« b » de MoA
Pour une raison ou une autre, il y a jusqu’à présent peu d’écho en ligne à cette nouvelle histoire du Washington Post :
Le Royaume-Uni ordonne à Apple de l’autoriser à espionner les comptes cryptés des utilisateurs ( archivé )
Une ordonnance secrète exige un accès généralisé aux sauvegardes cloud protégées dans le monde entier, ce qui, si elle était mise en œuvre, porterait atteinte à l’engagement d’Apple en matière de confidentialité envers ses utilisateurs.
Des responsables de la sécurité au Royaume-Uni ont exigé qu’Apple crée une porte dérobée leur permettant de récupérer tout le contenu que tout utilisateur Apple dans le monde a téléchargé sur le cloud, ont déclaré des personnes proches du dossier au Washington Post.
L’ordre non divulgué du gouvernement britannique, publié le mois dernier, exige une capacité globale pour visualiser du matériel entièrement crypté, et pas seulement une assistance pour déchiffrer un compte spécifique, et n’a aucun précédent connu dans les grandes démocraties.
L’unique auteur de l’article, Joseph Menn, est basé à San Francisco et « spécialisé dans le piratage informatique, la confidentialité et la surveillance ». Les « personnes au fait du sujet » qui parlent par l’intermédiaire de Menn sont probablement issues de la même région, c’est-à-dire d’Apple à Cupertino.
La demande britannique est évidemment scandaleuse et ne sera pas suivie d’effet. Mais je me demande pourquoi les Britanniques voudraient même aller dans cette direction.
Grâce aux révélations d’Edward Snowden, nous savons que l’agence britannique de renseignement GCHQ n’est qu’une simple émanation de l’Agence de sécurité nationale américaine. Il se pourrait donc que les véritables personnes qui tentent d’accéder aux archives cryptées des utilisateurs d’Apple se trouvent sur la côte ouest de l’Atlantique.
Ou s’agit-il d’une demande venant d’autres structures ?
Le bureau du ministre de l’Intérieur a remis à Apple un document appelé avis de capacité technique, lui ordonnant de fournir un accès en vertu de la loi britannique sur les pouvoirs d’enquête de 2016, qui autorise les forces de l’ordre à exiger l’aide des entreprises lorsque cela est nécessaire pour recueillir des preuves, ont indiqué les personnes concernées.
Cette loi, surnommée par ses détracteurs la « Charte des espions », rend pénalement répréhensible le fait de révéler que le gouvernement a formulé une telle demande. Un porte-parole d’Apple a refusé de commenter.
Apple avait été prévenu qu’une telle ordonnance allait être émise et avait protesté en vain.
Ni l’administration Biden ni l’administration Trump ne semblent soutenir Apple :
Les responsables de la sécurité nationale de l’administration Biden ont suivi l’affaire depuis que le Royaume-Uni a indiqué pour la première fois à l’entreprise qu’il pourrait exiger un accès et qu’Apple a déclaré qu’il refuserait. Il n’a pas été possible de déterminer si ces derniers ont émis des objections à l’encontre de la Grande-Bretagne. Les responsables de la Maison Blanche et des services de renseignement de Trump ont refusé de commenter.
L’une des personnes informées de la situation, un consultant qui conseille les Etats-Unis sur les questions de chiffrement, a déclaré qu’Apple ne serait pas autorisée à avertir ses utilisateurs que son système de chiffrement le plus avancé n’offrait plus une sécurité totale. Cette personne a jugé choquant que le gouvernement britannique exige l’aide d’Apple pour espionner les utilisateurs non britanniques à l’insu de leurs gouvernements.
Un ancien conseiller à la sécurité de la Maison Blanche a confirmé l’existence de l’ordre britannique.
Depuis les débuts d’Internet, les agences gouvernementales du monde entier ont exigé un accès libre à toutes les données transférées par Internet. Le chiffrement de bout en bout, tel que déployé par Apple, rend cela impossible.
Les portes dérobées, comme celle réclamée par les Britanniques, sont intrinsèquement dangereuses. Le piratage des systèmes de communication américains en 2024, prétendument par des acteurs chinois, avait utilisé une porte dérobée réclamée par les États-Unis et d’autres gouvernements :
Ce n’est pas la première fois que des pirates exploitent les portes dérobées des écoutes téléphoniques imposées par la CALEA. Comme l’a souligné l’expert en sécurité informatique Nicholas Weaver pour Lawfare en 2015, « tout commutateur téléphonique vendu aux États-Unis doit inclure la capacité d’écouter efficacement un grand nombre d’appels. Et comme les États-Unis représentent un marché aussi important, cela signifie que pratiquement tous les commutateurs téléphoniques vendus dans le monde contiennent une fonctionnalité d’interception légale ».
Il y a vingt ans, cette fonction d’écoute téléphonique obligatoire a été détournée par des pirates informatiques ciblant Vodafone Grèce. Ils ont intercepté des conversations téléphoniques du Premier ministre du pays et de hauts responsables politiques, policiers et militaires, entre autres.
Autrement dit, personne ne semble avoir tiré les leçons du piratage en 2004 des capacités d’écoutes téléphoniques imposées par le gouvernement dans une société de télécommunications grecque et du piratage en 2024 des capacités d’écoutes téléphoniques imposées par le gouvernement dans des fournisseurs d’accès Internet américains. À moins que l’on ne compte les pirates chinois. Ils semblent avoir beaucoup appris de cette expérience précédente.
S’il existe une porte dérobée dans un système, elle sera utilisée à mauvais escient, non seulement par le gouvernement qui exige son installation, mais aussi par d’autres.
Depuis que le piratage informatique « chinois » est devenu connu, les responsables américains ont exhorté tout le monde à utiliser le cryptage de bout en bout :
Lors d’une conférence de presse conjointe sur l’affaire en décembre avec les dirigeants du FBI, un responsable du ministère de la Sécurité intérieure a exhorté les Américains à ne pas compter sur le service téléphonique standard pour la confidentialité et à utiliser des services cryptés lorsque cela est possible.
Ce même mois, le FBI, la National Security Agency et la Cybersecurity and Infrastructure Security Agency ont recommandé des dizaines de mesures pour contrer la vague de piratage informatique chinoise, notamment « garantir que le trafic soit crypté de bout en bout dans toute la mesure du possible ».
Les autorités du Canada, de la Nouvelle-Zélande et de l’Australie ont approuvé ces recommandations, mais pas celles du Royaume-Uni.
La meilleure façon d’empêcher les demandes d’accès par escroquerie est de libérer les données des personnes qui les demandent. Un ingénieur d’Apple devrait peut-être y réfléchir.
EN PRIME