Tuerie de San Bernardino : Apple ne peut ni ne veut aider le FBI à déverrouiller un iPhone

Le risque d'une jurisprudence 179
image dediée
Crédits : NA/Photos.com/Thinkstock
Sécurité

Apple fait face à une demande de la justice américaine lui intimant l’ordre d'aider le FBI à tenter d'accéder aux données d'un iPhone. La société se prépare à contre-attaquer puisqu'elle ne peut déchiffrer un appareil et ne veut pas ouvrir de porte dérobée, ce qui réduirait la sécurité de tous.

Apple se retrouve impliquée dans le procès de Syed Rizwan Farook. Avec l’aide de sa femme, Farook a tué 14 personnes en Californie au cours d’un évènement resté dans les mémoires comme la « tuerie de San Bernardino ». L’accusé disposait d’un iPhone, tombé dans l’escarcelle du FBI en décembre, juste après que les deux auteurs de ces meurtres ont été eux-mêmes abattus par la police lors de l’intervention.

L'impossibilité de fournir une clé qu'on ne possède pas

Depuis environ deux mois, l’agence fédérale tente de récupérer les informations contenues dans le smartphone. Beaucoup de questions sont encore sans réponse et le FBI aimerait en apprendre davantage, notamment sur les motivations du couple, leur organisation, leurs contacts ou plus simplement trouver des pistes pour comprendre ce qui a pu déclencher initialement ce drame.

On retombe ici dans une problématique qui n’a de cesse de revenir sur le devant de la scène depuis environ 18 mois. Suite à l’arrivée d’iOS 8, la grande majorité des données circulant dans un appareil mobile iOS sont chiffrées. La clé générée dépend du code PIN choisi par l’utilisateur, Apple ne la possédant donc pas. La proportion des informations chiffrées a encore augmenté avec iOS 9, le code PIN évoluant à six chiffres, mais l’iPhone du tueur n’avait visiblement pas encore été mis à jour. Ce qui ne change bien sûr rien au problème.

La principale difficulté à laquelle fait face le FBI est de passer l’étape du code PIN. Il est possible de tenter un maximum de dix fois sa chance avant que l’appareil ne se verrouille complètement. Farook a peut-être même activé l’option permettant d’effacer tout le contenu du smartphone en cas de dixième échec. Les enquêteurs ne peuvent donc pas risquer de pousser leur chance à ce point, d’autant qu’il existe de fait 10 000 combinaisons possibles. Un cas concret pour les craintes de James Comey, directeur du FBI, qui s'était justement inquiété de la progression du chiffrement chez Apple et Google.

Tim Cook prend la plume et accuse

Or, un ordre du tribunal exige justement qu’Apple aide l’agence fédérale à contourner la sécurité de l’iPhone pour récupérer les précieuses données qui y sont contenues. Et là, évidemment, la situation coince : Apple ne peut ni ne veut obtempérer. Dans une lettre ouverte publiée cette nuit, le PDG Tim Cook indique que le gouvernement américain a pris une « mesure sans précédent » qui « menace la sécurité » de ses clients. Pour l’entreprise, le temps est venu pour une « discussion publique » sur le thème du chiffrement.

Une fois encore, la société se heurte à la grande problématique du chiffrement : comment protéger efficacement la vie privée des utilisateurs sans pour autant bloquer les forces de l’ordre dans leur travail d’enquête ? Une question à laquelle la tentation des portes dérobées est grande, comme l’indiquait le récent rapport de l’ENISA. Mais pour Apple, il n’y a pas de débat possible : les smartphones contiennent une telle quantité d’informations privées que la nécessité de les protéger est absolue.

« Toutes ces informations ont besoin d’être protégées des pirates et criminels qui veulent y accéder, les voler et les utiliser sans notre connaissance ou notre permission. Les clients attendent d’Apple et des autres sociétés technologiques qu’elles fassent tout ce qui est en leur pouvoir pour protéger ces données personnelles […]. Compromettre la sécurité de nos informations personnelles pourrait à terme mettre notre sécurité personnelle en danger. Voilà pourquoi le chiffrement est devenu si important pour nous tous. »

Un luxe de précautions, mais des positions tranchées

Apple insiste évidemment sur le fait que la tuerie de San Bernardino était un acte horrible et qu’elle n’a « aucune sympathie pour les terroristes ». Et pourtant, la firme a besoin d’une communication publique car elle avance sur une très fine ligne : faire comprendre pourquoi elle ne peut pas obéir à l’ordre du tribunal sans donner l’impression de protéger les criminels. La philosophie d’Apple est ainsi faite que tout le monde est protégé, même quand un utilisateur se trouve être un tueur ou un terroriste. Réduire la sécurité pour l’un réduirait la sécurité pour tous.

