iPhone (dé)verrouillé : résumé et épilogue de l’imbroglio San Bernardino

En décembre 2015, une fusillade déclenchait un affrontement brûlant entre Apple et le FBI. Au cœur du conflit, un iPhone retrouvé sur le terroriste. Le Bureau souhaitait que l’entreprise perce ses propres défenses, ce qu’elle refusait. Une faille fut finalement trouvée, au grand dam d’Apple. On connait désormais ce qui serait le fin mot de l'histoire.

La fusillade de San Bernardino, en Californie, est restée dans les mémoires. Elle est déclenchée par un couple, Sayed Rizwan Farook et Tashfeen Malik, et menée au nom de Daech. Elle fait 14 morts et 21 blessés non loin de Los Angeles à l’Inland Regional Center, organisme à but non lucratif dédié aux personnes en situation de handicap, physique ou mental.

Après la mort des deux terroristes, le FBI récupère sur le corps de Farook un iPhone 5c et l’enquête commence. À leur domicile, des preuves sont retrouvées sur leur appartenance à Daech et le smartphone devient un enjeu crucial : les données qu’ils renferment pourraient mener à d’autres membres du groupe.

L'iPhone étant verrouillé, le FBI demande l’aide d’Apple. À cette époque, iOS est en effet doté depuis peu d’une option permettant d’effacer le contenu intégral du téléphone si on enchaine dix codes erronés de verrouillage. La société se met au travail, mais le ton va très vite monter.

Le problème technique posé par le verrouillage

Le FBI, ne voulant pas risquer de perdre les données, profite donc dans un premier temps de l’expertise technique d’Apple, qui dispose – à l’instar de nombreuses grandes entreprises – d’un service dédié.

L’agence avait déjà demandé l’obtention des données sauvegardées dans iCloud, et pour lesquelles Apple possède la clé. Sur le téléphone en revanche, la situation est toute autre. Le code de déverrouillage à six chiffres utilisé par Farook posait un double problème. D’abord, il pouvait déclencher l’effacement de l’appareil en cas de dixième tentative erronée. Sans cette option, l’iPhone se serait « simplement » verrouillé, mais Apple aurait été en mesure de remédier au souci.

Ensuite, et surtout, ce code est utilisé dans la création de la clé privée servant au chiffrement local des données. Apple n’ayant pas le code, la clé de déchiffrement ne pouvait pas être reconstituée, ce qui fut signifié au FBI. La position du Bureau dans ce domaine était connue, puisqu’un an plus tôt, James Comey – alors directeur – avait exprimé ses craintes sur l’utilisation croissante du chiffrement au sein d’Android et iOS. La question était déjà pleinement posée : comment les forces de l’ordre peuvent-elles faire leur travail si les polices sont incapables d’accéder aux données ? Il se disait « ennuyé » par les entreprises faisant « expressément la promotion de quelque chose qui permettra aux gens de se placer hors de portée de la loi »

Il fallait donc qu’Apple perce dans ses propres défenses. Le FBI passe une première fois par la case justice, avec succès : un juge ordonne à Apple d’aider l’agence à contourner les mesures de sécurité de l’iPhone pour en extraire les précieuses informations.

Une porte dérobée dans iOS

Apple refuse d’altérer son produit. Peu de temps après le début des passes d’armes, Tim Cook se fend d’un communiqué. « Toutes ces informations ont besoin d’être protégées des pirates et criminels qui veulent y accéder, les voler et les utiliser sans notre connaissance ou notre permission. Les clients attendent d’Apple et des autres sociétés technologiques qu’elles fassent tout ce qui est en leur pouvoir pour protéger ces données personnelles […]. Compromettre la sécurité de nos informations personnelles pourrait à terme mettre notre sécurité personnelle en danger. Voilà pourquoi le chiffrement est devenu si important pour nous tous. »

L’entreprise est déjà coincée par sa communication, qui vantait déjà la sécurité et le respect de la vie privée. Accepter de contourner les protections aurait non seulement montré qu’elle en était capable, mais qu’elle pouvait « retourner sa veste ».

Apple avait d’ailleurs deux raisons de monter sur ses grands chevaux, car le FBI ne souhaitait pas seulement accéder aux données de cet iPhone en particulier : il demandait qu’une porte dérobée soit créée dans iOS pour que les enquêteurs bénéficient d’un nombre illimité de tentatives sur les codes de déverrouillage. Cette porte devait en outre permettre l’enchainement des tentatives sans délai, car iOS impose d’attendre pour recommencer après trois premiers essais infructueux. Et ce temps augmente de manière exponentielle à chaque nouvel échec.

