Dans sa dernière tentative d'éroder les protections d'un cryptage fort, le gouvernement britannique aurait secrètement ordonné à Apple de construire une porte dérobée qui permettrait aux autorités britanniques de sécurité d'accéder aux données chiffrées stockées dans le cloud iCloud des clients Apple n'importe où dans le monde.
L'ordre secret - émis en vertu de la loi britannique sur les pouvoirs d'enquête de 2016 (connue sous le nom de Snoopers' Charter) - vise à miner une fonctionnalité d'Apple qui offre un chiffrement de bout en bout (E2EE) pour les sauvegardes iCloud, appelée Protection Avancée des Données. La fonction de sauvegarde chiffrée permet uniquement aux clients d'Apple d'accéder aux informations de leur appareil stockées sur iCloud - même Apple ne peut pas y accéder.
Alors que le gouvernement britannique a refusé de commenter le rapport à TechCrunch, les responsables britanniques ont longtemps soutenu que l'E2EE rend plus difficile la collecte de preuves numériques pour les poursuites pénales et la collecte de renseignements pour la sécurité nationale.
La fonction de sauvegarde chiffrée d'Apple, une fois activée, comble une faille que les forces de l'ordre ont utilisée pour accéder aux données stockées dans le cloud. Ces données étaient autrement impossibles à déchiffrer sur la plupart des iPhone modernes dotés du chiffrement des appareils activé.
The Washington Post, qui a d'abord rapporté l'histoire, a déclaré qu'Apple cessera probablement d'offrir la fonction de chiffrement iCloud aux utilisateurs du Royaume-Uni en réponse à l'ordre secret, plutôt que de casser le chiffrement des utilisateurs à l'échelle mondiale.
Apple a précédemment averti que ses services de communication chiffrés, FaceTime et iMessage, pourraient être menacés au Royaume-Uni, en réponse à des projets visant à renforcer les pouvoirs de surveillance gouvernementale.
Répercussions mondiales
Si Apple privait ses clients britanniques de son cryptage iCloud avancé, les conséquences ne s'arrêteraient pas aux frontières du pays.
Rebecca Vincent, responsable du groupe de campagne pour la confidentialité et les libertés civiles Big Brother Watch, a averti que l'ordre "draconien" du gouvernement britannique ne rendrait pas les citoyens plus sûrs mais éroderait plutôt "les droits fondamentaux et les libertés civiles de toute la population".
Alors qu'il n'est pas encore clair comment fonctionne l'ordre britannique en pratique - en supprimant la Protection des Données Avancée, seules les données cloud des citoyens britanniques seraient accessibles aux forces de l'ordre - la nouvelle de l'ordre a suscité des inquiétudes selon lesquelles la sécurité pour des millions de propriétaires d'appareils Apple dans le monde entier pourrait être affaiblie.
Les défenseurs de la sécurité et de la confidentialité affirment également que le Royaume-Uni pourrait créer un dangereux précédent mondial que les régimes autoritaires et les cybercriminels seraient impatients d'exploiter - toute porte dérobée développée pour un usage gouvernemental serait inévitablement exploitée par des pirates informatiques et d'autres gouvernements.
Thorin Klosowski, un militant de la vie privée à l'Electronic Frontier Foundation basée aux États-Unis, a également averti dans un article de blog que les demandes du Royaume-Uni auront des répercussions mondiales qui font de l'ordre secret une "urgence pour nous tous". James Baker de l'Open Rights Group a déclaré la semaine dernière que les plans sont "terrifiants ... et rendraient tout le monde moins en sécurité."
Une leçon de sécurité non apprise
L'effet en cascade que l'ordre du gouvernement britannique pourrait avoir sur les citoyens du monde entier a suscité des critiques parmi les craintes qu'il puisse mettre le Royaume-Uni en désaccord avec certains de ses alliés les plus proches.
Les nouvelles surviennent quelques semaines seulement après que les autorités de sécurité américaines ont exhorté les Américains à utiliser des applications de messagerie chiffrées pour éviter que leurs communications ne soient interceptées par des nations adverses. L'avis faisait suite à des rapports d'une campagne de piratage furtive de longue date menée par des espions du gouvernement chinois visant à pirater des infrastructures cruciales des États-Unis, ainsi que des géants des télécommunications et d'internet.
La Computer & Communications Industry Association (CCIA), un groupe de l'industrie technologique américaine qui représente les industries de l'informatique et des télécommunications, a déclaré que les piratages menés par le groupe de pirates soutenu par la Chine "Typhoon" montrent clairement que le "chiffrement de bout en bout peut être le seul rempart entre les données personnelles et commerciales sensibles des Américains et les adversaires étrangers".
"Les décisions concernant la vie privée et la sécurité des Américains devraient être prises en Amérique, de manière ouverte et transparente, et non par des ordres secrets de l'étranger exigeant que les clés soient laissées sous les paillassons", a déclaré la CCIA.
Chris Mohr, président de l'Association de l'industrie des logiciels basée aux États-Unis, a également lancé un avertissement similaire, qualifiant l'ordre du Royaume-Uni "à la fois malavisé et dangereux".
"Particulièrement après Salt Typhoon, nous avons besoin de politiques pour rendre les informations plus (et non moins) sécurisées", a déclaré Mohr, faisant référence au groupe soutenu par la Chine qui a ciblé les compagnies de téléphone. "Nous appelons l'administration Trump et le Congrès américain à prendre fermement position contre ce développement préoccupant."
Les piratages chinois qui ont ciblé les géants des télécommunications et d'internet - y compris AT&T et Verizon - sont les exemples les plus récents de la raison pour laquelle les demandes de porte dérobée du gouvernement britannique à Apple sont erronées.
Salt Typhoon a mené les piratages des entreprises de télécommunications, qui sont considérés comme l'un des plus grands hacks de l'histoire récente, en abusant d'une porte dérobée légalement obligée par les sociétés de télécommunications de donner aux forces de l'ordre et aux agences de renseignement accès aux données de leurs clients sur demande.
"La leçon sera répétée jusqu'à ce qu'elle soit apprise : il n'y a pas de porte dérobée qui n'ouvre que aux bons et empêche les méchants d'entrer", selon l'Electronic Frontier Foundation. "Il est temps que nous reconnaissions tous cela et que nous prenions des mesures pour assurer une réelle sécurité et confidentialité pour nous tous."
