Le FBI n’aura finalement pas à donner tous les détails de la technique utilisée pour déverrouiller l’iPhone 5c retrouvé dans le cadre de l’affaire San Bernardino. Un tribunal a tranché, estimant que le risque de fuites d’informations est finalement trop grand. Une décision qui devrait mettre un point final à ce combat.

En septembre 2016, trois médias américains – The Associated Press, USA Today et Vice Media – déposaient des demandes d’informations sur l’accord passé entre le FBI et une entité tierce non nommée. Cette dernière avait fourni aux forces fédérales une faille de sécurité et un outil d’exploitation, capables de percer les défenses d’un iPhone 5c.

On savait que le FBI avait déboursé au moins 1,3 million de dollars pour la faille, mais il manquait de nombreuses informations. Impossible par exemple de savoir qui étaient les chercheurs ou l’entreprise qui avaient fourni cette solution. Impossible également d’obtenir les détails de la technique, au grand dam d’Apple qui avait cherché à en savoir plus. Les médias avaient bien obtenu des documents, mais les pages en étaient copieusement noircies pour protéger les informations.

Coup d’arrêt définitif sur les détails

Les médias américains avaient cependant cherché à en savoir davantage, arguant bien sûr que les passages obscurcis renfermaient justement les réponses qu’ils désiraient. La loi FOIA (Freedom of Information Act) leur permettait normalement d’avoir accès à ce genre d’informations. À moins bien sûr que ces dernières représentent un danger.

C’est précisément l’avis de la juge fédérale Tanya Chutkan. Elle estime que si de plus amples informations venaient à être révélées, notamment le nom du fournisseur et le budget investi par le FBI, les pirates pourraient s’y attaquer. Page 10 du verdict, on apprend également que selon les propres estimations du FBI, les réseaux informatiques dudit fournisseur ne sont pas aussi résistants que ceux de l’agence.

Le lien est dès lors un peu trop évident : nommer l’entreprise reviendrait à placer une cible sur son dos, provoquerait immanquablement l’attaque de pirates, qui s’empareraient alors de données pouvant représenter un danger pour la sécurité nationale. Ouf.

Pas question non plus d’obtenir un tarif précis

Un point plus surprenant, car les indiscrétions de l’ancien directeur du FBI, James Comey, avaient déjà permis d’établir que la faille avait coûté au moins 1,3 million de dollars. Il s’agissait a priori de la vulnérabilité, posant la question de la facture complète.

La juge a bloqué cet autre renseignement, avec le même type d’argument : « Diffuser le prix d’achat apposerait une valeur finie à la technologie et aiderait les adversaires à déterminer si le FBI peut globalement utiliser la technologie pour accéder à leurs appareils chiffrés ». Page 15, on peut d’ailleurs lire que les propos de Comey ne sont pas considérés comme une position officielle du FBI.

Protéger avant tout un investissement

C’est probablement l’argument le plus important du FBI. Lors des demandes d’Apple pour accéder aux informations de cette faille, l’agence avait déjà répondu que la somme dépensée représentait un investissement sur l’avenir. D’autres affaires étaient en suspens et elle ne cachait pas sa volonté de rentabiliser la somme déboursée.

Plusieurs cas sont en fait évoqués dans le verdict. Le FBI estime par exemple qu’il peut améliorer la technologie, soit pour la rendre plus efficace, soit pour en augmenter le périmètre et donc prendre en compte d’autres smartphones. L’agence fédérale avait confirmé à l’époque que la faille ne concernait qu’un tout petit nombre d’appareil et avait même de fortes chances d’être spécifiques à l’iPhone 5c sous iOS 9.

Révéler des détails sur le fournisseur du couple faille/outil pourrait également nuire d’autres manières. Le FBI pourrait ainsi refaire appel à lui pour de nouvelles versions de l’outil, ou faire appel à ses services dans d’autres enquêtes sur des cas similaires. Encore une fois, en dire trop ruinerait les efforts du FBI dans ces enquêtes, mettrait en danger la sécurité nationale, et ainsi de suite.

Fin de course pour les demandes d’informations

Avec ce verdict, le tribunal met un terme aux velléités des trois médias américains. La loi FOIA a des limites, qui ont été clairement invoquées durant l’examen de la procédure. Si d’aventure Apple cherchait toujours à mieux cerner le problème, c’est tout autant une voie sans issue.

Pour la firme de Cupertino, le problème est sans doute moindre désormais. Le matériel et la sécurité changent d’un téléphone à un autre. Si la faille était réellement spécifique à l’iPhone 5c sous iOS 9, elle n’est peut-être désormais plus utilisable. iOS 10 est sorti entre temps, renforçant certains mécanismes de sécurité. Mais puisqu’il est impossible de savoir avec certitude si le souci a été réglé entre temps, il s’agit sans doute d’une petite épine dans le pied de l’éditeur.

Rappelons que la firme et le FBI s’étaient durement affrontés dans le sillage de l’attaque terroriste de San Bernardino, qui avait fait 14 morts et des dizaines de blessés. L’homme responsable de la tuerie, Syed Rizwan Farook, avait été abattu et un iPhone 5c avait été retrouvé sur lui.

Le compte iCloud associé possédait bien des données, que le FBI avait obtenu via un mandat de recherche. Cependant, la synchronisation était désactivée depuis plusieurs mois. Les enquêteurs, souhaitant notamment obtenir des liens vers d’autres membres de Daech (qui avait revendiqué l’attaque), avait donc demandé à Apple de percer les défenses de son produit pour récupérer les données chiffrées qui y étaient contenues.

C’est ici que le combat avait commencé. La défense d’Apple était double : l’entreprise ne voulait ni ne pouvait obtempérer. Si elle donnait son accord, elle subissait très certainement un retour de flamme de la presse, des utilisateurs et de centaines d’associations, avec à la clé une chute de son chiffre d’affaires. Mais, surtout, elle affirmait ne pas pouvoir percer le chiffrement : la clé utilisée par chaque téléphone est unique et tient compte du code PIN. Puisqu’il est impossible de l’extraire séparément, la clé reste hors de portée.

On se rappelle ensuite comment le ton était monté, le FBI se préparant à attaquer Apple en justice pour forcer sa coopération. Puis brusque retournement de situation : l’agence annonce avoir finalement une autre solution, la fameuse faille de sécurité. C’était désormais au tour d’Apple de courir après le FBI pour réclamer les détails de cette faille. Sa crainte ? Que des pirates la découvrent également et s’en servent contre les utilisateurs. Affrontant un mur, l'entreprise avait finalement renoncé.

La faille de sécurité, cette marchandise comme les autres

Comme nous l’avions souligné à plusieurs reprises, le combat entre Apple et le FBI mettait en lumière des débats importants. Le plus évident était le chiffrement, qu’un nombre croissant de gouvernements rêvent d’affaiblir, mais sans jamais évoquer l’expression « porte dérobée ». Le plan Macro-May en est un exemple récent.

L’autre grande thématique touchait les failles elles-mêmes. Le FBI a pu poursuivre son enquête en achetant une vulnérabilité. Une opération qui rappelle que des entreprises en font leur activité principale : collecter puis revendre des brèches de sécurité. Si une société comme Zerodium peut aligner 1,5 million de dollars pour une faille 0-day dans iOS 10, c’est qu’elle est certaine de pouvoir rentabiliser son investissement.

Il n’existe pour le moment aucune évolution notable dans la progression de certaines enquêtes, tant toutes les parties en présence observent le statu quo. Il y aura très certainement d’autres affrontements de ce type, faisant peser une menace toujours plus importante sur le chiffrement et la sécurité des échanges.