorités, ce qui est considéré pour certains comme liberticide.

Joseph Hall du Centre pour la démocratie et la technologie prétend qu’ « Apple n’a pas les clés », puisqu’elles seraient détenues seulement par les utilisateurs. « Le fait qu’ils contestent le jugement de cette manière (…) fait penser qu’ils » sont capables de déchiffrer les informations cryptées selon Darren Hayes, professeur de criminologie informatique à l’Université Pace. Il est de l’intérêt de la multinationale de maintenir l’ambiguïté sur cette question dès lors qu’affirmer le contraire laisserait sous-entendre qu’elle a la possibilité d’accéder aux téléphones de ses clients, ce qui aurait un impact négatif en termes d’image.

Selon le communiqué de l’AFP, si l’inviolabilité des téléphones rassure les consommateurs, les autorités regrettent qu’elle puisse aider la criminalité. Cette affaire ravive ainsi le débat sur la nécessité d’accéder aux contenus en vue de lutter contre le terrorisme d’une part et de renforcer la sécurité des données, d’autre part. Le cloud est en ligne de mire.

D’un point de vue informatique, le premier suppose l’introduction d’une faille de sécurité dans le programme au moyen notamment des backdoors (ou « portes dérobées »), tandis que le second vise à rendre le logiciel infaillible à toute intrusion tierce. La confrontation entre ces deux mouvements qui sont actuellement en train de se dessiner, est intrinsèque à la contradiction de leurs finalités. Il ne peut y avoir de juste milieu. Elle appelle donc à une prise de position des gouvernants. Jonathan Turley, professeur de droit à l’Université George Washington estime que l’action du juge Sheri Pym dans la présente affaire « est presque de nature législative » dans la mesure où « le Congrès n’a pas ordonné aux fabricants de telles portes dérobées pour accéder aux appareils cryptés ».

En réponse à ce jugement, Tim Cook souhaite renforcer le chiffrement de bout en bout de ses iPhone, afin de maintenir le niveau de protection des données de ses utilisateurs et que le Cloud ne puisse constituer la faille de sécurité qui permettrait d’accéder aux contenus, même en présence d’une menace terroriste.

Cela n’est pas sans faire écho à l’utilisation par Daesh de l’application Telegram qui présente un haut niveau de sécurité. Le fondateur de l’application, Pavel Durov avait eu des propos similaires à ceux de Tim Cook. Il avait créé Telegram en réplique à la prise de contrôle du réseau social VKontakte, équivalent de Facebook en Russie, par les autorités de ce pays.

A noter que ce lundi 29 février, le juge James Orenstein a renvoyé le Département de la Justice dans ses retranchements en refusant la demande du FBI de mettre la main sur les données sauvegardées et chiffrées dans l’iPhone. Le juge a considère que réinterpréter une vieille loi au XXIe siècle n’était pas une bonne idée [Lire]. (avec Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.