La problématique des portes dérobées est connue, et Cook s’était d’ailleurs fait une joie de la rappeler : « Le FBI veut que nous créions une nouvelle version du système d’exploitation de l’iPhone pour contourner plusieurs fonctionnalités importantes de sécurité et l’installer sur un iPhone obtenu pendant l’enquête. Entre de mauvaises mains, ce logiciel – qui n’existe pas actuellement – aurait le potentiel de déverrouiller n’importe quel iPhone. Le FBI peut utiliser différents mots pour désigner cet outil, mais ne soyez pas dupes : bâtir une version d’iOS qui contourne la sécurité de cette manière créerait immanquablement une porte dérobée. Et bien que le gouvernement puisse assurer que son utilisation serait limitée à cette affaire, il n’existe aucune garantie d’un tel contrôle. »

Guerre de communication et enjeux opposés

L’un des aspects surprenants de l’affaire tenait dans la loi brandie par le FBI pour obtenir satisfaction : l’All Writs Act. Elle permet aux forces de l’ordre d’exiger d’une personne – physique ou morale – qu’elle fasse tout ce qui est nécessaire pour répondre aux demandes lors d’une enquête approuvée par un juge. Une loi qui date de 1789, « writs » pouvant se traduire par « ordres royaux ».

Chez Apple, on crie au scandale et on passe à la deuxième personne : « Les implications des demandes du gouvernement sont effrayantes. S’il peut utiliser l’All Writs Act pour faciliter le déverrouillage de votre iPhone, il obtiendrait le pouvoir d’atteindre n’importe quel appareil pour en récupérer les données. Le gouvernement pourrait élargir cette brèche dans la vie privée et demander à Apple de bâtir un logiciel de surveillance pour intercepter vos messages, accéder à vos données de santé ou financières, suivre votre position géographique ou même accéder à votre micro ou votre caméra sans que vous le sachiez. »

Apple fait donc appel de la décision et dénonce une utilisation abusive de l’All Writs Act. Le combat de l’entreprise est vite repéré et largement soutenu, notamment par l’ACLU (American Civil Liberties Union) et l’EFF (Electronic Frontière Foundation). Avocat à l’ACLU, Alexander Abdo résume alors le point de vue de l’association : « Si le FBI réalise une enquête, il ne peut pas forcer le serrurier du coin à l’aider à forcer une propriété ».

En l’espace d’une semaine, la communication devient nettement plus tranchée, montrant une grande entreprise faire face à une agence gouvernementale, avec en conséquence des intérêts très différents. Chez Apple, on tente de jouer cartes sur table pour expliquer, dans une FAQ, que les demandes du FBI vont trop loin. Elle va jusqu’à expliquer qu’elle serait en mesure de réaliser ce qui est demandé. Mais elle se refuse à créer un dangereux précédent, travaillant son jeu d’équilibriste : Apple ne doit pas apparaitre comme protégeant les terroristes, mais comme désamorçant des demandes jugées extrêmes. Google, Facebook ou encore Twitter apportent – évidemment – leur soutien à Apple.

Au FBI, les enjeux sont tout autres. C’est non seulement la plus grosse fusillade en Californie depuis 1984, mais elle est en plus marquée du sceau de Daech. La pression est forte : l’enquête doit aboutir. James Comey se montre direct : « L’affaire de San Bernardino n’a rien à voir avec la création d’un précédent ou l’envoi d’un quelconque message. Il s’agit ici de victimes et de justice. Quatorze personnes ont été assassinées et bien d’autres ont eu leurs vies et leurs corps détruits. Nous leur devons de par la loi une enquête complète et professionnelle. C’est comme ça. Les Américains ne devraient rien attendre de moins du FBI. »

Une guerre de communication et d’opinion s’engage. Quelques années auparavant, elle aurait peut-être été silencieuse. Mais 2013 et l’affaire Snowden sont passées par là, et les grandes entreprises américaines sont prises dans les répercussions sans fin des révélations, dont leur image est ressortie largement ternie.

Apple « aide les kidnappeurs, les voleurs et les meurtriers »

Deux semaines après le début des évènements, Apple remporte une importante victoire dans un tribunal de New York. On découvre alors que des iPhone sont au centre d’une douzaine d’affaires et qu’une victoire du FBI aurait une importance capitale pour la tenue de ces enquêtes. Or, le juge James Orenstein douche les espoirs de l’agence.

