Je vous parlais récemment du conflit opposant le FBI à Apple dans la question liée au déchiffrement d’un iPhone ayant appartenu à un des terroristes de San Bernardino. Pour rappel rapide, la police tente d’obtenir l’information au cœur d’un téléphone chiffré par le système d’exploitation d’Apple. Le téléphone en question est aussi protégé par le système permettant l’effacement des données du téléphone advenant l’entrée de 10 mots de passe erronés – comme les policiers veulent les données, ils ne peuvent ouvrir le téléphone avec une attaque de force brute, soit répéter des mots de passe jusqu’à ce que le bon soit trouvé.
Par l’entremise du Département de la Justice, le FBI souhaite donc qu’Apple puisse lui fournir un logiciel lui permettant d’outrepasser le chiffrement du téléphone. Apple refuse catégoriquement de faire cela en alléguant que cela nuirait globalement à la sécurité de ses clients et qu’accepter d’obtempérer constituerait un précédent qui ouvrirait la porte à toute sorte d’autres demandes similaires.
Depuis, Apple a amené le champ de bataille où le FBI est le moins à l’aise, c’est-à-dire dans l’espace médiatique – la longue entrevue donnée par Tim Cook en est un excellent exemple. Le débat est donc bien entamé, et disons les choses ainsi : ça n’augure pas super bien pour le FBI.
Un avant-goût de la défaite du FBI?
Le juge Orenstein trouve que le gouvernement pousse pas mal loin son interprétation du droit. En fait, il interroge même la constitutionnalité de ce genre d’interprétation.
La première raison pour laquelle le FBI risque de mordre de la poussière est liée à un jugement rendu par le juge James Orenstein de New York, dans une affaire qui ne concerne donc pas directement San Bernardino, mais qui similaire, et qui pourrait avoir un impact sur la cause qui nous intéresse ici.
Le jugement en question concerne une demande exécutée le 8 octobre 2015 par le gouvernement qui exigeait d’Apple d’aider le FBI à déverrouiller un iPhone 5s. Selon les demandeurs, cette exigence pouvait se faire dans le cadre de l’All Writs Act, une loi datant de 1789 qui force une entreprise ayant un lien avec une cause à assister les enquêteurs.
Sans entrer dans les fioritures juridiques, disons que le juge Orenstein trouve que le gouvernement pousse pas mal loin son interprétation du droit. En fait, il interroge même la constitutionnalité de ce genre d’interprétation. Bref, dans ce cas, Apple n’est donc aucunement dans l’obligation de fournir de l’aide aux enquêteurs, du moins de le faire si cela va contre sa volonté.
Bévue, par-dessus bévue
La seconde pour laquelle le FBI devra probablement faire autrement est toutefois en raison du FBI qui apparaît de plus en plus comme l’artisan de son propre malheur. Alors qu’il était appelé à témoigner devant le Congrès sur la question, le patron du FBI, James Comey, est apparu on ne peut plus brouillon. Par exemple, Comey a dit que l’iCloud n’est pas chiffré, ce qui est faux.
De plus, il s’est lancé dans des hypothèses douteuses en critiquant la position de l’entreprise qui allègue que de donner au FBI le pouvoir d’accéder à ce téléphone était une pente dangereuse qui pourrait permettre à d’éventuels individus malintentionnés d’exploiter la brèche créée par Apple.
«Les arguments basés sur des pentes dangereuses sont toujours attirants», a-t-il lancé. «Les ingénieurs d’Apple ont ça dans leur tête. Qu’arriverait-il s’ils se faisaient kidnapper et qu’ils étaient forcés à créer du logiciel?»
Non seulement c’est un argument on ne peut plus louche, mais en plus, c’est un scénario qui a été déconstruit par Apple. En effet, l’entreprise a affirmé qu’aucun de ses ingénieurs n’était en mesure à lui seul de défaire la sécurité du système d’exploitation. Le travail en silo présent chez Apple fait en sorte qu’aucun employé n’est complètement au courant du fonctionnement d’un système.
Finalement, le directeur du FBI est apparu assez méconnaissant des possibilités technologiques liées au téléphone, surtout alors qu’il se faisait pilonner par le congressiste Darrell Issa, comme en témoigne l’extrait suivant de son témoignage devant le Congrès :
Darrell Issa : Avez-vous reçu le code source de la part d’Apple? Avez-vous demandé le code source?
James Comey : Est-ce qu’on a demandé à Apple leur code source? Pas à ce que je sache.
Darrell Issa : Est-ce que l’iPhone 5c a une mémoire non volatile dans laquelle toutes les données chiffrées et les options du téléphone sont stockées?
James Comey : Je ne sais pas.
Darrell Issa : Bien, il y en a en fait. Croyez-moi sur parole pour l’instant. Cela signifie donc que vous pouvez retirer du téléphone toute la mémoire non volatile, son disque dur si vous préférez, en faire une copie complète, vous permettant de conduire un nombre infini d’attaques sur ladite copie. Nous allons assumer que vous pouvez faire une quantité infinie de copie du moment que vous êtes en mesure de faire une copie, n’est-ce pas?
James Comey : Je n’en ai aucune idée.
Darrell Issa : Passons au travers de ce que vous demandez. Je fais cela parce que je viens du secteur de la sécurité et ça me sidère que vous n’ayez pas jeté un coup d’œil au code source et que vous ne compreniez pas vraiment le fonctionnement des disques de stockage, ou êtes même en mesure de répondre à mes questions stupides.
Il n’y a qu’une seule mémoire et cette mémoire – cette mémoire non volatile qui est en attente là – et il y a une puce, et cette puce a un code de chiffrement qui est imprimé à l’intérieur. Et vous pouvez faire 10 000 copies de cette puce, ce disque dur non volatile, ensuite vous pouvez faire toutes les attaques que vous voulez dessus.
Maintenant, vous demandez spécifiquement à Apple de défaire le code lié à l’empreinte digitale pour que vous puissiez l’attaquer, pour que vous n’ayez pas à entrer de code. Vous leur avez demandé d’éliminer l’effacement après 10 essais.
Mais, de ce que je peux en comprendre, vous ne leur avez pas demandé : «OK, si nous faisons 1 000 copies ou 2 000 copies de ça et on le place avec la puce et on essaie cinq coups, 00 à 04, pour ensuite jeter l’image et la remplacer avec une nouvelle et faire cela 2 000 fois, est-ce que nous n’aurions pas essayé avec une puce inchangée et un code de chiffrement l’équivalent 2 000 fois? N’aurions-nous pas essayé les 10 000 combinaisons possibles, et ce, en quelques heures?»
Si vous ne vous êtes pas posé cette question, comment pouvez-vous venir devant ce comité, devant un juge fédéral pour demander que quelqu’un d’autre invente quelque chose si vous n’êtes pas en mesure de répondre à la question à savoir si vos gens ont essayé cette méthode? (Traduction libre)
Bref, le tout s’est tellement mal passé, que Gizmodo n’a pas hésité à dire que Comey était un clown. Sans aller jusque là, c’est néanmoins le symptôme assez éloquent du déphasage entre le monde des forces policières et celui des technologies.
C’est aussi l’indicateur d’une dure réalité : bon nombre de décideurs comprennent très mal les technologies, leurs effets et, surtout, leurs fonctionnements. Et là, je vous passe toute la déconfiture dans la question de la gestion de la copie de sauvegarde se trouvant dans iCloud.
Considérant qu’Apple semble travaille sur un téléphone qu’Apple même serait incapable de violer (en théorie du moins), on peut dire que le FBI est loin d’être sorti du bois!
