Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Portes dérobées : Apple contre-attaque au Royaume-Uni

Errare humanum est, sed lex

Portes dérobées : Apple contre-attaque au Royaume-Uni

Photo de Luke Stackpoole sur Unsplash

Alors que la proposition de loi Narcotrafic a été évidée en France d’un article qui aurait affaibli le principe du chiffrement de bout en bout, le Royaume-Uni réclame à Apple de percer une porte dérobée dans son chiffrement. La demande a conduit Apple à supprimer une fonction optionnelle. Désormais, elle contre-attaque au tribunal.

Le 07 mars à 09h58

Il y aura bientôt un mois, on apprenait que le Royaume-Uni avait demandé à Apple de forer dans ses propres défenses. Pour accélérer certaines enquêtes, les forces de l’ordre pourraient ainsi obtenir des informations protégées jusqu’à présent et par défaut par le chiffrement de bout en bout. Parmi elles, les discussions dans l’application Messages, quand iMessage est utilisé entre deux appareils Apple. Au cœur du dispositif, la loi IPA (Investigatory Powers Act), surnommée « loi des fouineurs ».

Communiquer sans communiquer

L’information était alors au conditionnel. Très peu de temps après cependant, Apple a annoncé que sa Protection avancée des données était supprimée au Royaume-Uni. Une manière pour l’entreprise d’acquiescer ? Pas vraiment, car cette option peu connue est relativement peu utilisée. Elle apporte le chiffrement de bout de bout aux autres services Apple ne l’ayant pas déjà, notamment les sauvegardes iCloud.

Surtout, ce retrait ne répondait pas à la demande du Royaume-Uni : supprimer une fonction optionnelle ne revient pas à percer le chiffrement de bout en bout. On peut supposer qu’il s’agissait à ce moment de commencer à se battre par un avertissement à la population anglaise. Outre-Manche, se rendre dans les paramètres pour activer la Protection avancée des données affiche en effet un message expliquant que la fonction n’est plus disponible dans ce pays. La société ne pouvait expliquer pourquoi : la loi IPA interdit à un prestataire de faire savoir qu’une mesure technique lui a été réclamée.

Parallèlement, Apple a publié le 24 février une note expliquant la situation, sans nommer la loi IPA bien sûr. « Nous sommes profondément déçus que nos clients au Royaume-Uni n'aient plus la possibilité d'activer la protection avancée des données », indiquait l’entreprise. « Comme nous l'avons déjà dit à maintes reprises, nous n'avons jamais construit de porte dérobée ou de clé maîtresse pour l'un de nos produits ou services et nous ne le ferons jamais ».

Devant les tribunaux

Selon le Financial Times, Apple n’a pas seulement supprimé sa Protection avancée des données au Royaume-Uni : elle s’est également rendue dans un tribunal pour s’opposer à la mesure technique. Nos confrères estiment que la procédure est secrète, expliquant pourquoi aucun écho n’était parvenu au public jusqu’à présent. Ce secret serait une conséquence directe de la loi IPA, puisque les mesures techniques ne doivent pas être communiquées.

La société américaine aurait donc fait appel devant l’Investigatory Powers Tribunal, un organe judiciaire indépendant chargé d’examiner les plaintes contre les services de sécurité britanniques. Le Financial Times cite des sources proches du dossier. Ces dernières auraient communiqué sur un autre élément important : c’est la première fois que les pouvoirs conférés par la loi IPA seraient frontalement contestés devant le tribunal spécial.

Même joueur joue encore

Il est probable qu’Apple remporte la partie. Dans ce domaine, l’entreprise a déjà fait ses armes plus d’une fois, dont un affrontement vif avec le FBI dans les mois qui ont suivi l’attentat de San Bernardino. Le Bureau avait exigé d’Apple qu’elle perce dans ses propres défenses pour récupérer les données présentes dans l’iPhone 5c retrouvé sur le corps d’un des terroristes.

Les enquêteurs ne pouvaient plus tenter de codes PIN pour déverrouiller le téléphone, par crainte de l’option entrainant une suppression complète des données en cas d’erreurs répétées. Apple avait fourni des outils, mais refusé d’affaiblir ses défenses (le code PIN est une composante de la clé de chiffrement). Le FBI avait déposé plainte, puis abandonné les poursuites : un prestataire (sans doute Cellebrite) lui avait fourni une faille de sécurité pour contourner les défenses.

Dans le cas du Royaume-Uni, la loi IPA « prétend s'appliquer de manière extraterritoriale, ce qui permet au gouvernement britannique d'affirmer qu'il peut imposer des exigences secrètes aux fournisseurs situés dans d'autres pays et qui s'appliquent à leurs utilisateurs dans le monde entier », déclarait Apple l’année dernière dans un témoignage remis au Parlement britannique en mars 2024. Il était alors question d’augmenter les capacités de cette loi, nombre de ses ajouts ayant été validés depuis.

Une mesure inapplicable ?