Il critique l’interprétation trop large faite de la loi par le FBI et rappelle qu’il existe des limites claires à l’application de cette loi, notamment que l’aide fournie par une personne morale ne doit pas mettre en danger son activité commerciale. Dans son jugement, il indique que l’Acte « ne peut être un moyen pour l’Éxécutif d’atteindre un objectif législatif que le Congrès a déjà examiné et rejeté ».

Une victoire importante mais pas définitive, car les deux affaires ont de larges différences. La principale tient au terrorisme, quand l’affaire jugée par Orenstein concernait le trafic de drogue. Le juge new-yorkais relevait cependant que le FBI semblait prêt à tout pour passer en force, ce qui ne manquait pas de l’inquiéter sur les retombées d’une telle utilisation de l’All Writs Act.

Ce verdict avait dans tous les cas donné une base puissante de défense pour Apple, car au vu de la communication de l’entreprise, il n’était pas difficile de prouver qu’obéir au FBI entrainerait immanquablement une baisse du chiffre d’affaires.

Peu de temps après, les propos s’échauffent nettement. On se souvient de John Miller, responsable de l’unité antiterroriste à New York, qui accusait Apple « d’aider les kidnappeurs, les voleurs et les meurtriers ». Et pour appuyer sa démonstration, il citait les propos d’un détenu de la prison de Riker’s Island avec un tiers : « Tu dois mettre iOS 8. C’est un don de Dieu, parce que les flics ne peuvent pas le pirater ».

Le FBI était d’autant plus agacé qu’il avait fini par reconnaître une erreur. Le terroriste avait bien une sauvegarde iCloud de ses données, mais les enquêteurs n’avaient réclamé les données qu’après avoir tenté de prendre le contrôle du compte Apple correspondant, passant par une réinitialisation du mot de passe.

Sans que l’on sache exactement comment, le FBI s’est retrouvé avec un compte verrouillé. Apple a bel et bien répondu aux demandes et récupéré la sauvegarde la plus récente. Mais elle datait du 19 octobre, soit un mois et demi avant les évènements tragiques du 2 décembre. Las, le FBI avait fini par indiquer que ces informations ne contenaient rien de significatif, mettant d’autant plus la pression sur les données toujours coincées dans l’iPhone.

La vulnérabilité entre en piste

Les passes d’armes vont continuer pendant encore une semaine, jusqu’à ce que le FBI surprenne tout le monde : l’aide d’Apple n’était plus requise, l’agence pouvant se débrouiller toute seule désormais. Ou presque.

Si au début le FBI n’évoque qu’une « méthode tierce » d’accès aux données, le Bureau finit par confirmer qu’il s’agit d’une faille 0-day. Une vulnérabilité pour laquelle il n’existe donc pas de correctif et qui permettrait aux enquêteurs d’entrer dans iOS, avec l’aide d’un tiers dont l’identité a longtemps été cachée.

L’annonce marque un grand tournant dans l’affaire et les rôles s’inversent. Apple, qui n’est soudainement plus sollicitée, va bien sûr se tourner vers le FBI pour lui demander des détails sur la fameuse « méthode ». La situation n’est guère plus plaisante pour la firme, qui se retrouve avec une faille dans la nature manifestement capable de passer les défenses de son système. Mais le Bureau reste coi.

Quelques détails filtrent peu après, par James Comey en personne. Dans une interview, pressé d’en dire davantage sur la faille, il finit par préciser que son prix a dépassé le salaire cumulé du temps qu’il lui restait à passer à ce poste. À l’époque, cette durée était de sept ans et quatre mois, pour un salaire annuel de 183 000 dollars. Le FBI aurait donc payé au moins 1,34 million de dollars. Il ajoute que la même méthode a pu être employée sur un iPhone doté d’iOS 9.

Cellebrite pourrait-elle être à l’origine de la fameuse méthode ? L’entreprise israélienne, dont c’est justement l’une des spécialités, ne répond pas. Trois médias vont cependant attaquer le FBI – The Associated Press, USA Today et Vice Media – en se basant sur la FOIA (Freedom of Information Act) : le Bureau étant financé par des fonds publics, les détails financiers et contractuels avec le tiers devraient être connus. Une transparence d’autant plus nécessaire que le FBI tentait de forcer le passage auprès d’Apple.

