iPhone verrouillé : le FBI a réagi avec excès face à Apple
L'iPhone de la colère
Le 04 avril 2018 à 07h00
6 min
Société numérique
Société
Un rapport de l’inspection interne du FBI a tranché : l’agence fédérale est allée trop vite dans son affrontement avec Apple autour du fameux iPhone 5c, suite à la tuerie de San Bernardino. Le FBI n’avait pas épuisé tous les recours possibles avant de chercher à contraindre Apple. Explications.
Rappel des faits. En décembre 2015, Syed Rizwan Farook et sa femme ouvrent le feu à San Bernardino, en Californie. Bilan : 14 morts et 17 blessés. Un iPhone 5c est retrouvé sur le corps du tueur. Importante pièce à conviction, il se retrouve au cœur d’une enquête pour terrorisme, Farook ayant des liens établis avec Daech (qui revendiquera l’attentat).
Apple est logiquement sollicitée, comme de nombreuses autres entreprises dans ces cas. Mais l’aide se trouve limitée : Farook avait désactivé iCloud et Apple n’avait que d’anciennes données sur ses serveurs. Quant au contenu du téléphone, il était inaccessible à cause du code PIN.
iOS chiffre en effet les données locales depuis des années. Le code PIN, auparavant de quatre chiffres (six depuis iOS 9), fait partie intégrante de la clé de chiffrement. Apple ne possède pas cette information et n’a donc pas accès à la clé. En outre, seules dix tentatives sont autorisées, chacune avec un temps d’attente de plus en plus long. Farook ayant potentiellement activé l’effacement des données après dix tentatives ratées, le FBI ne pouvait en réaliser que neuf au maximum.
Pression, clash et faille de sécurité
Le ton est donc monté entre l’agence et l’entreprise. Le FBI a fini par réclamer à Apple une version modifiée d’iOS 9 autorisant un nombre illimité de tentatives. Refus de la pomme : elle serait obligée de percer ses propres défenses, ce qui non seulement n’est pas autorisé par la loi, mais créerait en plus un dangereux précédent. Avec en filigrane l'éternelle question des portes dérobées dans le chiffrement.
En février 2016, les réactions étaient devenues vives. En mars, le FBI annonce alors ne plus avoir besoin d’Apple : une faille de sécurité a été achetée à des chercheurs. Le FBI n’en a jamais communiqué les détails à Apple, malgré les demandes. Le 28 mars, la vulnérabilité était confirmée comme efficace : les données avaient bien été récupérées.
Un étrange rapport de l’inspection interne
Le versant moins connu de l’affaire commence le 31 août 2016, quand Amy Hess, Executive Assistant Director (EAD) du FBI, saisit l’OIG (Office of Inspector General), c'est-à-dire l’inspection interne.
Elle est inquiète : des dissensions sont apparues au sein de l’Operational Technology Division sur les moyens dont dispose réellement le FBI face à ce type de problème. Elle craint que ces avis divergents n’entrainent des faux témoignages d’elle-même ou de James Comey – alors directeur du FBI, depuis licencié par Donald Trump – devant le Congrès, qui se penchait activement sur la question.
En résumé, les responsables du FBI n’étaient pas d’accord sur la liste des moyens techniques accessibles pour extraire les données de l’iPhone. La direction de l’agence allait se retrouver devant une assemblée de députés et sénateurs pour affirmer si, oui ou non, le FBI avait bien épuisé tous les recours avant de chercher à contraindre Apple. Ce qui fut finalement bien déclaré par Comey.
Une erreur de bonne foi
Pour l’OIG, l’erreur semble être de bonne foi. Le rapport note qu’il existait une réelle confusion sur les moyens dont disposait l’agence. Amy Hess a notamment évoqué devant le Congrès une course effrénée de la technologie et la « frustration » du FBI lors de certaines enquêtes. Il n’y aura cependant pas de sanctions. Ce qui ne signifie pas que l’agence en ressorte totalement « blanchie ».
L’OIG note en effet des erreurs, dont la principale : quel que soit le nombre de recours possibles, le FBI aurait dû tous les explorer avant d’envisager le tir d’artillerie contre Apple. Mais une telle synthèse des idées impliquait que les différentes divisions de l’agence communiquent efficacement, ce qui n’était pas le cas.
C’est l’information la plus surprenante du rapport : la division Remote Operations Unit était prête d’obtenir une solution quand la faille de sécurité a été achetée. Le 11 février, la ROU était en contact avec une société avec qui elle avait l’habitude de travailler. Le degré de complétion de cette solution était alors estimé à « 90 % », l’entreprise ayant reçu pour instruction de traiter cette demande en priorité.
James Comey ne connaissait manifestement pas ce projet lors de son premier témoignage devant le Congrès le 9 février. Le 1er mars, lors du deuxième, il était peut-être au courant, mais il a déclaré que le FBI n’était pas en capacité de récupérer les données. Techniquement, la réponse est juste : l’entreprise contactée par la ROU n’avait pas fini le travail.