Apple indique donc dans sa lettre ouverte avoir fourni au FBI des ingénieurs pour aider autant que possible les agents à avancer. Mais devant le mur qui se dresse désormais, l’entreprise ne peut rien. Du moins en théorie, car il existe deux points très distincts. Sur la demande d’accès direct aux informations chiffrées, il y a clairement impossibilité technique, Apple ne possédant pas la précieuse clé. Mais les demandes du FBI ne s’arrêtent pas là.

Le FBI veut des tentatives illimitées sur le code PIN

L’agence aimerait qu’Apple crée une porte dérobée dans iOS. Contrairement à ce que l’on a l’habitude de voir, il ne s’agirait pas cette fois de « perforer » les défenses du chiffrement, mais de laisser aux forces de l’ordre la possibilité de tenter de passer le code PIN avec un nombre illimité de tentatives. Une attaque par force brute finalement, impossible à ce jour en raison des dix tentatives et du risque d’effacement des données.

La position de la firme est très claire et veut clairement emporter l'adhésion du public : « Le FBI veut que nous créions une nouvelle version du système d’exploitation de l’iPhone pour contourner plusieurs fonctionnalités importantes de sécurité et l’installer sur un iPhone obtenu pendant l’enquête. Entre de mauvaises mains, ce logiciel – qui n’existe pas actuellement – aurait le potentiel de déverrouiller n’importe quel iPhone. Le FBI peut utiliser différents mots pour désigner cet outil, mais ne soyez pas dupes : bâtir une version d’iOS qui contourne la sécurité de cette manière créerait immanquablement une porte dérobée. Et bien que le gouvernement puisse assurer que son utilisation serait limitée à cette affaire, il n’existe aucune garantie d’un tel contrôle. »

Angoisses à Cupertino

Voilà ce que craint l’entreprise : un outil dont le contrôle serait perdu et qui se retrouverait à circuler librement sur Internet et/ou qui serait utilisé à tour de bras par les forces de l’ordre. Les sécurités mises en place ne serviraient plus à rien, pas plus que le code PIN. Apple a également peur que la demande du tribunal crée un dangereux précédent car le FBI passe par la loi All Writs Act de 1789 qui réclame normalement d’une entreprise qu’elle mettre tout en œuvre pour aider les forces de l’ordre au cours d’une enquête.

« Les implications des demandes du gouvernement sont effrayantes. S’il peut utiliser l’All Writs Act pour faciliter le déverrouillage de votre iPhone, il obtiendrait le pouvoir d’atteindre n’importe quel appareil pour en récupérer les données. Le gouvernement pourrait élargir cette brèche dans la vie privée et demander à Apple de bâtir un logiciel de surveillance pour intercepter vos messages, accéder à vos données de santé ou financières, suivre votre position géographique ou même accéder à votre micro ou votre caméra sans que vous le sachiez. »

Apple refuse d'obtempérer

Conséquence, Apple a décidé de combattre l’ordre du tribunal et prépare donc son armada d’avocats. Cette phase du procès pourrait avoir de très lourdes conséquences sur le futur des entreprises proposant des systèmes mobiles car elle aurait tout le potentiel d'une jurisprudence.

Quand bien même Apple est la seule à communiquer pour l’instant (elle est après tout directement concernée par la procédure en cours), d’autres pourraient se manifester, le système juridique américain permettant à de tierces parties de proposer des avis (amicus curiae) pour « éclairer » le tribunal sur une situation particulière. Au vu de ce qui est en jeu, des sociétés comme Google, Microsoft ou même Samsung auraient donc tout loisir de participer à la procédure, comme l'ACLU l'a fait en novembre dernier pour Apple justement.

On peut être surpris néanmoins par le ton employé par Tim Cook dans la lettre. Jamais Apple n’a communiqué officiellement de manière aussi tranchée, voire brutale. Le choix des mots et les affirmations martelées en disent long sur la position de la firme. La question est cependant de savoir si l’entreprise peut réellement combattre et remporter la victoire. Elle a toutes ses chances, notamment parce que l’All Writs Act est utilisé dans un cadre pour lequel il n’a clairement pas été pensé (et pour cause). La position, ferme, est d'ailleurs applaudie par l'Electronic Frontier Foundation (EFF), qui annonce son soutien à l'entreprise dans un communiqué.

Si Apple devait perdre, le FBI aurait en mains une puissante décision pour obtenir de tous les fabricants le même type d’outils. Cependant, il ne faut pas oublier que si les États-Unis avaient le pouvoir d’exiger un tel outil, les autres pays en feraient tout autant. Il est d’ailleurs intéressant de noter que Tim Cook a publié sa lettre ouverte à minuit, heure de la côte Ouest américaine. À cette heure-ci, bon nombre d’Américains dorment, mais l’Europe se réveille. Peut-être une manière d’attirer l’attention de l’Union alors que le Privacy Shield, remplaçant du Safe Harbor, divise déjà.

Publiée le 17/02/2016 à 15:30
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...