Un rapport de l’inspection interne du FBI a tranché : l’agence fédérale est allée trop vite dans son affrontement avec Apple autour du fameux iPhone 5c, suite à la tuerie de San Bernardino. Le FBI n’avait pas épuisé tous les recours possibles avant de chercher à contraindre Apple. Explications.
Rappel des faits. En décembre 2015, Syed Rizwan Farook et sa femme ouvrent le feu à San Bernardino, en Californie. Bilan : 14 morts et 17 blessés. Un iPhone 5c est retrouvé sur le corps du tueur. Importante pièce à conviction, il se retrouve au cœur d’une enquête pour terrorisme, Farook ayant des liens établis avec Daech (qui revendiquera l’attentat).
Apple est logiquement sollicitée, comme de nombreuses autres entreprises dans ces cas. Mais l’aide se trouve limitée : Farook avait désactivé iCloud et Apple n’avait que d’anciennes données sur ses serveurs. Quant au contenu du téléphone, il était inaccessible à cause du code PIN.
iOS chiffre en effet les données locales depuis des années. Le code PIN, auparavant de quatre chiffres (six depuis iOS 9), fait partie intégrante de la clé de chiffrement. Apple ne possède pas cette information et n’a donc pas accès à la clé. En outre, seules dix tentatives sont autorisées, chacune avec un temps d’attente de plus en plus long. Farook ayant potentiellement activé l’effacement des données après dix tentatives ratées, le FBI ne pouvait en réaliser que neuf au maximum.
Pression, clash et faille de sécurité
Le ton est donc monté entre l’agence et l’entreprise. Le FBI a fini par réclamer à Apple une version modifiée d’iOS 9 autorisant un nombre illimité de tentatives. Refus de la pomme : elle serait obligée de percer ses propres défenses, ce qui non seulement n’est pas autorisé par la loi, mais créerait en plus un dangereux précédent. Avec en filigrane l'éternelle question des portes dérobées dans le chiffrement.
En février 2016, les réactions étaient devenues vives. En mars, le FBI annonce alors ne plus avoir besoin d’Apple : une faille de sécurité a été achetée à des chercheurs. Le FBI n’en a jamais communiqué les détails à Apple, malgré les demandes. Le 28 mars, la vulnérabilité était confirmée comme efficace : les données avaient bien été récupérées.
Un étrange rapport de l’inspection interne
Le versant moins connu de l’affaire commence le 31 août 2016, quand Amy Hess, Executive Assistant Director (EAD) du FBI, saisit l’OIG (Office of Inspector General), c'est-à-dire l’inspection interne.
Elle est inquiète : des dissensions sont apparues au sein de l’Operational Technology Division sur les moyens dont dispose réellement le FBI face à ce type de problème. Elle craint que ces avis divergents n’entrainent des faux témoignages d’elle-même ou de James Comey – alors directeur du FBI, depuis licencié par Donald Trump – devant le Congrès, qui se penchait activement sur la question.
En résumé, les responsables du FBI n’étaient pas d’accord sur la liste des moyens techniques accessibles pour extraire les données de l’iPhone. La direction de l’agence allait se retrouver devant une assemblée de députés et sénateurs pour affirmer si, oui ou non, le FBI avait bien épuisé tous les recours avant de chercher à contraindre Apple. Ce qui fut finalement bien déclaré par Comey.
Une erreur de bonne foi
Pour l’OIG, l’erreur semble être de bonne foi. Le rapport note qu’il existait une réelle confusion sur les moyens dont disposait l’agence. Amy Hess a notamment évoqué devant le Congrès une course effrénée de la technologie et la « frustration » du FBI lors de certaines enquêtes. Il n’y aura cependant pas de sanctions. Ce qui ne signifie pas que l’agence en ressorte totalement « blanchie ».
L’OIG note en effet des erreurs, dont la principale : quel que soit le nombre de recours possibles, le FBI aurait dû tous les explorer avant d’envisager le tir d’artillerie contre Apple. Mais une telle synthèse des idées impliquait que les différentes divisions de l’agence communiquent efficacement, ce qui n’était pas le cas.
C’est l’information la plus surprenante du rapport : la division Remote Operations Unit était prête d’obtenir une solution quand la faille de sécurité a été achetée. Le 11 février, la ROU était en contact avec une société avec qui elle avait l’habitude de travailler. Le degré de complétion de cette solution était alors estimé à « 90 % », l’entreprise ayant reçu pour instruction de traiter cette demande en priorité.
James Comey ne connaissait manifestement pas ce projet lors de son premier témoignage devant le Congrès le 9 février. Le 1er mars, lors du deuxième, il était peut-être au courant, mais il a déclaré que le FBI n’était pas en capacité de récupérer les données. Techniquement, la réponse est juste : l’entreprise contactée par la ROU n’avait pas fini le travail.
Une communication interne à revoir, une division dédiée
La conclusion du rapport est donc sans surprise : le FBI doit établir une meilleure communication interne. Selon l’OIG d’ailleurs, le FBI « prend des mesures » pour éviter que ce type d’incident ne se reproduise. Une nouvelle division va d’ailleurs être créée (une de plus) pour concentrer toutes les ressources liées aux problèmes de données chiffrées.
À ce titre, on peut penser que la frustration a pu jouer un rôle dans l’emballement mécanique des réactions du FBI. Moins de trois mois séparaient en effet les tragiques évènements de San Bernardino de l’ordonnance qui devait forcer Apple à percer ses propres défenses. La pression n’est d’ailleurs retombée que parce que l’agence a acheté la fameuse faille, pour au moins 1,3 million de dollars. Une opération qui semblait là encore poussée par l’urgence.
Par ailleurs, le rapport souligne que certains responsables souhaitaient en découdre avec Apple, dont l'attitude face au chiffrement (largement soutenue par le reste de l'industrie) cristallisait les craintes des forces de l'ordre. Le chef de la ROU, qui avait organisé l'achat de la faille de sécurité, s'était ainsi attiré les foudres du responsable de la section d'analyse cryptographique et électronique : il souhaitait que les tribunaux tranchent. Probablement pour établir une puissante jurisprudence.
