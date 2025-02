Lecture Zen Résumer l'article

Apple a annoncé le retrait au Royaume-Uni d’une protection clé d’iCloud. Cette décision vise à éviter d’introduire une porte dérobée (backdoor) dans les mécanismes de chiffrement des services de stockage de l’entreprise américaine.

Durant l’été 2023, face à la perspective d’un affaiblissement du chiffrement au Royaume-Uni, Apple avait adressé une mise en garde aux autorités britanniques. Si l’entreprise américaine ne peut plus assurer un haut niveau de sécurité pour ses produits et services, comme FaceTime ou iMessage, elle pourrait les retirer du marché outre-Manche.

Presque trois ans plus tard, cette menace n’a pas été mise à exécution. Apple a pris une décision qui n’en demeure pas moins spectaculaire : elle retire aux Britanniques l’une des protections les plus avancées d’iCloud, appelée « Advanced Data Protection » (Protection avancée des données).

L’ADP est une protection pour iCloud. // Source : Frandroid

« Apple ne peut plus proposer la protection avancée des données au Royaume-Uni aux nouveaux utilisateurs et les utilisateurs britanniques actuels devront éventuellement désactiver cette fonctionnalité de sécurité », lit-on dans un communiqué adressé à Numerama le vendredi 21 février 2025. En cause, les évolutions récentes de la législation britannique, notamment au nom de la sécurité et de la lutte contre la criminalité.

La fonctionnalité ADP est une disposition plutôt récente d’iCloud, le service d’informatique « dans le nuage » d’Apple — c’est-à-dire les serveurs distants de la société sur lesquels sa clientèle peut stocker des données, notamment à des fins de sauvegarde. Elle avait été annoncée à la fin de l’année 2022 et déployée courant 2023, mais ne concerne pas les données iMessage, FaceTime, Apple Santé ou Apple Mots de passe.

Protéger fortement iCloud via le chiffrement de bout en bout

La particularité de ce mécanisme est de reposer sur le chiffrement de bout en bout (appelé dans le jargon E2EE, pour end to end encryption). Il s’agit de l’une des protections les plus abouties pour sécuriser des données. Ce procédé fait appel à des opérations mathématiques complexes pour placer des fichiers dans un amas de données incompréhensibles.

L’idée générale du E2EE est donc de rendre totalement inaccessibles tout ce qui passe à la moulinette du chiffrement de bout en bout, lorsque l’on n’a pas une clé spéciale pour les déverrouiller — les déchiffrer. Cette clé, pour que le chiffrement soit efficace, doit demeurer tout à fait privée et secrète. Ici, Apple ne la connaît pas.

Le chiffrement de bout en bout mobilise des procédés mathématiques pour sécuriser les informations. // Source : Canva

Or, dans ce cas de figure, si Apple n’est pas en mesure de la voir, Apple ne peut donc pas l’utiliser ou la communiquer, y compris sur instruction de la police ou de la justice. Cela a pour conséquence de rendre le contenu d’un compte iCloud protégé par l’ADP relativement inviolable — sauf si d’autres moyens d’accès sont mis en œuvre.

C’est ce que confirme Apple dans sa prise de parole. « L’Advanced Data Protection protège les données iCloud par un chiffrement de bout en bout, ce qui signifie que les données ne peuvent être déchiffrées que par l’utilisateur qui en est propriétaire, et uniquement sur ses appareils de confiance », est-il expliqué.

Apple refuse catégoriquement les backdoors (portes dérobées)

À ce stade, le retrait de l’ADP ne concerne que le Royaume-Uni, parce que le pays a fait évoluer récemment le panorama réglementaire. Le pays a ainsi actualisé sa loi Investigatory Powers Act (IPA) de 2016 qui confère au ministère de l’Intérieur des prérogatives renforcées dans le domaine de la sécurité dans l’espace numérique.

Or, parmi les effets de cette mise à jour de la loi IPA figure l’obligation pour les entreprises qui ne sont pas basées au Royaume-Uni de se conformer à certains changements qui affecteraient leurs activités au niveau mondial — à commencer, rappelait la BBC à l’époque, par la fourniture d’une porte dérobée pour le chiffrement de bout en bout.

D’où le coup de pression d’Apple à l’époque, avec FaceTime et iMessage, mais aussi la montée au créneau de Meta (pour protéger notamment le chiffrement de bout en bout de WhatsApp) et de Signal (pour son appli de messagerie instantanée). Signal avait esquissé la perspective de quitter les pays s’attaquant au chiffrement.

Finalement, Apple change d’approche pour le moment en renonçant à l’ADP au Royaume-Uni, à cause d’une demande des autorités, sous l’empire de l’IPA. Le groupe espère qu’il sera possible de faire marche arrière — mais si Londres accepte de revoir son approche, ce qui n’est pas certain. En matière de sécurité, la loi a tendance à ne bouger que dans un seul sens.

iCloud synchronise de nombreuses données. ADP est une option pour aller plus loin. // Source : Capture d’écran

En attendant, Apple dit regretter la situation. « Nous sommes profondément déçus que les protections fournies par ADP ne soient pas disponibles pour nos clients au Royaume-Uni, compte tenu de l’augmentation continue des violations de données et d’autres menaces à la confidentialité des clients. Il est plus urgent que jamais d’améliorer la sécurité du stockage cloud avec un chiffrement de bout en bout. », ajoute le communiqué. Apple précise que seul ADP est concerné : FaceTime, iMessage et les mots de passe restent chiffrés.

Apple cette décision, Apple envoie un signal très clair de rejet des portes dérobées. « Comme nous l’avons déjà dit à de nombreuses reprises, nous n’avons jamais construit de porte dérobée ou de clé principale pour aucun de nos produits ou services et nous ne le ferons jamais. », conclut l’entreprise. Car le souci des backdoors, c’est qu’elles existent aussi pour les « méchants ».

