Le 07 février dernier, l’écosystème high-tech subissait un coup de tonnerre. Via un ordre secret, des responsables de la sécurité au Royaume-Uni ont exigé d’Apple, l’inimaginable.
Il s’agit de créer une porte dérobée qui leur permettrait de récupérer l’intégralité du contenu de tout utilisateur sur son cloud. Entendons-nous bien. De tout utilisateur national ou étranger, résident ou non, sous enquête judiciaire… ou non. Monsieur/Madame tout le monde, en somme.
Tout est parti d’un décret du gouvernement britannique publié le mois précédent. Il stipule que les entreprises doivent désormais aider les forces de l’ordre à produire des preuves :
[Le gouvernement détient] l’autorité de donner des ordres secrets exigeant que les fournisseurs brisent le cryptage en insérant des portes dérobées dans leurs produits logiciels
Extrait de la loi sur les pouvoirs d’enquête (IPA)
Avant que les utilisateurs – américains en première ligne – pensent à en venir aux mains pour défendre leur intimité, inspectons les potentielles séquelles sur le SEO. Et par ricochet, sur la réputation d’Apple.
Un bras de fer inédit
Le gouvernement britannique n’exige pas une simple assistance d’experts pour pirater des comptes en cause dans des enquêtes judiciaires, autrement personne ne s’en préoccuperait. Ce qu’il exige, c’est de pouvoir aller et venir librement comme dans un champ de patates, dans les données privées des utilisateurs du monde entier.
Vous avez là, la définition de la porte dérobée. Et l’accorder au gouvernement britannique, c’est effacer d’un coup de gomme des décennies entières de batailles des géants technologiques pour la vie privée des usagers.
L’entreprise a été prévenue depuis mars 2024 que cette exigence pourrait être appliquée, ce à quoi elle a répondu devant le parlement :
Il n’y a aucune raison pour que le gouvernement britannique ait le pouvoir de décider pour les citoyens du monde s’ils peuvent bénéficier des avantages de sécurité avérés qui découlent du chiffrement de bout en bout.
D’ailleurs, Apple a évoqué une décision antérieure de la Cour Européenne des droits de l’homme concernant la vie privée. De plus, le risque de détournement d’une porte dérobée pour son exploitation par des réseaux criminels ou des régimes autoritaires est élevé.
Par exemple, des agents présumés chinois ont piraté et écouté les appels des plus grandes sociétés de communication aux États-Unis. L’affaire sombre a été surnommée Salt Typhoon (vague de piratage informatique chinoise). Pour contrer le danger, les dirigeants du FBI et un responsable de la sécurité intérieure ont alors encouragé les américains à s’appuyer sur le cryptage.
En outre, le gouvernement britannique vient d’attaquer par sa nouvelle exigence, ce qui constituait jusqu’à présent le socle de la réputation d’Apple. En effet, la marque à la pomme doit en partie son prestige à son attachement à préserver l’intimité de ses clients. Cependant, le législateur britannique évoque des contraintes de sécurité.
Un enjeu sécuritaire
Avant, il y avait les écoutes téléphoniques et les micros abandonnés çà et là dans les lieux d’activités des sujets d’enquêtes. D’ailleurs aux États-Unis, la surveillance des communications téléphoniques est permise sous simple autorisation du tribunal. Maintenant, l’enjeu sécuritaire a pris une tournure technologique.
Depuis les attentats du World Trade Center, une obsession a gagné les services secrets du monde entier : comment anticiper ? Très vite, les acteurs de la sécurité ont buté sur le cryptage de bout en bout.
En pratique, celui qui tient les clés du stockage dans le cloud, c’est l’utilisateur et non Apple. Il s’agit du service Advanced Data Protection, déployé progressivement depuis 2022 par l’entreprise aux États-Unis puis à l’international.
Grâce au cryptage de bout en bout, la méthode habituelle des forces de l’ordre pour accéder aux données est vouée à l’échec. C’est pourquoi il est désormais privilégié par les criminels violents, les trafiquants de drogue, les pédophiles et les tueurs.
Le parlement britannique a révisé la loi de 2016 pour mieux suivre l’évolution technologique et contrer les cybermenaces. Vivement critiquée par les entreprises technologiques, la loi sur la sécurité en ligne de 2023 est plus contraignante. Elle oblige les entreprises à prendre leurs dispositions contre le contenu pédopornographique.
Le gouvernement britannique souhaite accéder en temps réel, à la messagerie et aux données des utilisateurs pour glaner des preuves et rendre justice. Pour y parvenir, les contenus entièrement cryptés doivent être accessibles séance tenante. De plus, les entreprises qui reçoivent cet ordre sont dans l’obligation de cacher le fait d’être contraintes de s’exécuter. Ordre secret, exécution sommaire et silence de plomb.
Outre la confidentialité des utilisateurs qui est oubliée, ce décret semble fouler aux pieds une autre valeur sûre : la liberté de la presse.
Un péril pour la liberté de la presse
Prenons un exemple trivial : Vous êtes journaliste ou lanceur d’alerte et préparez un article explosif compromettant un groupe politique ou économique puissant. Si à qui mieux mieux accède à vos données sensibles, vous avez du souci à vous faire.
L’exigence du gouvernement britannique représente un risque élevé pour les acteurs de la presse. Ses manœuvres répétées pour criminaliser le journalisme et les dénonciations risquent de faire tâche d’huile.
Le danger court de l’avortement des projets d’envergure ou muselage, à l’atteinte à la sécurité des acteurs de la presse.
