iPhone (dé)verrouillé : la pression retombe, mais les questions restent

Selon le Washington Post, le FBI aurait utilisé au moins une faille 0-day pour déverrouiller l’iPhone récupéré dans le cadre de l’enquête sur la fusillade de San Bernardino. Des hackers se seraient spontanément présentés à l’agence pour offrir leur aide contre rémunération.

L’histoire de cet iPhone 5c aura décidément fait couler bien de l’encre. Il a été retrouvé sur le corps de Syed Farook, après la fusillade dont il était l’auteur principal (avec sa femme) à San Bernardino le 2 décembre dernier. Le 4 décembre, cette attaque meurtrière (11 morts et 35 blessés) était revendiquée par Daech, faisant prendre à l’affaire une tournure terroriste.

Le FBI, en charge de l’enquête, a tenté pendant un temps de récupérer les données coincées dans l’iPhone. Peine perdue : chiffrées, elles ne pouvaient être extraites à moins de posséder le code de verrouillage à quatre chiffres. Ce dernier participe à la création de la clé de chiffrement, faisant dire à Apple, dont l’aide était réclamée, qu’il n’y avait aucune solution. Agacement du FBI, ordonnance par le tribunal de Riverside, opposition d’Apple et finalement débat national sur le chiffrement.

Il s’agissait bien entendu de ce que voulait le FBI, dont les pouvoirs d’investigation sont en partie entravés par le chiffrement. Ces données inaccessibles constituent d’autant plus des réserves précieuses d’informations ; c'est du moins ce qu'a estimé l'agence avant d'y avoir accès. Fin mars, retournement de situation : l’agence renonçait à forcer Apple à aider les enquêteurs, puisqu’une autre solution s’était présentée.

La danse des chapeaux gris

Cette solution alternative est un mystère. Beaucoup ont estimé qu’il s’agissait de Cellebrite, une société israélienne qui avait aidé le FBI à de nombreuses reprises les années précédentes. Certains médias le tenaient même pour acquis. Apple cherchait également à savoir ce qui avait été fait, et ce pour une raison simple : si les données ont pu être extraites, c’est qu’il existait mécaniquement au moins une faille de sécurité dont la firme n’était pas au courant. En d’autres termes, une faille 0-day, exploitable aussi bien par les enquêteurs que par les pirates qui mettraient la main dessus.

D’après le Washington Post, Cellebrite n’est pas impliquée dans cette trouvaille. Selon des sources qui ne sont évidemment pas révélées, des hackers se seraient spontanément présentés au FBI avec une procédure parfaitement fonctionnelle. Selon le journal, au moins une personne du groupe est un « gray hat » (chapeau gris), à savoir une personne vendant les failles trouvées au plus offrant, qui peut être un gouvernement ou une société de sécurité. On se rappelle d’ailleurs de la prime d’un million de dollars offerte par Zerodium en novembre dernier pour une faille iOS dont les détails n’ont jamais été communiqués à Apple.

Une faille de sécurité inconnue dans la nature

Seulement voilà, si le FBI est bien en possession d’une méthode fonctionnelle, il n’a aucune obligation de la révéler à l’entreprise dont le produit est touché. C’est ce que nous expliquions il y a deux jours : la Maison Blanche dispose d’un processus particulier pour mesurer le rapport risques/bénéfices pour chaque faille. Si le gouvernement (et donc le FBI) choisit de ne rien révéler, la société ne peut rien faire. Apple a d’ailleurs annoncé qu’elle ne cherchait plus à savoir.

Le problème central pour la firme est qu’au moins une faille de sécurité exploitable se balade dans la nature. Beaucoup s’attendent à ce que l’entreprise annonce en juin lors de la WWDC des mesures supplémentaires de sécurité pour ne plus se retrouver dans ce type d’affaire (ce qui reste à prouver). Elle était en tout cas dubitative devant les propos de James Comey, directeur du FBI, qui avait indiqué que la méthode ne fonctionnait que sur les iPhone 5c munis d’iOS 9 (et non 8 comme précédemment indiqué), qui ne représentent qu’une petite part du parc des smartphones d’Apple.

Un contenu apparemment sans valeur

En attendant, l’autre grande question est bien entendu le fameux contenu de cet iPhone. Si l’on en croit CBS News, qui cite là encore des sources secrètes, les données extraites n’auraient rien révélé de probant. De nombreux observateurs ont eu tôt fait d’indiquer que toute cette affaire n’aura finalement abouti qu’à un « tout ça pour ça ». Seulement, il était impossible de savoir que ces données n’avaient aucune valeur tant qu’elles n’avaient pas été extraites.

Le FBI ne s’est jamais lancé dans une guerre ouverte contre Apple en indiquant que ces informations étaient nécessairement cruciales. Dans le cadre d’une enquête terroriste, il était en effet naturel d’envisager qu’un smartphone puisse contenir des renseignements sur ce qui avait poussé Syed Farook et sa femme à commettre de tels actes. Malheureusement, si les informations obtenues par CBS sont exactes, elles confirmeraient ce qui était pressenti.

Il faut en effet se rappeler les tout premiers éléments de l’enquête. Le FBI avait indiqué très tôt qu’en dépit de la revendication de la fusillade par Daech, rien ne laissant supposer que l’attaque avait été commanditée. En fait, la revendication elle-même avait tous les airs d’une « récupération » par Daech. On savait cependant que Farook était en contact avec le groupe terroriste, ce qui laissait espérer d’éventuels échanges avec des contacts, qui auraient alors pu mettre les enquêteurs sur des pistes.

Une affaire qui ne peut pas être un cas isolé

Mais derrière cette affaire, qui se termine sur un étrange statu quo, se dessine en filigrane le grand débat de la place du chiffrement dans l’informatique grand public. La question de savoir où placer précisément le curseur entre sécurité et respect de la vie n’a actuellement aucune réponse claire. Certaines, notamment à la NSA, reconnaissent que le chiffrement est une arme puissante pour la sécurité de tous, mais il ralentit, voire bloque certaines enquêtes.

Si le FBI est monté au créneau armé d’une ordonnance fondée sur une loi assez généraliste (All Writs Act), c’est probablement parce qu’il espérait donner un grand coup de pied dans la fourmilière. Rappelons que la loi CALEA II, qui devait donner aux forces américaines de l’ordre le pouvoir de réclamer des aides précises des entreprises de l’information, avait été écartée au Congrès. Apple accusait d’ailleurs le FBI d’essayer d’obtenir par les tribunaux ce que le peuple américain, via ses représentants, lui avait expressément refusé. Un juge de New York avait d’ailleurs donné raison à la société dans une autre affaire impliquant un iPhone.

Car le problème de fond reste entier. Si cet affrontement avec la Silicon Valley (qui avait fait bloc derrière Apple) peut être considéré désormais comme clos, il ressurgira à la première occasion venue dans une autre enquête. Les arguments mis en jeu seront exactement les mêmes. Barack Obama avait appelé de ses vœux une solution technique rapide qui empêcherait les politiques de prendre des décisions trop radicales. Mais tant que l’appareil législatif n’aura pas statué précisément sur ce qui peut être fait ou non, le risque de voir réapparaître d’autres affaires du même acabit est total.