Une communication interne à revoir, une division dédiée
La conclusion du rapport est donc sans surprise : le FBI doit établir une meilleure communication interne. Selon l’OIG d’ailleurs, le FBI « prend des mesures » pour éviter que ce type d’incident ne se reproduise. Une nouvelle division va d’ailleurs être créée (une de plus) pour concentrer toutes les ressources liées aux problèmes de données chiffrées.
À ce titre, on peut penser que la frustration a pu jouer un rôle dans l’emballement mécanique des réactions du FBI. Moins de trois mois séparaient en effet les tragiques évènements de San Bernardino de l’ordonnance qui devait forcer Apple à percer ses propres défenses. La pression n’est d’ailleurs retombée que parce que l’agence a acheté la fameuse faille, pour au moins 1,3 million de dollars. Une opération qui semblait là encore poussée par l’urgence.
Par ailleurs, le rapport souligne que certains responsables souhaitaient en découdre avec Apple, dont l'attitude face au chiffrement (largement soutenue par le reste de l'industrie) cristallisait les craintes des forces de l'ordre. Le chef de la ROU, qui avait organisé l'achat de la faille de sécurité, s'était ainsi attiré les foudres du responsable de la section d'analyse cryptographique et électronique : il souhaitait que les tribunaux tranchent. Probablement pour établir une puissante jurisprudence.
iPhone verrouillé : le FBI a réagi avec excès face à Apple
-
Pression, clash et faille de sécurité
-
Un étrange rapport de l’inspection interne
-
Une erreur de bonne foi
-
Une communication interne à revoir, une division dédiée
Commentaires (27)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/04/2018 à 09h36
Le 04/04/2018 à 09h40
Le 04/04/2018 à 09h44
Le 04/04/2018 à 09h53
Le 04/04/2018 à 09h58
Et là c’était un 5C, donc pas de lecteur d’empreintes digitales 😜
Le 04/04/2018 à 10h52
Mais, s’il était doté d’un lecteur d’empruntes, le FBI aurait-il eu les moyens (légaux) de forcer le terro à débloquer le tel ?
Le 04/04/2018 à 10h54
Le 04/04/2018 à 10h59
Le 04/04/2018 à 11h07
Merci pour l’article !
Le 04/04/2018 à 11h32
De mémoire, sur iOS, si le téléphone n’a pas été déverrouillé par l’empreinte digitale depuis 7* jours, il faut obligatoirement saisir le code.
* durée à vérifier.
Ca reste quand même une plaie le chiffrement : plus moyen de faire un dump facile de la mémoire des téléphones. Les gouvernements ne peuvent même plus enquêter tranquillement sur les terroristes pédophiles nazis tueurs de bébés phoques.
Le 04/04/2018 à 11h34
Le 04/04/2018 à 11h49
Je ne sais pas si ça s’applique au lecteur d’empreinte de l’iPhone, mais du temps où je bossais dans le contrôle d’accès (au siècle dernier), les fabricants de lecteurs prétendaient que les appareils ne réagissaient pas aux doigts morts.
Mais sinon, cf. le post de MisterB juste au dessus.
Le 04/04/2018 à 11h49
Merci.
Donc le temps de lancer la procédure administrative (et sans poser le problème d’aller chercher le cadavre à la morgue), le délai aurait été dépassé.
Le 04/04/2018 à 12h06
Le 04/04/2018 à 12h13
Pfff, dans les films de John Woo, le FBI n’hésite pas à greffer des visages, mais dans la vraie vie, même rien qu’un doigt ils ne font pas…
Le 04/04/2018 à 12h15
Le 04/04/2018 à 16h14
L’idée du complot me plaît bien, je suis sûr que les américains en seraient capables
Après, ils ont trouvés une faille assez rapidement, donc ça peut faire réfléchir sur le fait que pas mal de failles doivent se vendre sur le net, et que les systèmes actuelles ne sont pas si sécurisés que ça
Le 05/04/2018 à 06h09
Le 05/04/2018 à 06h43
Toute technologie peut être utilisée à de bonnes ou à de mauvaises fins.
pourquoi une technologie devrait être rangée dans le camp du bien/mal ?
Le 05/04/2018 à 10h56
Les téléphones Sony, Huawei, Samsung, HTC sur Android ont-ils un jour gêné le FBI ?
Parce que le FBI se plaignait en 2016 de la mise en place du chiffrement par défaut dans Android 6 mais depuis, plus rien.
Finalement y a que Apple qui est vraiment efficace dans la protection des données.
Le 05/04/2018 à 13h05
Ah ouais, chavais pas qu’il était mort….
Le 05/04/2018 à 16h31
Le 09/04/2018 à 09h01
Il n’y aurait pas besoin de créer de nouvelles structures pour ça siles gens faisaient correctement leurs travail.
Le 04/04/2018 à 08h02
C’est tellement ironique tout ça…. La ou dans certains pays le chiffrement est utilisé par le peuple pour communiquer librement dans un autre il est utilisé à des fin de terrorisme alors que le peuple peu communiquer librement en clair.
Le 04/04/2018 à 08h15
Le 04/04/2018 à 09h03
Avant cette affaire je pensais que la protection des iphone c’est au choix bidon / fragile / marketing.
Grace au FBI j’ai appris qu’en fait c’était vraiment efficace.
Merci le FBI lol.
Le 04/04/2018 à 09h19