Apple a annoncé hier un changement majeur : les sauvegardes iCloud vont pouvoir être chiffrées de bout en bout. La décision, attendue depuis des années, est saluée par les ONG et provoque la déception du FBI. Elle pourrait également faire tache d’huile dans l’industrie.
Chez Apple, plusieurs services bénéficient du chiffrement de bout en bout. C’est le cas d’iMessage depuis longtemps, Apple ne pouvant lire les échanges entre ses utilisateurs. Mais ce n’est plus vrai dès lors que la sauvegarde iCloud est activée, ce qu’elle est par défaut via le compte Apple, le même assurant la synchronisation des données entre les appareils.
Le problème a toujours été le même et revient régulièrement sur le tapis. Ce fut le cas par exemple lors du massacre de San Bernardino (voir notre récapitulatif), quand l’iPhone 5C du terroriste fut retrouvé. Les espoirs étaient alors que la sauvegarde iCloud avait été laissée active, ce qui aurait permis – via un mandat délivré par un juge – de réclamer la copie des données. Le FBI avait vite déchanté. On se souvient du bras de fer qui avait alors eu lieu entre le Bureau et Apple et qui avait failli se régler devant les tribunaux. Jusqu’à ce que le FBI annonce ne plus avoir besoin de l’entreprise : il avait acheté une faille de sécurité lui permettant d’entrer dans l’iPhone.
Dans un contexte de volonté politique de freiner le chiffrement de bout en bout pour faciliter le travail des forces de l’ordre – en peine avec la généralisation progressive de cette méthode – l’annonce d’Apple est un grand chambardement. D’autant qu’elle n’est pas la seule, puisque l’entreprise a présenté deux autres mesures.
Chiffrement : ce qui change
Actuellement, iCloud chiffre de bout en bout 14 catégories de données, dont les mots de passe du Trousseau et les données de Santé. Ces informations ne peuvent donc pas être lues, y compris par les forces de l’ordre équipées d’un mandat. Avec le changement, ce nombre passe à 23, incluant les photos, les notes et les fameuses sauvegardes.
Apple précise dans son communiqué que les seules catégories majeures de données non comprises dans le chiffrement de bout en bout sont les données de Mail, Contacts et Calendrier « à cause du besoin d’interopérabilité » avec les autres systèmes véhiculant ce type de données.
« La sécurité renforcée des données utilisateurs est plus urgente que jamais, comme démontré dans le rapport "The Rising Threat to Consumer Data in the Cloud" publié aujourd’hui. Les experts indiquent que le nombre total de fuites de données a plus que triplé entre 2013 et 2021, exposant 1,1 milliard d’enregistrements personnels à travers la planète en 2021 seulement. De manière croissante, les entreprises du secteur technologique réagissent à cette menace grandissante par l’implémentation du chiffrement de bout en bout dans leurs offres », a ainsi déclaré Apple. En clair, une brèche pourrait se produire chez Apple, qui préfère donc prendre les devants.
Un exercice de communication intéressant, sur une base d’actions concrètes qui interviennent dans le sillage de plusieurs taches, entre l’épine Pegasus et d’autres évènements, comme la recherche par le gouvernement français d’un nouveau téléphone sécurisé. L’annonce intervient également après l’arrivée, sur iOS 16, d’un mode Isolement conçu pour renforcer la sécurité.
Un chiffrement optionnel
À compter d’iOS 16.2 (en release candidate), les utilisateurs pourront se rendre dans Réglages > iCloud pour découvrir une nouvelle ligne. Baptisée « Protection avancée des données », elle permettra d’activer le chiffrement de bout en bout pour les catégories supplémentaires. Car oui, il s’agira d’une option, exactement comme dans WhatsApp à l’heure actuelle.
Apple va devoir se livrer à un autre exercice de communication, puisque l’activation de cette fonction ne sera pas anodine : en cas de perte du mot de passe, les données seront irrémédiablement perdues, comme dans tout service s’appuyant sur le chiffrement de bout en bout.
Actuellement, on peut en effet définir un contact habilité à fournir un code de secours en cas de problème ou récupérer une clé de secours à 28 caractères fournie par Apple. Mais aucune de ces solutions ne pourra plus fonctionner une fois l’option activée. C’est donc une arme à double-tranchant et l’entreprise devra expliquer clairement les avantages et inconvénients de ce chiffrement de bout en bout quasi généralisé.
Cette fonction ne sera pas disponible tout de suite. D’ici la fin de l’année, elle sera active aux États-Unis. Le reste du monde devra attendre le début d’année prochaine, sans plus de précision pour l’instant.
