iPhone verrouillé : pour Apple, la position du FBI profite aussi aux criminels

Je te tiens, tu me tiens... 24
En bref
image dediée
Crédits : hocus-focus/iStock
Sécurité
Vincent Hermann

Dans l’affaire qui oppose Apple et le FBI, chaque camp communique à tour de rôle. Un chef de la police new-yorkaise estimait ainsi que la résistance d’Apple équivalait à aider les criminels. Pour l’entreprise, c’est bien la demande du FBI qui pourrait aboutir à ce résultat.

Rappel des faits. Le FBI est en possession d’un iPhone 5c verrouillé contenant des données qui pourraient permettre de mieux cerner le contexte et la préparation de la fusillade de San Bernardino, en décembre dernier. Les informations ne peuvent actuellement être extraites car elles sont chiffrées, le code de verrouillage participant à la création de la clé.

L’opposition entre Apple et l’agence a commencé quand cette dernière a obtenu une ordonnance forçant l’entreprise à coopérer via la création d’un outil qui autoriserait les enquêteurs à tenter une infinité de combinaisons. Apple s’est opposée à cette ordonnance, par crainte d’établir un dangereux précédent : les forces de l’ordre n’auraient plus qu’à envoyer à Apple tous les iPhone impliqués dans des affaires pour extraire les données chiffrées.

La guerre de communication

Depuis, les deux camps se livrent une grande bataille, autant juridique que publique. Un affrontement qui pourrait décider de la place du chiffrement dans la loi américaine, la Silicon Valley soutenant massivement Apple contre le FBI, les forces de l’ordre et une bonne partie de l’opinion publique.

Récemment, le chef de l’unité antiterroriste de la police de New York, John Miller, s’est fendu d’un avis pour le moins tranché : par sa résistance au FBI, Apple « aide les kidnappeurs, les voleurs et les meurtriers ». Les criminels de tous bords pourraient donc compter sur le chiffrement dans iOS 8 et 9 pour être certains que leurs données y restent à l’abri. Une situation intolérable pour le responsable, qui estime que les enquêtes doivent pouvoir se poursuivre dans tous les cas. Une position parfaitement alignée avec celle du FBI.

« Soit vous avez la sécurité, soit vous ne l’avez pas »

Eddy Cue, l’un des pontes d'Apple, était hier l’invité d’une émission sur la chaine américaine Univision. Il y a pointé une position paradoxale : « Le gouvernement veut plus de sécurité que n’importe qui. Le secrétaire de la Défense, qui est responsable de la NSA, veut que le chiffrement continue à se renforcer. Parce qu’il sait que si nous créons quelque chose pour nous y faufiler, les criminels et les pirates pourront s’y faufiler aussi. Ils ne veulent pas de ça. Soit vous avez la sécurité, soit vous ne l’avez pas ».

La mention du secrétaire de la Défense est cruciale. Ashton Carter a en effet pris position en faveur du chiffrement et, sans pour autant se lever contre le FBI. Il a indiqué devant le Congrès américain que miner la sécurité serait dommageable pour tous. Il n’est pas forcément étonnant que le FBI et la NSA n’aient pas la même position sur le chiffrement. Les deux agences n’ont ni les mêmes rôles, ni surtout les mêmes outils. L’une des questions ressortant souvent devant le Congrès américain en est d’ailleurs une conséquence : pourquoi la NSA ne pourrait-elle pas aider le FBI dans ce type d’affaire ?

Le gouvernement devrait commencer par sécuriser ses propres systèmes

Eddy Cue note à ce sujet qu’il ne faut pas se leurrer sur l’étiquette « terrorisme » dans le cas de San Bernardino. Après avoir souligné qu’il existe actuellement plus de 200 affaires à New York impliquant des iPhone verrouillés, il ajoute : « Il n’y aura pas que des affaires de terrorisme, il y en aura de toutes sortes. Quand cela s’arrêtera-t-il ? À des affaires de divorce ? À des affaires d’immigration ? À des affaires fiscales ? ».

Il s’est également montré très critique envers le gouvernement, qu’il a invité à demi-mots à balayer devant sa porte avant de venir cogner à celle des autres. Il a en effet cité plusieurs piratages dans lesquelles différentes instances du gouvernement, y compris le FBI, ont perdu des données, dont des empreintes digitales de fonctionnaires, des numéros de cartes de crédit ou encore toutes sortes d’informations personnelles. « Le problème survient de plus en plus. Et la seule manière de nous protéger est de rendre les téléphones toujours plus sécurisés ».

