La mise à jour iOS 8 offre de nouvelles options de protection de la vie privée, notamment via le chiffrement du terminal. Cette évolution de la sécurité voulue par Apple suscite le mécontentement de responsables gouvernementaux, qui craignent que des délinquants n'en profitent. Mais dans certaines circonstances, certains accès peuvent être mis en place.

Dans une lettre ouverte publiée la semaine dernière, Tim Cook a tenu à réaffirmer les engagements d'Apple sur la vie privée. La firme de Cupertino voulait montrer sa détermination à protéger la confidentialité de ses clients et de leurs données, dans un contexte difficile très difficile pour elle. Non seulement son implication dans PRISM (un programme de surveillance électronique de la NSA) a été révélée, mais en plus la sécurté de certains services comme iCloud a été remise en question (affaire des photos volées de stars).

Pour passer de la parole aux actes, Apple a mis en ligne un espace consacré à la sécurité dans iOS 8. Il y explique que son nouveau système d'exploitation mobile chiffre les photos, les messages, pièces jointes, courriers électroniques, contacts, historiques d'appels, contenus iTunes et mémos. Surtout, Apple affirme qu'il n'a plus la possibilité d'accéder aux données stockées sur un iPhone sous iOS 8.

Cette annonce a été saluée par plusieurs observateurs, dont l'union américaine pour les libertés civiles (ACLU). "Il est encourageant de voir une grande entreprise américaine conclure qu'il y a un avantage commercial à protéger la vie privée et la sécurité de ses utilisateurs", a avancé Catherine Crump, une professeur de droit à l'université de Berkeley, en laissant entendre que les géants du net pourraient bien se concurrencer sur ce terrain, à la plus grande satisfaction des usagers.

Mécontentement des autorités

Mais le virage d'Apple a aussi eu droit à de vives critiques. Dans le Wall Street Journal et dans le Washington Post, des responsables au sein du département de la justice aux USA ont fait part de leurs craintes sur la capacité d'Apple à coopérer avec les autorités, même dans les cas où tout est en ordre sur le plan procédural (mandat et feu vert de la justice). L'iPhone, avec cette nouvelle protection, serait "l'équivalent d'une maison qui ne pourrait pas être fouillée ou d'un coffre de voiture qui ne pourrait pas être ouvert".

Même son de cloche chez Andrew Weissmann, un ancien responsable juridique du FBI. Apple est "en train d'annoncer aux délinquants 'utilisez ça'" Ronald Hosko, également du FBI, dit la même chose. Le niveau de vie privé décrit par Apple "est merveilleux jusqu'à ce qu'il s'agisse de votre enfant qui est kidnappé et maltraité, et à cause de la technologie, nous ne pouvons pas atteindre [les ravisseurs]", a-t-il lâché, quitte à jouer sur la peur pour justifier plus de sécurité au détriment de la liberté.

Une sécurité renforcée, mais…

Les déclarations alarmistes des responsables doivent néanmoins être nuancées. Si Apple renforce effectivement la sécurité de ses appareils, il existe des accès qui peuvent être activés dans certaines circonstances. Dans le cas d'un iPhone verrouillé, des failles ont été découvertes par le passé permettant de donner accès à son contenu. Des portes dérobées ont aussi été détectées dans iOS plus récemment, qui selon Apple servent officiellement à des outils de diagnostic.

Comme le pointe The Intercept, l'imprudence de l'utilisateur joue aussi. S'il utilise un simple code à 4 chiffres pour verrouiller son mobile, il est aisé de le déverrouiller via une attaque par force brute, c'est à dire en testant toutes les combinaisons. Avec un ordinateur et en bloquant le nombre d'essais autorisés, Apple et / ou les autorités peuvent y parvenir. Dans le cas des mots de passe, c'est plus compliqué. Mais tous ne sont pas sûrs et peuvent être trouvés via une attaque par dictionnaire, par exemple.

Il y a enfin et surtout le cas iCloud. Si Apple renforce la sécurité sur l'iPhone, au point d'affirmer être incapable d'accéder à ses données si le mobile est sur iOS, qu'en est-il de la sécurité dans le cloud ? À supposer qu'Apple n'a pas accès aux clés de chiffrement / déchiffrement utilisées sur le terminal, le groupe utilise en revanche les siennes pour chiffrer les données hébergées sur iCloud. Et si ce sont les siennes, Apple est en mesure de répondre aux requêtes gouvernementales visant les données sur iCloud.

Des déclarations invérifiables

De façon générale, les indications d'Apple sont impossibles à vérifier dans la mesure où le code source d'iOS 8 est fermé et ne peut donc pas être contrôlé par d'autres utilisateurs (idem pour iCloud, par exemple). Même si la sécurité des terminaux sous iOS 8 a vraisemblablement été améliorée, et c'est tant mieux, il existe un certain nombre de situations où les affirmations de la firme de Cupertino peuvent être au mieux nuancées, au pire remises en question.

D'aucuns diront qu'Apple a exagéré les aspects positifs de son virage sécuritaire, afin de redorer son blason après plusieurs polémiques. D'autres rappelleront que les documents récupérés par Edward Snowden ont montré la participation – sans doute forcée – d'Apple a certains programmes de surveillance. Sans parler du fait qu'Apple constitue de fait un silo à données personnelles aux yeux de la NSA, qui, à en croire les informations top secrètes obtenues par Snowden, agit parfois à l'insu du groupe américain.

Malgré les dénégations de la direction du groupe, la confiance est rompue et certains accusent Apple d'avoir menti sur la sécurité de ses clients. Reste qu'il arrive parfois à un menteur de dire la vérité.

Partager sur les réseaux sociaux

Articles liés