Des documents obtenus par The Intercept montrent qu’Apple est en mesure de fournir des métadonnées provenant d’iMessage aux forces de l’ordre quand elles en font la demande. Ce n’est cependant pas une surprise. L’occasion de rappeler certains points sur la sécurité de cette fonctionnalité.
Les documents pointent vers un certain nombre d’opération réalisées par les serveurs d’Apple quand les utilisateurs se servent d’iMessage. Pour rappel, il s’agit de l’application de messagerie maison. Quand des appareils Apple communiquent entre eux, ils peuvent échanger via Internet, et non par les SMS classiques. Statuts de lecture et autres possibilités sont alors de la partie. Une solution qui fonctionne globalement comme WhatsApp, Viber et autres.
Des métadonnées liées à l'activité des contacts
Depuis un iPhone, quand un utilisateur a écrit un numéro de téléphone, le serveur d’Apple est contacté pour vérifier s’il est affilié à un compte iMessage. Pour l’utilisateur, l’opération est presque transparente : si le numéro bascule en bleu, c’est bien qu’iMessage est exploité (bulles bleues au lieu de vertes, qui signalent les SMS classiques). Mais ces opérations de vérification laissent des traces, Apple les consignant dans un historique (log).
Les informations en question sont le numéro de téléphone qui émet la demande, celui dont la compatibilité iMessage est vérifiée, l’horodatage de cette requête ainsi que l’adresse IP de l’utilisateur. Elles sont gardées pendant 30 jours, après quoi elles sont automatiquement effacées. Ce sont ces informations qu’Apple est en mesure de donner aux forces de l’ordre si elles obtiennent un mandat.
Apple expliquait déjà ce fonctionnement dans un document
Apple ne se cache d’ailleurs pas de cet historique. Elle fournit un certain nombre de documents dans lesquels on trouve sa manière de stocker certaines informations (horodatage et adresses IP essentiellement) pour le fonctionnement de ces services. Ces données sont aussi accessibles aux forces de l’ordre que dans n’importe quelle entreprise : l’entreprise y est tenue légalement. Ce qui ne l’empêche pas de répéter que chaque demande est examinée avec soin.
L’éditeur a également réagi aux questions provoquées par le document de The Intercept : « Quand les forces de l’ordre nous présentent un mandat ou une ordonnance valide, nous fournissons l’information demandée si elle est en notre possession. Parce qu’iMessage est chiffré de bout-en-bout, nous n’avons pas accès au contenu de ces communications. Dans certains cas, nous pouvons fournir certaines données des journaux de serveurs, générés quand les clients accèdent à certaines applications depuis leurs appareils. Nous travaillons étroitement avec les forces de l’ordre pour les aider à comprendre ce que nous pouvons fournir et que les logs ne contiennent pas les conversations, pas plus qu’ils ne prouvent qu’une communication a bien eu lieu ».
Un numéro comparé ne signifie pas forcément une conversation
On retrouve en fait la séparation classique entre les données et les métadonnées, ces dernières étant pour ainsi dire « administratives ». Elles constituent un contexte, mais pas un contenu. La nuance sur ce point est importante : tout ce que peut montrer un log iMessage, c’est qu’un numéro a été testé pour s’assurer de la présence d’un compte Apple associé. Il n’est pas possible de savoir si des échanges ont eu lieu après coup. Même principe que dans les autres solutions de messagerie, quand le carnet d’adresses est analysé pour y trouver les contacts utilisant déjà ces services.
Il existe toutefois un élément important à rappeler sur le chiffrement de bout-en-bout. Techniquement, Apple dit juste : les messages échangés entre utilisateurs d’iMessage ont leurs communications chiffrées avant qu’elles ne quittent les appareils (iPhone, iPad, Mac…). Ce n’est pas le cas cependant des sauvegardes iCloud de ces mêmes appareils. L’archive est chiffrée, mais Apple en possède la clé. La fonctionnalité est toutefois désactivable, tout comme iMessage d’ailleurs.
D'inévitables traces
La « découverte » de The Intercept a surtout pour bénéfice de rappeler que toute opération réalisée en ligne laisse des traces. Chaque opérateur de téléphonie ou de service de communication a l’obligation de garder certaines informations dans des historiques, la durée de conservation dépendant du secteur et surtout des lois locales. En France par exemple, les métadonnées doivent être gardées pendant un an. Le contenu n’est pas accessible, mais ces informations périphériques peuvent être facilement identifiantes.