Après un échec, la procédure finit par faire mouche, et les trois médias obtiennent un document d’une centaine de pages révélant quelques précisions intéressantes. Par exemple, le FBI avait lancé un appel d’offres dès les premières tensions avec Apple pour une autre méthode, qui pouvait être une faille de sécurité. Trois entreprises avaient répondu, une avait été sélectionnée, mais le nom en avait été caviardé. Les informations les plus importantes avaient toutes subi le même traitement, la liberté d’information ne faisant pas le poids face au secret d’une faille.

Une faille dans un code de Mozilla payée 900 000 dollars

Il y a quelques jours, le Washington Post a présenté ce qui serait la conclusion de l’énigme. Selon le journal américain, la société ayant remporté l’appel d’offres se nommerait Azimuth Security, basée en Australie.

Elle aurait trouvé un lot de trois failles, dont la principale résiderait dans un code écrit par Mozilla et dont Apple se sert pour permettre aux iPhone et iPad d’utiliser des accessoires via le port Lightning. Les deux autres seraient là pour créer une chaine d’exploitation, probablement pour échapper à la sandbox et obtenir des droits supplémentaires. Résultat, l’équipe aurait été capable d’enchainer les tentatives de déverrouillage sans augmenter le temps entre chaque essai et sans risquer de déclencher l’effacement des données.

La méthode présentée par Azimuth Security serait nommée Condor. Elle a été facturée 900 000 dollars à l'agence, selon la sénatrice Diane Feinstein en 2017. Durant l’affaire San Bernardino, elle avait remis en cause l’attitude du FBI et interrogé le bien-fondé de ses demandes devant les tribunaux, craignant pour le chiffrement. Ce chiffre contredisait celui donné par James Comey et n’a jamais été confirmé.

L’histoire autour de cet iPhone n’a d’ailleurs pas manqué de nouveaux rebondissements. Apple aurait appris qui était à l’origine de cette méthode, principalement le chercheur David Wang. La firme aurait tenté de le débaucher d’Azimuth Security, offre déclinée par Wang. Le chercheur a fondé en effet peu après la société Corellium, dont le fonds de commerce est de virtualiser des iPhone et à qui l’ont doit récemment le portage de Linux vers les Mac M1.

Et on connait les relations d’Apple avec Corellium, puisque la Pomme a déjà tenté – sans succès – de faire interdire ce produit à la fin de l’année dernière. Une autre procédure est en cours, dans laquelle elle affirme que Corellium a contourné des mesures de sécurité pour faire fonctionner son logiciel.

La faille corrigée, l’iPhone finalement presque vide

La suite est en tout cas connue. En avril 2016, le FBI annonce publiquement que l’iPhone ne contenait aucun contact terroriste et finalement aucun indice critique sur Daech ou même d’autres groupes.

Tout ça pour ça ? Oui, mais le FBI ne pouvait le savoir sans atteindre les précieuses données. L’affaire de « l’iPhone de San Bernardino », comme on l’appelle depuis, cristallise les interrogations sur plusieurs sujets, dont le plus important est la sécurité.

Le mot fourre-tout recouvre parfois des visions antagonistes. Par exemple, la sécurité chez Apple recouvre une préservation du chiffrement et un refus d’insérer des portes dérobées. Ces dernières pourraient être trouvées par des pirates, qui les exploiteraient à leur seul bénéfice. Pour le FBI, la sécurité recouvre des menaces nettement plus physiques contre la population.

Les deux sont indissociables et pourtant antagonistes. Toute technologie de sécurité peut être détournée pour masquer des comportements illégaux, voire malveillants. Mais tout affaiblissement de la sécurité peut être exploité de la même manière, et il n’existe aucune méthode garantissant qu'une faiblesse ne serait utilisée que pour des raisons « légitimes ».

Cette thématique, déjà complexe, l’est encore davantage aux États-Unis. La NSA y gère en effet à la fois l’attaque et la défense, alors que l’ANSSI ne gère en France que la défense par exemple. Pour illustrer cette ambivalence, rappelons que l’agence avait d’elle-même publié une infographie où elle clamait fièrement, un mois avant les évènements de San Bernardino, que 91 % des failles collectées étaient communiquées aux sociétés concernées. Traduction, 9 % d’entre elles étaient gardées en réserve pour d’éventuelles missions.

L’affaire de San Bernardino a de nouveau illustré cette ambivalence, les forces de l’ordre ayant eu recours à une faille, sans en communiquer les détails à Apple. Cela étant, la firme a quand même colmaté la brèche, Mozilla l’ayant découverte environ deux mois après le déverrouillage de l’iPhone par le FBI.