Dans l’affaire qui oppose Apple au FBI, le directeur de l’agence fédérale a admis une erreur : le mot de passe du compte iCloud a été réinitialisé, empêchant la récupération de ces données. Il indique cependant que cela ne change rien aux demandes faites à Apple.
Apple et le FBI se regardent comme deux chiens de faïence depuis que l’agence a fait valider par un tribunal californien une ordonnance particulière : l’obligation de fournir une aide technique au FBI dans le cas d’une enquête plongeant ses racines dans le terrorisme, la fusillade de San Bernardino. Depuis ces évènements tragiques en décembre dernier, les enquêteurs sont en possession d’un iPhone 5c dont les données n’ont toujours pas été récupérées.
Cet iPhone résiste aux tentatives de récupération pour une raison simple : les enquêteurs ne connaissent pas le code de déverrouillage de l’appareil. Or, ce code fait partie intégrante de la clé de chiffrement qui est appliquée aux données personnelles. Apple ne connaissant pas le code et le terroriste ayant été abattu, il est délicat – mais pas impossible – de créer une solution logicielle qui pourrait contourner la protection.
Léger avantage pour Apple pour l'instant
Comme nous l’indiquions hier, la demande est particulièrement déraisonnable pour Apple, qui condamne l’utilisation faite d’une loi en particulier, l’All Writs Act de 1789. Cette dernière permet aux forces de l’ordre de requérir l’aide d’une entreprise, à moins que les actions demandées ne mettent en danger son activité commerciale.
Du point de vue d’Apple, c’est précisément le problème : contourner la sécurité de ses propres produits rabotera sérieusement la confiance de la clientèle. Et la société peut d’autant plus insister sur ce point que son message s’oriente toujours plus vers la sécurité depuis quelques années, particulièrement depuis les premières révélations d’Edward Snowden. Un juge de New-York (James Orenstein) a d’ailleurs donné raison à la firme dans une autre affaire, critiquant le FBI pour sa tentative de faire passer par les tribunaux ce qu’il n’a pu obtenir par la loi (voir notre analyse à ce sujet).
Le FBI pouvait avoir à disposition les données du compte iCloud
Cette décision d’Orenstein est déjà un désaveu du FBI, dont les méthodes juridiques sont contestées. Mais il faut ajouter à ceci la reconnaissance d’une erreur que James Comey, directeur de l’agence, s’était refusé à faire jusqu’ici. Comme nous l’avions indiqué il y a deux semaines, il existe bien d’un côté les données locales sur l’iPhone, et celles dans iCloud, copiées par la fonction de sauvegarde automatisée d’iOS. Or, le FBI aurait pu avoir ces données très facilement, mais une erreur grossière l’en a empêché.
Dans le cadre des enquêtes, si Apple ne peut pas donner des données locales, elle peut sur mandat récupérer les informations dans ses serveurs. Une demande a été faite en ce sens, mais pas avant que le FBI n’ait réclamé la réinitialisation du mot de passe. L’agence est passée par le Département de la Santé, employeur du terroriste à qui appartenait l’iPhone (Syed Rizwan Farook). Les enquêteurs ont manifestement pensé que l’opération leur permettrait de prendre le contrôle du compte et d’en récupérer les données.
Un mot de passe réinitialisé, des données inaccessibles
Mais cette réinitialisation s’est retournée contre le FBI. On ne sait pas exactement ce qui s’est passé, mais un élément semble clair : l’opération a interrompu les sauvegardes de l’appareil, dont la dernière datait du 19 octobre. Apple n’était donc pas en possession des données au-delà de cette date, l’agence se retrouvant donc doublement ennuyée.
C’est la grande erreur reconnue par James Comey devant une commission sénatoriale hier. Un aveu d'autant plus important que le FBI avait toujours nié qu'il s'agissait d'une bourde. Il estime cependant que cette erreur n'est pas trop grave dans la mesure où les informations du compte iCloud n'auraient de toute manière pas contenu tout ce qui se trouve localement sur le smartphone.
L'erreur ne doit pas non plus détourner l’attention de ce qui est véritablement en jeu selon Comey. Un avis concentré dans une réplique cinglante : « Apple vend des téléphones, pas des libertés civiles, ça c’est à nous de nous en charger ». Il l’a d’ailleurs encore répété : personne ne demande à Apple de créer un outil généraliste pour le FBI qui permettrait de déverrouiller n’importe quel smartphone tombant dans ses mains. Apple doit se contenter d’extraire les données de cet iPhone en particulier, rien de plus.
La réponse de l’entreprise est déjà connue : peu importe que l’outil soit spécifique, si la demande du FBI est validée, les suivantes le seront également. Bruce Sewell, responsable juridique de la firme, l’a répété hier devant la même commission.
Une affaire qui illustre le manque de législation claire
Si Apple et FBI étaient entendus par le Sénat américain, c’est que l’affaire fait grand bruit et qu’elle illustre parfaitement une réalité tangible : personne ne veut s’engager dans une législation qui trancherait dans ce domaine. Les forces de l’ordre aimeraient avoir les coudées franches, les entreprises voudraient la garantie qu’on ne leur demandera pas de piocher dans leurs propres protections. Les deux objectifs sont difficilement mariables.
Et pourtant, une vraie réflexion sur ce thème reste le seul moyen possible d’en finir avec ces affrontements. La question est alors de savoir quel représentant oserait se lancer dans un tel chantier, surtout après la tentative ratée de la loi CALEA II l’année dernière. L’un des sénateurs a d’ailleurs fait une tentative en ce sens, comme le rappelle Ars Technica. Richard Burr avait en effet proposé, après publication de la lettre ouverte de Tim Cook, de criminaliser ce genre de réponse de la part d’une entreprise qui refuse aussi obstinément d’aider à la résolution d’une enquête. Dès le lendemain, la proposition était retirée.
