Apple à la justice américaine : Allez au diable!

Fight for your right

Exclusif
Liste de tags

Donc, une juge américaine a sommé Apple de permettre d’outrepasser le chiffrement de ses téléphones intelligents pour avoir accès aux informations se trouvant à l’intérieur. La réponse d’Apple ne s’est pas fait attendre, et pourrait être paraphrasée par «J’penserais pas, non».

Dans une longue lettre adressée à ses clients, Apple fustige le gouvernement américain qui tente d’obtenir, au travers de son bras judiciaire, une porte dérobée dans ses appareils intelligents sous iOS. Sans entrer dans les détails judiciaires ou techniques, la Cour a ordonné à Apple de créer un outil permettant aux autorités fédérales, principalement le FBI, d’accéder au contenu stocké dans les appareils iOS qu’il vend. En d’autres mots, on demande à Apple de fournir un outil permettant de pirater ses propres utilisateurs.

Une telle demande impliquerait deux choses. La première serait évidemment un logiciel permettant de lire et extraire le contenu présent sur les appareils iOS. Le second, et c’est là où le bât blesse, ledit logiciel doit être en mesure d’outrepasser la protection cryptographique présente sur ces produits, ce qui implique nécessairement une porte dérobée présente d’office dans le système d’exploitation. Or, ce qu’Apple souligne, c’est qu’une telle technique viendrait mettre à mal plus d’une décennie d’innovation en matière de sécurité de l’information, produisant ipso facto des effets dommageables sur l’ensemble de ses utilisateurs. 

Le raisonnement du FBI ne fait pas l’unanimité

Quand même les anciens de la NSA critiquent l’approche du FBI, on est en droit de douter de l’argumentaire de la police fédérale.

Cela fait plusieurs mois que le FBI clame haut et fort vouloir une méthode permettant d’outrepasser le chiffrement des appareils intelligents. Pourtant, la vaste majorité des acteurs impliqués dans le domaine des technologies de l’information stipulent que cela serait plus néfaste qu’autre chose. Quand même les anciens de la NSA critiquent l’approche du FBI, on est en droit de douter de l’argumentaire de la police fédérale.

En effet, c’est Michæl Hayden, ancien responsable de la NSA, qui affirmait récemment que les intérêts de sécurité nationale des États-Unis étaient mieux servis par des systèmes de chiffrement fort et inviolable, plutôt que par des systèmes ayant des portes dérobées permettant aux autorités d’accéder aux données selon leurs besoins.

La raison est simple : du moment que l’on implante une porte dérobée dans un système, les probabilités que des individus malintentionnés puissent l’exploiter sont importantes. Or, cela est un problème pour tout le monde, autant pour le citoyen lambda qui souhaite simplement ne pas se faire voler son identité, que pour l’agent de renseignements qui compte sur des méthodes de chiffrement efficaces pour communiquer dans des pays hostiles. On comprendra rapidement que, dans ce second cas, c’est tout l’appareil de sécurité étatique qui bénéficie de méthodes de chiffrement réputées «inviolables».

Non, le téléphone intelligent n'est pas un coffre-fort.

Au-delà de cet argument, Hayden va plus loin dans sa critique en disant que les agences voulant briser les systèmes de chiffrement peuvent facilement contourner le problème en faisant l’analyse des métadonnées qui, elles, ne sont pas chiffrées et peuvent être accédées relativement facilement. Rappelons d’ailleurs que la NSA prenait des décisions sur le fait ou non de tuer une cible sur la simple base de métadonnées.

Or, c’est bien dommage, mais le fait de distribuer massivement des logiciels ayant des portes dérobées conteste nécessairement la logique de «gestion du risque». La logique avancée par le FBI est la suivante : pour gérer quelques cas d’exceptions, le FBI aimerait diminuer la sécurité globale de tous les appareils intelligents créés par Apple. Si l’on transfère cette logique sur les véhicules automobiles par exemple, l’analogie consisterait à demander de retirer tous les coussins gonflables des voitures, parce qu’une poignée de tatas sont en mesure de les faire exploser au visage de quelques conducteurs lesdits coussins.

Ce raisonnement est d’autant plus déficient que l’endémie de vols d’iPhone présente il y a de cela quelques années est pour ainsi dire disparue depuis que les appareils ont été adéquatement sécurisés – un voleur mettant la main illégalement sur un appareil se retrouve plus ou moins avec un gadget complètement inutilisable. Or, cela a nécessairement diminué la pression sur l’appareil policier des États-Unis en réduisant le nombre de plaintes pour vols, voies de fait, etc. Et là, je passe sous silence ce que cela pourrait engendrer en termes de piratage de toute sorte.

Dans tous les cas, on est quitte pour une bataille judiciaire titanesque qui risque de paver la voie pour les prochaines années en ce qui concerne l’utilisation de méthodes de chiffrement dans les appareils de communication et, par extension, dans les communications en ligne en général.

Oui, mais en attendant, on fait quoi?

Loin de moi l’idée de remettre en question le bien-fondé des activités policières. C’est à des kilomètres de ma pensée. Cependant, qu’on le veuille ou non, la réalité technologique est là et est plus que tangible. À moins d’un revirement extraordinaire de la tendance, les moyens de protection des communications sont appelés non seulement à devenir plus efficaces, mais aussi à se diversifier. Après tout, on n’arrêtera pas le progrès. Inexorablement, les technologies avancent et transforment l’environnement de sécurité – les pratiques policières ne sont donc pas étrangères à ces changements.