Deux salles, deux ambiances
La réaction de l’Electronic Frontier Foundation ne s’est pas fait attendre. Dans la foulée du communiqué d’Apple, l’ONG a applaudi des deux mains, saluant l’entreprise « d'avoir écouté les experts, les défenseurs des enfants et les utilisateurs qui veulent protéger leurs informations les plus sensibles. Le chiffrement est l'un des outils les plus importants dont nous disposons pour préserver la confidentialité et la sécurité en ligne ».
Dans la foulée, elle a félicité aussi Apple d’avoir abandonné son projet d’analyse des photothèques des utilisateurs, à la recherche d’éventuelles images à caractère pédopornographique. Une annonce qui avait soulevé une tempête de questions et d’inquiétudes, provoquant des réactions très contrastées entre des politiques qui applaudissaient et des experts en sécurité plus que circonspects, voire franchement critiques. Mais, pour les personnes qui avaient suivi l’évolution de cette annonce et le marais dans lequel s’était embourbée Apple, la destinée du projet ne faisait plus guère de doute.
Meredith Whittaker, chercheuse spécialisée en éthique de l'intelligence artificielle et plus notablement présidente de la fondation Signal, s’est elle aussi réjouie de l’annonce. Dans un tweet, elle a rappelé l’important travail des activistes de la vie privée. Au Wall Street Journal, elle a déclaré : « C’est génial. Il y a eu assez de pression et de travail narratif pour qu’ils voient de quel côté bascule l’histoire. C’est vraiment incroyable ». Signal, pour rappel, ne propose pas de sauvegarde en ligne, pour s’éviter ce genre de problème.
Le cryptologue Matthew Green a également félicité Apple pour cette décision, relevant lui aussi le problème côté utilisateur d’un chiffrement de bout en bout pouvant provoquer la perte des données en cas de mot de passe égaré. Il estime que l’annonce pourrait faire tache d’huile, les mouvements d’Apple dans le domaine de la sécurité étant souvent suivis par une bonne partie de l’industrie.
Au Wall Street Journal, le FBI fait cependant grise mine, se déclarant « profondément inquiet par la menace que fait peser le chiffrement de bout en bout. [Cette décision] entrave notre capacité à protéger les Américains de l’activité criminelle, allant des cyberattaques et de la violence contre les enfants au trafic de drogue, au crime organisé et au terrorisme. Dans cette ère de cybersécurité et demandes pour une "sécurité par conception", le FBI et les autres forces de l’ordre ont besoin d’un "accès légal par conception" ».
Ce dernier point est une demande régulière ayant déjà fait des émules, notamment en Australie. C’est l’idée que les forces de l’ordre, munies d’une autorisation spéciale, puissent accéder aux données chiffrées pendant leurs enquêtes. Mais le chiffrement de bout en bout ne supporte aucune exception. C’était tout l’objet de l’affrontement entre Apple et le FBI : le Bureau exigeait d’Apple qu’elle perce des trous dans ses propres protections, ce que l’entreprise refusait catégoriquement.
Il ne fait aucun doute que cette annonce va provoquer des remous, alors que la situation des enquêtes bloquées par le chiffrement des données devient plus prégnante avec les années.
Deux autres améliorations liées au chiffrement
Bien que le chiffrement des sauvegardes soit l’élément majeur du communiqué d’Apple, ce n’était pas le seul. Deux autres annonces ont été faites, dont iMessage Contact Key Verification. À la manière de Signal notamment (et de WhatsApp), l’application Messages pourra afficher un code visuel, qui pourra être confirmé avec le contact via une autre méthode.
Apple n’hésite pas, encore une fois, à évoquer le cas où son infrastructure serait attaquée par un pirate soutenu par un État. S’il parvenait à s’insérer dans la communication, la nouvelle fonction avertirait les correspondants pour leur signaler l’arrivée d’un nouvel appareil dans la communication.
L’autre annonce concerne la prise en charge des clés de sécurité pour la protection des comptes iCloud. « Enfin ! », s’écriront certains utilisateurs. Apple permet l’authentification à deux facteurs des appareils depuis 2015, mais n’avait jamais tenu compte des clés matérielles. Citant surtout le cas des personnes ayant un profil particulier (célébrités, journalistes et membres de gouvernements), il sera bientôt possible (toujours avec iOS 16.2) d’ajouter une clé matérielle à l’accès. Selon le cas, il faudra la brancher ou l’approcher de l’appareil pour qu’elle puisse remplir son office.
