Apple a annoncé vendredi dernier qu’elle ne réclamerait pas au FBI la méthode utilisée pour déverrouiller l’iPhone 5c retrouvé après la fusillade de San Bernardino. Une manière pour la firme de garder la tête haute, car elle n’aurait pas pu forcer l’agence à dévoiler ces informations.
Cet iPhone 5c avait été retrouvé sur le corps de Syed Farook, après le massacre par ce dernier et sa femme à San Bernardino, qui avait provoqué la mort de 11 personnes et fait 35 blessés. Entre les mains du FBI, le smartphone a cependant résisté aux tentatives d’extraction des données. Le chiffrement appliqué tenait compte, pour sa clé, du code de verrouillage à quatre chiffres proposé par iOS. Apple, qui ne possédait pas cette information, indiquait alors ne pas être en mesure d’aider les enquêteurs.
On connait la suite : ordonnance du tribunal pour obliger l’entreprise à agir, combat, batailles rangées d’arguments et finalement mise en lumière de l’affrontement central, à savoir celui de la Silicon Valley contre le gouvernement américain autour du chiffrement. Puis rebondissement : le FBI n’avait finalement plus besoin d’Apple. L’agence fédérale s'était en effet trouvé un allié qui lui fournissait une autre méthode, qui a fonctionné.
Une solution tierce qui sous-entend une faille de sécurité
On ne connait ni l’identité de ce tiers, ni les détails de la méthode. Sur le premier point, on peut tabler sur un candidat potentiel : Celebrite. Cette entreprise israélienne s’est fait une spécialité des outils pour aider les enquêtes qui buttent sur ce genre de difficulté. Aucun lien formel n’a été établi, mais certains sites, notamment The Hacker News, le tiennent pratiquement pour acquis. Quant à la méthode, elle demeure mystérieuse et a provoqué l’agacement d’Apple.
La firme a donc cherché à obtenir les détails de la technique, et ce pour une raison simple : il y a de grandes chances qu’elle soit basée sur une ou plusieurs failles de sécurité. Or, si de telles brèches existent encore, la société a tout intérêt à les colmater puisqu’elles peuvent être considérés comme 0-day, c’est-à-dire déjà exploitées alors même qu’aucune solution n’existe. Et si le FBI a pu s’en servir, des pirates le peuvent aussi, avec des objectifs beaucoup plus malveillants.
Le FBI n'a aucune obligation de fournir les détails
Seulement voilà, dans une annonce publiée le 28 avril 2014 au sujet de la faille Heartbleed, la Maison Blanche avait expliqué en détails sa philosophie sur la manière dont elle révélait les détails des failles. Chacune passe à travers un examen, le Vulnerabilities Equities Process, dont nous avions déjà parlé lors d’articles sur la gestion des failles 0-day par la NSA et la Navy. C’est seulement à la fin de ce processus que les instances fédérales déterminent si oui ou non les informations seront remontées à l’éditeur.
De fait, quand un représentant d’Apple a indiqué vendredi dernier lors d’une conférence téléphonique que la société ne réclamerait pas les détails, la vérité est qu’elle n’a aucun moyen de pression pour les obtenir. Si le FBI refuse catégoriquement de livrer les informations, la firme n’a aucun recours juridique.
Tout aussi intéressant, le fait que le représentant ait indiqué ne pas comprendre comment la méthode pouvait être spécifique à un iPhone 5c, ce qui a pourtant été mis en avant par le FBI. Cela sous-entend évidemment des ressemblances techniques qui ne devraient pas limiter l’extraction à ce seul modèle. D’ailleurs, puisque l’agence a déjà indiqué qu’elle allait apporter son concours dans d’autres affaires, la méthode peut sans doute être adaptée. Oui, mais jusqu’où ?
Apple travaille sans doute à ne pas revivre cet épisode
Une chose semble claire actuellement : Apple n’en restera pas là. Étant donné l’implication de la firme dans les sujets du chiffrement et du curseur à déplacer entre sécurité et respect de la vie privée, il y a fort à parier qu’elle annoncera des nouveautés spécifiques à ce chapitre dans iOS 10, qui devrait être présenté en juin lors de la prochaine WWDC. Il n’est pas non plus impossible que des apports matériels soient faits dans le prochaine iPhone « 7 », à la manière de l’enclave sécurisée apparue avec l’iPhone 5s.
En tenant compte de la réaction épidermique de l’entreprise aux demandes du FBI, il est évident qu’elle cherchera à ne plus être baladée de cette manière dans le futur. Sur le papier, on peut parler de victoire pour l’entreprise, puisqu’elle a tenu bon, en dépit d’ailleurs d’une opinion publique plutôt favorable aux demandes du FBI. Dans la pratique, ce dernier a obtenu ce qu’il voulait, garde sa méthode secrète et se tient prêt à relancer une procédure au besoin. D’ailleurs, le Bureau se tourne actuellement vers Google pour des dossiers similaires, à ceci près que le chiffrement intégral des données sous Android est beaucoup moins répandu.