La situation est similaire à la France, dont la loi Narcotrafic aurait pu entrainer un affaiblissement du principe de chiffrement de bout en bout. Même si Bruno Retailleau, ministre de l’Intérieur, avait tenté d’expliquer qu’il ne s’agissait pas d’introduire une porte dérobée, la garantie de sécurité s’en retrouvait affaiblie. L’article 8 ter, qui aurait introduit cette obligation pour les prestataires, a finalement été supprimé le soir du 5 mars, à la faveur de plusieurs amendements de suppression adoptés.

La similitude est toutefois forte : si l’article avait été adopté, la France aurait eu la capacité de demander aux entreprises – notamment aux éditeurs de messageries sécurisées – d’instaurer un mécanisme permettant la récupération des conversations lors d’enquêtes. Ce qui revenait à exiger de lourdes modifications auprès de structures américaines.

C’est le cœur du problème. Des entreprises comme Meta et Apple préfèreront sans doute quitter cet ennuyant marché plutôt que d’introduire un affaiblissement qui aurait un impact mondial. Pour que des Anglais ou Français puissent communiquer avec le reste du monde, il faut bien que le protocole soit le même. De plus, la Maison-Blanche s’est montrée très claire sur ses intentions : l’Europe doit cesser d’embêter ses grandes entreprises.

Au Royaume-Uni, on peut constater quoi qu’il en soit un mouvement général contre le chiffrement. Comme remarqué par exemple par l’expert en sécurité Alec Muffett dans un billet de blog, les références au chiffrement disparaissent sur les pages web gouvernementales. Sur le site du NCSC (Centre national de cybersécurité du Royaume-Uni), on ne trouve plus par exemple un document donnant des conseils aux personnes à haut risque. On y trouvait d’ailleurs… la Protection avancée des données d’Apple.

Commentaires (10)

votre avatar
C'est du flan, si ils tenaient vraiment à leur encryption ils l'auraient activé par défaut...
votre avatar
Non parce que les anciens appareils ne le supporte pas par exemple, et ça rend plus compliqué la récupération du compte en cas de perte de l’e-mail et/ou du mdp.
Ils n’ont certainement pas envie de se prendre les appels au support à cause de ça.

Et s’ils pouvaient faire quelque chose pour changer ça, dans ce cas ce serait pas très bout en bout
votre avatar
Ils ont activé par défaut le chiffrement sur les iPhone compatibles il y a longtemps, car ça n'engendrait pas de problématiques techniques. Contrairement aux tél Android qui ne sont pas forcément chiffrés.

Concernant le chiffrement du compte iCloud, comme indiqué par @MinDBreaK, cela nécessite des actions utilisateur :
- définir une clef de secours et l'archiver
- TOUS les périphériques connectés sur le compte Apple doivent être compatibles (donc une version iOS plutôt récente), sinon l'accès ne sera plus possible sur ces périphériques.

Et en cas de perte de la clef de secours, le contenu de tout le compte est perdu vu qu'Apple n'a pas la clef. Je connais pas mal de monde qui seraient très embêtés par une telle situation…

De mon côté, j'ai activé la fonctionnalité en connaissance de cause.
votre avatar
Impossible, le truc empêche de récupérer tes sauvegardes icloud si tu oublies ton mdp, c'est loin d'être anodin !

L'apple-ien de base préféra la simplicité. Pour la sécurité, la pub dit que ça l'est, pas besoin plus !
votre avatar
Il est probable qu’Apple remporte la partie.
Pourquoi ? Il n'y a aucun argument pour soutenir cette affirmation.
votre avatar
C'est sans doute difficile d'attaquer sur le coté anticonstitutionnel de la loi au RU.
(comme Apple l'aurait fait aux USA si le FBI n'avait pas laissé tomber sa requête).

Mais Apple semble attaquer le fait que la loi du RU est extraterritoriale, et donc bafouerait le droit des citoyens US. Un droit que Apple se doit de respecter étant elle-même une société US opérant aux US.
votre avatar
(On est sur un sous-titre type roi Loth, ou sur un vrai sens ?
=> c'est un question rhétorique, je n'irais pas voir la réponse car le sous-titre est surement bien plus drôle en l'imaginant prononcé par le roi Loth)
votre avatar
Errare humanum est
L'erreur est humaine
sed lex
c'est la loi

Ce sont deux bouts de citations latines :
« Errare humanum est, perseverare diabolicum » : l'erreur est humaine, persévérer est diabolique.
« Dura lex, sed lex » : dure est la loi, mais c’est la loi.
votre avatar
Si je comprends bien, l'argument d'Apple au RU peut être utilisé en France aussi ?
votre avatar
Quel argument d'Apple ? Celui de l'an dernier sur l'extraterritorialité ?
La France n'envisageait rien d'aussi extrême.

Si tu parles d'autre chose, précise ta question.

Portes dérobées : Apple contre-attaque au Royaume-Uni

  • Communiquer sans communiquer

  • Devant les tribunaux

  • Même joueur joue encore

  • Une mesure inapplicable ?

Fermer