igor - Fotolia
Chiffrement : l’aveu d’échec d’Apple
Si pour certains, Tim Cook adopte une posture de chevalier blanc dans le bras de fer qu’il a engagé avec la justice américaine, le patron d’Apple avoue surtout, en filigrane, n’avoir pas conçu ses produits de manière totalement étanche.
Un juge vient d’ordonner à Apple d’aider le FBI à contourner les mécanismes de protection des données d’iOS en développant une version spécifique et assouplie. Celle-ci doit permettre à l’agence d’attaquer en force brute le mot de passe à quatre chiffres assurant le verrouillage d’un iPhone 5C sans risquer l’effacement de son contenu après 10 tentatives avortées.
La vie privée, principe ou excuse ?
Dans une lettre ouverte, Tim Cook, le patron d’Apple, exprime son opposition à cette décision. Pour lui, cette version assouplie d’iOS correspond à une porte dérobée. Il la compare à une sorte de passe universel capable d’ouvrir des millions de verrous et qui, « entre de mauvaises mains […] pourrait avoir le potentiel de déverrouiller n’importe quel terminal auquel on aurait un accès physique ».
Avec cette sortie, Tim Cook se pose en défenseur des libertés individuelles. Non pas face à un régime autoritaire ni à une finalité moralement discutable, mais au nom de principes fondamentaux : « cette décision a des implications bien au-delà de la procédure en cause », assène-t-il ainsi.
Et il n’est pas le seul à appréhender ainsi la question. Sur Twitter, Edward Snowden évoque « la procédure tech la plus importante de la décennie ». Sundar Pichai, chez Google, voit également là le risque d’un « précédent troublant », de même que Jan Koum, co-fondateur de WhatsApp, ou encore l’Union américaine des libertés civiles (UCLA).
L’Electronic Frontier Foundation (EFF) ne dit pas autre chose et dénonce là une demande qui va au-delà de la seule assistance légitime : « pour la première fois, le gouvernement demande à Apple d’écrire un code nouveau qui élimine des fonctions clés de la sécurité de l’iPhone ».
Dans la pratique, la sortie de Tim Cook cache toutefois un aveu d’échec. Celui de ne pas avoir conçu des produits garantissant sinon pleinement, au moins plus largement, la confidentialité des données de leurs utilisateurs.
Car de quoi le FBI a-t-il ici besoin ? D’une version modifiée d’iOS qui serait installée de force sur un iPhone 5C placé en mode dépannage. Une installation qui n’aurait pas pour conséquence d’effacer les clés utilisées pour le chiffrement des données au repos et permettrait donc, in fine, d’y accéder.
Echec technique ou conformité réglementaire ?
Comme l’explique Dan Guido dans Trail of Bits, l’iPhone 5C correspond à ces terminaux iOS antérieurs au capteur d’empreintes digitales TouchID et ainsi dépourvus de Secure Enclave. Celle-ci consiste en un module cryptographique matériel, indépendant, chargé de donner accès aux clés de chiffrement des données au repos.
Une protection cette fois-ci imparable ? Que nenni selon John Kelley qui estime qu’Apple pourrait être forcé à modifier aussi le firmware de l’enclave. Et Dan Guido de reconnaître avoir « initialement spéculé que les données stockées dans l’enclave étaient effacées à l’occasion de mises à jour », pour au final « penser aujourd’hui que ce n’est pas le cas ».
Dès lors, pour lui, il apparaît qu’Apple « peut mettre à jour le firmware de l’enclave, ce qui ne nécessite pas le mot de passe du téléphone, et n’efface pas les données de l’utilisateur ». En résumé, là encore, le construire détient un moyen technique susceptible de lui permettre de se conformer aux demandes des forces de l’ordre. Et cette clé lui est d’autant plus exclusive qu’un terminal iOS ne peut recevoir qu’une version signée par Apple de son système d’exploitation.
En fait, la justice américaine place là le constructeur devant une contradiction pour le moins embarrassante que cache en définitive la sortie de Tim Cook. On peut imaginer qu’Apple fasse évoluer ses produits pour assurer, au moins, l’effacement des clés de chiffrement des données au repos en cas d’installation d’un système d’exploitation sur un appareil en mode dépannage – et pas lorsque l’installation a été approuvée par l’utilisateur avec la saisie de son code de déverrouillage. Mais cela ne semble pas devoir être le cas.
Et il y a une bonne raison à cela : la loi. Et c’est Sundar Pichai qui résume finalement la situation sur Twitter, au nom de Google : « nous construisons des produits sûrs pour garder vos informations à l’abris et nous donnons accès aux données aux forces de l’ordre sur la base de décisions de justice valides ».
Eviter une lourde responsabilité
Accessoirement, le FBI a déjà pu avoir accès à certaines données de l’iPhone 5C en question, via ses sauvegardes dans iCloud. L’impression d’absolu donné par Tim Cook dans son bras de fer avec la justice américaine n’apparaît alors n’être qu’une illusion.
Mais peut-être le débat cache-t-il là autre chose. Dans sa lettre, Tim Cook affirme que l’iOS assoupli demandé par la justice n’existe pas. En fait, c’est peut-être la responsabilité associée au développement d’une telle version qu’il ne veut pas faire porter à son entreprise.
Car à imaginer qu’Apple fournisse l’effort qui lui est demandé, cela supposerait de produire un environnement de développement distinct, hermétiquement isolé de celui d’iOS. Un environnement qu’il faudrait probablement détruire après chaque requête de la justice pour limiter un risque de fuite dans la nature qui ne serait de toute façon pas nul. Et qui augmenterait considérablement l’attractivité, pour les cybercriminels de tout poil, des clés utilisées par Apple pour signer ses systèmes d’exploitation mobiles.
Bref, pour Apple, cela induirait une lourde responsabilité supplémentaire, et des coûts récurrents non négligeables.
Et là viennent à s’opposer deux considérations qui relèvent moins de l’intérêt particulier que de l’intérêt général. Les protections mises en place par Apple dans ses terminaux protègent leurs utilisateurs du risque de fraude ou encore d’usurpation d’identité et réduisent le risque de vol. De l’autre, elles limitent les capacités d’investigation des forces de l’ordre dès lors qu’il s’agit d’accéder au contenu d’un appareil verrouillé. Laquelle de ces deux considérations de sécurité publique doit primer sur l’autre ?