Une réglementation qui se durcit
Fermez les yeux et imaginez un monde où les criminels sont arrêtés avant de commettre leurs crimes. En accédant à leurs données personnelles, les forces de l’ordre savent déjà où et quand ils pensent commettre leurs forfaits. Il suffit de lire leurs mémos, leurs journaux intimes, leurs messageries ou leurs échanges sur WhatsApp :
“Je veux en finir avec… Rendez-vous à tel endroit pour lui régler son compte…”
Pour recentrer ce qui semble être un débat, les gens jurent, se disputent et se souhaitent le pire au quotidien.
Les travailleurs critiquent leurs supérieurs.
Les hommes en ont assez de leurs femmes.
Les femmes veulent des hommes plus responsables.
Les mères veulent voir leurs bébés s’arrêter de pleurer à tout prix.
Les adolescents braderaient leurs parents pour des clopinettes et les trouvent has been.
Personne n’aime sortir les poubelles. Ni la tante invivable ni l’Oncle Picsou de la famille qui refuse de mourir.
Et alors ? Combien d’entre eux passent à l’acte ? Une fraction infime.
Le principal problème que pose l’exercice de tels pouvoirs est qu’il est peu probable qu’ils produisent le résultat souhaité. Les criminels et les terroristes se tourneront vers d’autres plateformes et techniques pour éviter d’être incriminés. C’est donc le citoyen moyen, respectueux des lois, qui souffre de la perte de sa vie privée.
Lisa Forte, experte en cybersécurité chez Red Goat
Exiger au nom de cette fraction désaxée, que la population entière vive au quotidien avec son cul sa vie privée à l’air libre… c’est osé :
Nous exhortons le gouvernement britannique à annuler immédiatement cette ordonnance draconienne et à cesser toute tentative de recourir à la surveillance de masse au lieu des pouvoirs ciblés déjà à sa disposition.
Un porte-parole du groupe de défense de la vie privée et des libertés civiles Big Brother Watch
Entretemps, Apple qui se retrouve entre le marteau et l’enclume a dû faire des choix engagés.
Se retirer, plutôt que de céder
Pour l’instant, Apple garantit que même cambriolées, le cloud ne peut pas rendre les données personnelles lisibles au pirates. Cependant, l’entreprise va probablement cesser d’offrir le service qui porte à discussion au Royaume-Uni.
(…) Apple a fait de la confidentialité des utilisateurs une priorité absolue. S’ils acceptent cette notification technique, leur réputation sera entachée. Ils sont obligés de la contester.
Alan Woodward, professeur de cybersécurité à l’université de Surrey
L’absence de stockage crypté élimine d’office le besoin de décryptage. Même ainsi, l’exigence gouvernementale britannique persiste. Les autorités britanniques acceptent de se mettre à dos les États-Unis et la Cour Européenne des droits de l’homme, car l’enjeu est de taille.
Un porte-parole de l’entreprise a refusé tout commentaire. Interpellés, les responsables de la Maison Blanche, ceux de la sécurité nationale sous Biden et les services de renseignement de Trump ont fait pareil.
Les implications pour les professionnels du numérique
Apple a la capacité de faire appel de l’ordre émis devant un panel technique, lui aussi secret. Cependant, l’ordre est exécutable sur-le-champ le temps que le panel statue sur l’affaire.
Les observateurs prédisent que Google sera la prochaine cible des autorités britanniques, à cause des sauvegardes d’Android. Ed Fernandez a refusé de confirmer si l’entreprise a déjà été en butte à pareilles injonctions. Et quand bien même ce serait le cas, il reste pieds et poings liés :
Google ne peut pas accéder aux données de sauvegarde chiffrées de bout en bout d’Android, même avec une ordonnance légale.
Méta pour ses sauvegardes cryptées sur WhatsApp et Messenger, Signal, iMessage et FaceTime d’Apple pourraient suivre.
La bataille concernant la confidentialité des données de stockage part en s’intensifiant. Le Canada, l’Australie, les États-Unis et la Nouvelle-Zélande ont coopté le cryptage de bout en bout pour contrer la vague de piratage chinoise. Cependant, le Royaume-Uni a gardé sa réserve.
Il est difficile de savoir quel sera l’impact précis (…) C’est une affirmation très inquiétante de pouvoir extraterritorial. Quels autres pays pourraient également exiger cet accès ?
John Villasenor, co-directeur de la faculté de l’Institut de technologie, de droit et de politique de l’Université de Californie à Los Angeles
Si la courroie cède dans les grandes démocraties, les États-Unis et les régimes totalitaires tels que la Chine s’engouffreront dans la faille.
Potentiellement, cela rend les choses très difficiles pour Apple, et cela rend les choses très difficiles pour tout le monde aux États-Unis, (où) nous ne pouvons plus faire confiance à nos téléphones.
Matthew Green, membre de l’Institut de l’information de l’Université John Hopkins ; expert en cryptographie appliquée et en ingénierie cryptographique
Et si les utilisateurs ne font plus confiance à leurs téléphones, la tendance mobile-first pourrait s’inverser. Les prestataires marketing et SEO seraient alors obligés de faire preuve de créativité pour les bureaux, ce qui équivaudrait à un grand pas en arrière.
Un cheval de Troie juridique moderne
Aperçu : Le leader technologique de la confidentialité contraint de refiler les données personnelles de ses utilisateurs à des inconnus au nom de la sécurité publique. Dégoûtés ?
Allons, la vie n’est pas toujours juste. Tous les coups sont permis, et la bataille de chiffonniers autour du sucre, pardon, des données privées des utilisateurs ne fait que commencer.