Ainsi, même si les gouvernements finissaient par être en mesure de forcer Apple de leur donner accès – ce dont je doute – cela se fera dans plusieurs mois. Donc, on fait quoi en attendant? C’est là que l’innovation dans le milieu de la sécurité est d’autant plus primordiale. Parce qu’attendre et espérer n’est pas une solution, il faudra bien trouver d’autres façons de faire. En espérant que le FBI finisse par innover, lui aussi.

Addenda

Plusieurs lecteurs m’ont indiqué ne pas comprendre comment cela se fait-il que le FBI soit incapable de briser le chiffrement du téléphone, considérant qu’il existe une pléiade de logiciels permettant de tenter des mots de passe de manière continue (attaques de force brute) sur les appareils iOS. Or, selon ces lecteurs, il serait étonnant que le FBI ne soit pas en mesure de faire cela, n’est-ce pas?

Bien, il faut comprendre que le téléphone au cœur de la controverse a l’option d’effacement automatisée qui s’enclenche après l’entrée de 10 mots de passe erronés. Cela signifie qu’une attaque de force brute aurait statistiquement comme résultat d’effacer le contenu dudit téléphone. Comme le FBI désire le contenu du téléphone, ce n’est vraisemblablement pas une bonne idée.

  • Alexis Cornellier

    Il me semble que le jugement oblige Apple à fournir un outil pour CE TÉLÉPHONE SPÉCIFIQUE. Tim Cook explique donc qu’un telle outil, une fois développé, peut-être utilisé pour tout les autres téléphones. On peut donc se poser la questions si le juge s’y connait assez en technologie pour porter un telle jugement.

    Deuxièmement, le procès porte sur les attentats de San Bernardino par des terroristes. Le téléphones en question est un 5C qui n’est pas équipé d’un capteur d’empreinte et donc qui n’as pas l’enclave sécurisé pour y stocker le mot de passe de l’appareil.

    On parle aussi d’une firme de sécurité qui prétend qu’Apple pourrait substitué le firmware de l’appareil pour bypasser le code d’entrer. On veut pouvoir le faire car l’appareil est fort probablement configuré pour s’effacer de lui même après un certain nombre de tentative raté.

    J’ai aussi lue qu’il serait probablement possible de simplement faire un dump et d’essayer de brute forcer la sauvegarde plutôt que l’appareil lui-même. Mais je sais pas si c’est vrai.

    Finalement, il faut aussi dire qu’Apple collabore avec les instances gouvernementales et les aides dans la mesures où celle-ci on un ordre de la cours. Ce que le FBI fait en ce moment c’est d’instrumentalisé un attentat afin de forcer la main à Apple pour leur donner un outil qu’Apple se braque à ne pas leur offrir.

    À noté que votre rédacteur en chef semble souvent donné l’impression qu’il considère le discours d’Apple comme étant du pure marketing et qu’Apple pourrait très bien le faire sans problème. ;)

  • Gumby

    Très intéressant à suivre cette histoire. (non, je n’ai rien d’autre à rajouter cette fois) ;)

    • madlogik

      J’ai aimé votre commentaire hier,

      Jusqu’à ce commentaire j’étais d’avis : Allez au diable, et que ca reste barré…

      Mais … cordes sensibles …

      Et si un kidnappeur avait enlevé mon enfant, et que son emplacement se trouve dans son téléphone, qui est crypté et que le kidnappeur se suicide…. Mon dieu que j’aimerais qu’il y ait une façon d’avoir accès à l’emplacement de mon enfant.

      Pour le bien du reste des utilisateurs je comprends le besoin… ca doit resté barré!

      Mais j’ai peine à croire que la NSA ou le FBI n’ont pas la technologie ou l’expertise requise pour aller chercher l’information directement dans la mémoire de l’appareil (JTAG?) et de forcer (bruteforce) l’entrée aux données par la suite sans que le téléphone ne s’éfface!

      Par exemple: IP-BOX iPhone Password Unlock Tool (iOS 8.1.1)…

      • Gumby

        Tiens, je me sens moins seul dans mon camps tout d’un coup.

        Du moment où un individu est en état d’arrestation, sa liberté lui est retiré à priori. Dépendant des soupçons et de la gravité des gestes ou de la situation, à mon sens, les forces de l’ordre devraient pouvoir fouiller tout ce qui est justifiable de fouiller et saisi pour les fins de l’enquête: Armes, maison, voiture, vêtements, objets, …et les appareils informatique/téléphonique… Ce n’est pas parce que les portes de la maison ou de la voiture sont barrés que ça va les empêcher d’entrer et procéder. Je me dis que ce devrait être la même chose du côté informatique.

        Cependant, je comprend le point de vue de la sécurité : S’il existe une porte, n’importe quel personne mal intentionné pourra accéder avec plus ou moins de facilité, mais contrairement à une maison ou à une voiture qui peut cambriolé à condition d’être à proximité de ce bien évidemment, ce iPhone peut se faire pirater à partir de n’importe où dans le monde et c’est là que c’est un peu plus tannant et justifie la position d’Apple d’avoir créé une maison sans fenêtres ni portes (en théorie du moins)… Il n’y a que son utilisateur qui peu y pénétrer…

        C’est pourquoi cette épisode du FBI (et le reste) vs Apple (et le reste) m’intéresse.