Attaqué pour son utilisation d’une faille de sécurité secrète dans iOS, le FBI a fini par dévoiler un document de 100 pages dans lequel il dévoile la technique utilisée. Malheureusement, les informations cruciales sont classifiées et donc barrées de noir.
L’opposition entre Apple et le FBI est maintenant connue. La tuerie de San Bernardino (14 morts), en décembre 2015, a été orchestrée par un couple. Le principal suspect, Syed Farook, possédait un iPhone 5C, retrouvé sur les lieux de la tragédie. L’affaire, prenant rapidement un tour antiterroriste, a été prise en main par le FBI, qui a cherché à obtenir d’éventuels précieux renseignements dans le smartphone.
Le FBI a couru derrière Apple, Apple a couru derrière le FBI
Problème, le contenu était chiffré. Dans iOS, la clé prend en partie appui sur le code de verrouillage de l’utilisateur. Inconnu d’Apple, la firme a répété inlassablement qu’elle ne pouvait pas aider le FBI. Ce dernier s’est retrouvé coincé : impossible de savoir si Farook avait activé l’effacement automatique des données en cas d’échecs trop nombreux sur le code.
Le Bureau a alors haussé le ton, menaçant Apple de la forcer à obtempérer, par voie de justice si nécessaire. Puis, alors que les avocats affutaient les armes, surprise : l’agence n’avait plus besoin de l’entreprise. Pourquoi ? Parce qu’une faille de sécurité dans iOS avait été trouvée, et qu’elle permettait de contourner le chiffrement, donc d’obtenir les données. Apple, dans un retournement de situation, a alors demandé au FBI de bien vouloir présenter les détails techniques de la vulnérabilité pour qu’elle soit colmatée. Peine perdue, l’agence avait tout à fait le droit de les garder au secret, dont acte.
Six mois plus tard, trois organes américains de presse – The Associated Press, USA Today et Vice Media – déposent plainte contre le FBI, en vue d’obtenir les détails techniques de cette brèche. Deux angles d’attaque étaient fournis. Le premier, une question de transparence sur l’utilisation des fonds publics (on sait que la faille a coûté au moins 1,3 million de dollars). L’autre tout aussi évidente : le danger représenté par une faille ouverte et donc laissée aux quatre vents.
Un document de 100 pages copieusement noircies
La plainte, prenant appui sur la loi FOIA (Freedom of Information Act), a fini par faire mouche, comme l'indique The Associated Press. Les trois organes de presse ont obtenu un document de 100 pages dans lequel la méthode utilisée est décrite avec précision. Malheureusement, toutes les informations cruciales ont été barrées de noir et sont donc impossibles à lire. Ces détails ont été classifiés, et le secret a tout simplement la priorité sur la loi FOIA.
On y apprend cependant que durant le bras de fer avec Apple, le FBI avait lancé un appel d’offres. Mission, obtenir une aide technique sur la récupération des données. Trois entreprises avaient répondu, puis une fut sélectionnée. Des accords de non-divulgation empêchant là encore d’en savoir davantage.
Le secret d'une faille plus lourd que la liberté d'information
Pour comprendre cette zone d’ombre, il faut rappeler que toute faille de sécurité entrant dans la mécanique fédérale est analysée selon un processus particulier, que la NSA avait d’ailleurs rappelé quand elle avait précisé que 91 % des vulnérabilités étaient communiqués aux sociétés concernées. Au terme de ce circuit, des experts déterminent si la brèche est « rendue » ou si elle est mise de côté pour une utilisation ultérieure. Dans ce cas, aucune demande ne peut rétablir la lumière, même devant les tribunaux.
L’argument de la sécurité, pourtant le plus lourd, ne pesait donc pas suffisamment face à une possible réutilisation de la technique dans des affaires similaires. Sans ces détails, Apple ne peut pas savoir où chercher, la faille restant exposée. Des pirates pourraient tout à fait la découvrir et l’utiliser pour d’autres opérations, aux objectifs moins « nobles ».
Aux États-Unis, l’affaire avait relancé l’éternel débat sur le curseur, qui oscille en permanence entre bonne marche des enquêtes et sécurité des utilisateurs. Le danger entourant le marché des failles de sécurité est connu depuis longtemps, les forces de l’ordre étant dans l’incapacité de certifier que des vulnérabilités ne seront pas découvertes et exploitées de manière malveillante. Pour rappel, l’affaire des outils volés à la NSA avait révélé par exemple de vieilles failles dans des équipements réseau de Cisco et Fortinet. Elles avaient été colmatées, mais leur âge (plusieurs années) faisait peser de lourds soupçons sur des utilisations détournées.
