Le Royaume-Uni exigerait d’Apple une porte dérobée dans les sauvegardes chiffrées

Selon le Washington Post, le gouvernement anglais aurait envoyé à Apple un « avis de capacité technique ». Ce type d’ordonnance est rendu possible par la loi IPA (Investigatory Powers Act), entrée en vigueur en 2016. Elle autorise le ministère de l’Intérieur à réclamer d’une entreprise qu’elle laisse passer les agents de sécurité pour récupérer des données, même en cas de chiffrement de bout en bout.

Dans le cas d’un produit Apple (iPhone, iPad, Mac…), la majeure partie des services communiquent avec un chiffrement de bout en bout. Par défaut, la sauvegarde iCloud de la totalité des données d’une personne n’utilise cependant pas de chiffrement. Apple tient ces données à disposition des forces de l’ordre si un mandat dument délivré par un juge est présenté, dans le cadre d’une enquête.

Dans les paramètres iCloud, l’option « Protection avancée des données » permet cependant d’ajouter une défense supplémentaire. Les données issues des sauvegardes, d’iCloud Drive, Notes, Photos, Rappels, Raccourcis, Dictaphone, Cartes ainsi que les signets de Safari deviennent alors chiffrées de bout en bout. La procédure oblige l’utilisateur à créer une méthode de récupération. Apple prévient en outre qu’en cas de perte du moyen de récupération, toutes les données seront perdues, la société ne pouvant plus y accéder.

Il ne faut pas confondre cette protection supplémentaire avec le mode Isolement (Réglages > Confidentialité et sécurité), qui ajoute des barrières supplémentaires pour lutter contre les cyberattaques en réduisant la surface d’attaque.

Aucun « précédent connu dans les principales démocraties »

Selon l’article du Washington Post, c’est donc cette Protection avancée des données que le Royaume-Uni veut contourner. L’avis de capacité de technique imposerait à Apple de percer dans ses propres défenses pour offrir une porte dérobée aux forces de l’ordre. Ces dernières pourraient alors, au cours d’une enquête, accéder à toutes les données, quelles que soient les options de sécurité activées.

Cette ordonnance, « émise le mois dernier, exige une capacité générale de visualiser du matériel entièrement chiffré, et pas seulement une assistance pour craquer un compte spécifique, et n'a pas de précédent connu dans les principales démocraties », indique le Washington Post.

En mars 2024, devant la volonté du Royaume-Uni de renforcer la loi IPA, la société avait envoyé un témoignage au Parlement britannique, dans lequel elle exposait clairement ses positions. « Les pouvoirs actuels de l'IPA sont déjà extrêmement étendus et constituent un risque important pour la disponibilité mondiale de technologies de sécurité d'une importance vitale », déclarait-elle notamment.

Prétentions extraterritoriales

La société californienne mettait surtout trois points en avant. D’une part, le secrétaire d’État a le pouvoir d’exiger le silence de l’entreprise concernée, l’empêchant d’avertir ses clients de la modification demandée. D’autre part, la loi IPA a une portée extraterritoriale, « ce qui permet au gouvernement britannique d'affirmer qu'il peut imposer des exigences secrètes aux fournisseurs situés dans d'autres pays et qui s'appliquent à leurs utilisateurs dans le monde entier ». Enfin, face au renforcement de l’IPA par plusieurs amendements, les sociétés technologiques devraient notifier à l’avance le gouvernement britannique de tout ajout prévu de fonctions de sécurité, qui pourraient alors être bloquées.

Pour Apple, le Royaume-Uni chercherait à s’ériger en « régulateur mondial des technologies de sécurité ». La firme pointe les dangers pour le niveau mondial de sécurité, l’exposition des données personnelles aux piratages et les chocs juridiques avec d’autres pays.

Apple se montrait donc claire sur ses conclusions : jamais elle n’introduira de porte dérobée dans ses produits. Si le Royaume-Uni insiste, la société finira par supprimer la protection avancée des données. Si la société met sa menace à exécution, cela ne répondra toutefois pas aux exigences de la loi IPA, puisque la protection ne pourrait pas être désactivée sur les appareils l’ayant déjà. Et pour cause : Apple n’a pas la main sur le code de récupération.