En d’autres termes, la position défendue par le FBI est paradoxale : on ne peut pas affaiblir le chiffrement sans affaiblir du même coup la sécurité générale, y compris celle des institutions publiques. Or, si ces dernières sont déjà victimes d’attaques multiples, comment garantir que les données des citoyens ou fonctionnaires seront dûment protégées ? Une « incohérence » assénée comme un missile dans une bataille où les arguments se doivent de marquer les esprits.

Le vide juridique, point central du problème

Comme déjà indiqué par le passé, les batailles d’arguments ne font que souligner le manque cruel d’une législation adaptée. Le FBI espérait l’année dernière pouvoir compter sur la loi CALEA II, version survitaminée de la première CALEA (Communications Assistance for Law Enforcement Act), permettant aux forces de l’ordre de requérir l’aide des sociétés de communications. La version II aurait autorisé les instances à demander un panel d’actions beaucoup plus étendu, pouvant même forcer une entreprise comme Apple à obtempérer sous peine de sanctions (ce que la France n’a finalement pas hésité à faire).

Or, en l’absence d’une loi parfaitement adaptée, le FBI est passé par l’All Writs Acts, beaucoup plus généraliste, pour parvenir à l’ordonnance. Cette loi permet également de réclamer de l’aide, mais sous certaines conditions. Une entreprise ne doit par exemple pas voir ses finances impactées négativement par ce qui lui est demandé. Dans le cas d’Apple, percer ses propres défenses briserait nécessairement la confiance d’au moins une partie des utilisateurs, provoquant une chute du chiffre d’affaires. Un juge de New York a d’ailleurs validé ce point dans une autre affaire, accusant au passage le FBI de chercher à obtenir par les tribunaux ce qui lui avait été expressément refusé par le Congrès.

Pour Edward Snowden, les arguments du FBI sont des « conneries »

La situation actuelle se résume finalement à une bataille rangée où chaque camp soulève des arguments pour signaler les problèmes d’une victoire du camp adverse. Pendant ce temps, la question centrale de savoir quoi faire en de pareils cas reste en suspens. Depuis plusieurs, le problème du curseur à placer entre sécurité et respect de la vie privée ne fait qu’être abordé, une situation amplifiée depuis juin 2013 dès les premières révélations d’Edward Snowden.

Le lanceur d’alertes s’est d’ailleurs exprimé sur ce point lors d’une conférence depuis Moscou il y a deux jours. « Le FBI dit qu’Apple a des moyens techniques exclusifs pour déverrouiller un iPhone. Avec tout mon respect... Ce sont des conneries » a-t-il ainsi martelé. Selon lui, le FBI est parfaitement en mesure d’obtenir les informations réclamées. Mais alors, pourquoi vouloir forcer Apple à développer elle-même un outil revenant à pirater son propre produit ?

Snowden a cité dans un tweet un article de Daniel Kahn Gillmor, de l’ACLU (American Civil Liberties Union). L’auteur y explique que toute la procédure actuelle vise à forcer les entreprises à fournir des outils qui accélèreraient largement ce que les forces de l’ordre sont déjà en mesure de faire. L’usure de ces demandes pourrait entrainer avec le temps un affaiblissement volontaire des mesures de sécurité afin que les enquêtes puissent avancer beaucoup plus rapidement. Snowden indique dans son tweet que la communauté technologique dans son ensemble s’érige contre un tel objectif.

La Californie veut un chiffrement désactivable par les constructeurs

Puisque le paysage juridique pose d’évidents problèmes, la Californie réfléchit actuellement à une solution radicale : rendre le chiffrement des appareils mobiles pratiquement inutile. Un projet de loi a ainsi été déposé par le parlementaire Jim Cooper, qui propose de rendre n’importe quel smartphone vendu dans l’État américain « capable d’être déchiffré et déverrouillé par son constructeur ou le fournisseur du système d’exploitation ». Dans le cas présent, il s’agirait nécessairement d’Apple.

L’EFF, qui s’oppose fermement à ce projet de loi, rappelle une fois encore les dangers inhérents d’un chiffrement affaibli. Il ne peut y avoir en effet de moyen simple de couper le chiffrement sur un appareil sans posséder soi-même la clé. Dans les cas d’Apple et de Google, cela reviendrait à changer profondément la manière dont la clé est générée, ni l’une ni l’autre ne la possédant.

Nul doute, quoi qu’il en soit, que ces débats vont se poursuivre encore plusieurs mois. L’opposition d’Apple à l’ordonnance est récente et le tribunal pourrait ne pas rendre de verdict avant l’automne, voire l’année prochaine pour peu que la bataille s’éternise.


chargement
Chargement des commentaires...