Apple ne se sert pas que de son infrastructure pour opérer iCloud, son service de synchronisation et de sauvegarde pour sa clientèle. L'entreprise américaine passe aussi par des solutions externes, comme Amazon S3 et Google Cloud Platform. Mais est-ce à dire que vos données ne sont pas protégées ?

Apple a beau être à la tête de plusieurs centres de données — les « data centers » — dans le monde et en bâtir régulièrement de nouveaux, l’entreprise américaine fait parfois appel à des solutions tierces pour héberger des fichiers. Ainsi, par le passé, la firme de Cupertino a reconnu utiliser les serveurs de Microsoft Azure et Amazon S3, deux plateformes dédiées au stockage dans le cloud.

Ce recours à des services externes a notamment été admis dans un guide consacré à la sécurité de son système d’exploitation mobile, iOS. Guide qui a été mis à jour en janvier 2018, fait observer CNBC. Or, il apparaît que Microsoft n’est plus cité  comme partenaire d’Apple pour ce qui est de l’hébergement de certaines données traitées initialement par ses soins, via ses applications et services.

iCloud et Google Cloud Platform

Est-ce à dire qu’Apple entend ne compter que sur sa propre infrastructure pour faire du cloud ? Non. La firme de Cupertino continue de travailler avec Amazon S3 et, à la place de Microsoft Azure, un nouveau partenariat a manifestement été mis en place avec… Google. Plus exactement, avec Google Cloud Platform, qui est la réponse du géant du web aux offres d’Amazon et Microsoft.

Se pose alors la question, légitime, de savoir ce qui est hébergé chez Google Cloud Platform : le guide rédigé par Apple nous apprend que ce sont des données relatives à iCloud, qui est la plateforme de cloud mise en place par ses soins à destination de ses clients. Le service permet en particulier de synchroniser entre tous ses appareils et sauvegarder à distance des fichiers personnels.

google-cloud-platform

Liste de contacts, agendas, photos, documents sont quelques-uns des éléments qui sont éligibles à iCloud. Naturellement, ce service est optionnel : un utilisateur peut tout à fait choisir les informations qui doivent être synchronisées et sauvegardées, en passant en revue les services et les applications qui peuvent l’être, mais aussi tout désactiver et ne rien envoyer sur un quelconque serveur distant.

Et une question en entraînant une autre, le fait qu’une portion d’iCloud se retrouve sur les serveurs de Google signifie-t-il qu’il a accès aux éléments qu’il reçoit ? La réponse est non, sauf si Google a accompli une percée invraisemblable en mathématiques au point de déchiffrer à la volée des contenus chiffrés. Ou à supposer qu’Apple ait mal implémenté ses algorithmes cryptographiques.

Données chiffrées et fractionnées

En effet, rien de ce qui est envoyé chez Amazon ou Google ne reste entier et en clair.

« Chaque fichier est découpé en morceaux et chiffré par iCloud en utilisant l’algorithme de chiffrement symétrique AES-128 et une clé dérivée du contenu de chaque morceau qui utilise la fonction de hachage SHA-256 », est-il indiqué dans le guide. Selon des documents secrets récupérés par Edward Snowden et datant de 2012, même la NSA a du mal avec des systèmes cryptographiques basés sur AES.

« Les clés et les métadonnées du fichier sont stockées par Apple dans le compte iCloud de l’utilisateur. Les morceaux chiffrés des fichiers sont stockés, sans aucune information d’identification de l’utilisateur, en utilisant des services de stockage tiers », ajoute la firme de Cupertino. « Le service est agnostique à propos de ce qui est stocké et gère tout le contenu du fichier de la même manière, comme une collection d’octets ».

Cadenas

Il n’y a aucune preuve qui permet de dire que Google a accès en clair aux données chiffrées qu’Apple lui transmet dans le cadre de leur contrat. En revanche, la seule faiblesse manifeste dans toute cette chaîne de sécurité réside dans le fait que la clé qui sert à chiffrer et déchiffrer les informations est conservée par Apple et stockée aux États-Unis (à l’exception de la Chine).

Dans ces conditions, Apple pourrait être tenu de la fournir aux autorités ou, à tout le moins, de procéder lui-même aux opérations de déchiffrement pour répondre par exemple aux nécessités d’une enquête judiciaire.

Partager sur les réseaux sociaux