La porte dérobée, encore elle

La BBC indique de son côté avoir eu confirmation de la manœuvre en cours. La volonté du gouvernement britannique serait, d’après ses sources, de cibler des individus spécifiques présentant un risque pour la sécurité nationale, plutôt que de « passer au peigne fin les données de tout le monde ». Les demandes seraient faites comme d’habitude, avec un mandat délivré par un juge dans le cadre d’une enquête, comme avec les comptes n’ayant pas activé l’option.

La procédure ne pourrait rien cependant contre l’inévitable risque que ferait peser une porte dérobée. Même si son accès était réservé à un très petit nombre, uniquement après avoir montré patte blanche, elle serait tôt ou tard trouvée par des tiers, par accident ou à force de chercher. Les pirates pourraient alors s’en emparer, provoquant un vaste pillage mondial des données sur les comptes Apple.

Colère et inquiétude des ONG

Du côté des ONG, c’est la douche froide. Pour Caroline Wilson Pallow, directrice juridique de Privacy International, c’est « une attaque sans précédent » contre les données personnelles. À la BBC, elle a ajouté : « C'est un combat que le Royaume-Uni n'aurait pas dû choisir. Ce dépassement crée un précédent extrêmement préjudiciable et enhardira les régimes abusifs dans le monde entier ».

Pour S.T.O.P (Surveillance Technology Oversight Project), le Royaume-Uni porte atteinte à la vie privée de ses citoyens, tout en affaiblissant la sécurité mondiale. L’organisation souligne elle aussi l’impossibilité d’avoir une porte dérobée réservée aux forces de l’ordre. « Non seulement cela rendrait d'innombrables utilisateurs plus à risque d'être surveillés par les gouvernements, mais cela ouvrirait la porte à une vaste gamme de menaces de la part des pirates informatiques et des cybercriminels », indique l’ONG.

À la CCIA (Computer & Communications Industry Association), la récente tempête de cybersécurité aux États-Unis, Salt Typhoon, a mis en lumière l’importance du chiffrement de bout en bout, désormais largement mis en avant par la CISA. « Les décisions concernant la vie privée et la sécurité des Américains devraient être prises aux États-Unis, de manière ouverte et transparente, et non par le biais d'ordres secrets émanant de l'étranger et exigeant que les clés soient laissées sous le paillasson », a déclaré Matthew Schruers, président de la CCIA.

Des échos de San Bernardino

Apple ne voudra sans doute rien lâcher dans son opposition au gouvernement britannique. La menace de retirer les fonctions de sécurité avancée n’est probablement pas feinte.

L’histoire rappelle le choc brutal entre l’entreprise et le FBI après la tuerie de San Bernardino, en décembre 2015. Un iPhone 5c avait été retrouvé sur le corps d’un terroriste, après un attentat ayant provoqué 14 morts et 21 blessés par balles. Le FBI, en possession de l’appareil, voulait en récupérer les données. Problème, l’iPhone était verrouillé.

Apple, à l’époque, avait aidé le FBI en fournissant certains outils. Mais la firme ne pouvait pas passer le code de verrouillage car elle ne disposait pas de cette information. Or, ce code est repris par iOS pour façonner la clé de sécurité qui chiffre ensuite les données sur l’appareil. Autre problème, le FBI ne savait pas si le terroriste avait activé l’option entrainant un effacement des données en cas de multiples tentatives ratées sur le code.

Le FBI avait fini par exiger d’Apple qu’elle perce ses propres défenses. Refus catégorique d’Apple, qui arguait que la sécurité des données faisant partie de ses arguments de vente. Ajouter une porte dérobée aurait brisé cette promesse, détériorant la confiance du public et entrainant une chute importante de son chiffre d’affaires.

Le ton est monté pendant plusieurs semaines. Jusqu’à ce que le Bureau dépose officiellement plainte contre l’entreprise, pour la faire plier. Alors qu’une intense bataille juridique se préparait, le FBI a fini par annoncer que l’aide d’Apple n’était plus requise : une faille de sécurité allait permettre la récupération des données. Apple avait réclamé les détails de cette vulnérabilité, en vain à l’époque (on ne sait pas si elle a depuis été corrigée).

Le contexte était à peu près le même cependant. John Miller, alors responsable de l’unité antiterroriste à New York, avait ainsi accusé Apple « d’aider les kidnappeurs, les voleurs et les meurtriers ». Un son de cloche régulièrement entendu au Royaume-Uni et ailleurs au sujet du chiffrement de bout en bout.