2 points par GN⁺ 2025-02-08 | 1 commentaires | Partager sur WhatsApp
  • La demande du gouvernement britannique porte sur un droit d’accès généralisé à l’ensemble des contenus chiffrés des utilisateurs téléversés sur iCloud, ce qui dépasse le cadre d’une coopération judiciaire d’un seul pays et ébranle les promesses de sécurité faites aux utilisateurs du monde entier
  • L’injonction a été transmise sous la forme d’un technical capability notice au titre de l’Investigatory Powers Act (IPA) de 2016, exigeant qu’Apple crée une porte dérobée permettant aux autorités britanniques d’accéder aux données chiffrées à l’échelle mondiale
  • Apple pourrait avoir de plus en plus de mal à informer ses utilisateurs que son chiffrement le plus robuste n’offre peut-être plus une sécurité complète, et la loi concernée fait même de la divulgation de l’existence d’une telle demande un délit pénal
  • Apple pourrait choisir d’interrompre ses services de stockage chiffré au Royaume-Uni plutôt que de rompre sa promesse de sécurité, mais ce choix n’annulerait pas les ordres d’accès par porte dérobée du Royaume-Uni visant les services fournis dans d’autres pays, y compris aux États-Unis
  • Cette injonction affaiblit Advanced Data Protection d’iCloud, introduit en 2022, et Apple comme les experts en sécurité avertissent qu’une porte dérobée devient aussi un point d’entrée pour des acteurs malveillants

Exigence secrète du Royaume-Uni pour accéder à iCloud

  • Des informations indiquent que le gouvernement britannique a secrètement exigé d’Apple un droit d’accès généralisé à tous les contenus chiffrés des utilisateurs téléversés dans le cloud
  • L’ordre confidentiel aurait été émis le mois dernier et imposerait à Apple de créer une porte dérobée permettant aux autorités britanniques d’accéder aux données chiffrées des utilisateurs dans le monde entier
  • Cette demande est considérée comme d’un niveau sans précédent, rarement observé dans d’autres démocraties

technical capability notice et IPA

  • L’injonction a été transmise sous la forme d’un technical capability notice envoyé à Apple par le ministre britannique de l’Intérieur
  • Son fondement juridique est l’Investigatory Powers Act (IPA) britannique de 2016
    • Cette loi permet aux autorités de contraindre les entreprises à coopérer lorsque cela est jugé nécessaire à la collecte de preuves
    • Ses détracteurs la qualifient depuis longtemps de « Snooper’s Charter »
  • Un porte-parole d’Apple a refusé tout commentaire
  • Le Home Office a également indiqué qu’il ne discute pas des exigences techniques et qu’il ne confirme ni ne dément l’existence de notifications spécifiques
  • La législation concernée fait de la simple divulgation du fait que le gouvernement a formulé une telle demande un délit pénal

Limitation de l’information aux utilisateurs et portée internationale

  • Selon une personne informée du dossier, Apple pourrait aussi être empêché d’avertir ses utilisateurs qu’Advanced Data Protection n’offre plus une sécurité complète
  • La même source juge choquant que le gouvernement britannique demande à Apple de surveiller des utilisateurs non britanniques à l’insu de leurs propres gouvernements
  • Un ancien conseiller à la sécurité de la Maison-Blanche a confirmé l’existence de l’ordre britannique

Réponse possible d’Apple et impact sur les fonctions d’iCloud

  • Des personnes proches du dossier estiment qu’Apple a plus de chances de cesser de proposer des services de stockage chiffré au Royaume-Uni que de rompre les engagements de sécurité pris envers ses utilisateurs
  • Une suspension du service au Royaume-Uni n’aurait pas d’effet sur les ordres britanniques d’accès par porte dérobée visant les services opérés dans d’autres pays, y compris aux États-Unis
  • Apple a déjà indiqué par le passé qu’il pourrait envisager de retirer du marché britannique des services comme FaceTime et iMessage plutôt que d’accepter un compromis sur la sécurité
  • Cette injonction affaiblit Advanced Data Protection, lancé par Apple en 2022
    • Cette fonction permet d’appliquer de manière optionnelle le chiffrement de bout en bout à davantage de catégories de données iCloud, notamment Photos, Notes, Voice Memos, les sauvegardes de Messages et les sauvegardes d’appareils
    • Ces données sont conçues pour rester inaccessibles à toute autre personne, y compris Apple

Chiffrement des sauvegardes Android chez Google

  • Google applique un chiffrement par défaut aux sauvegardes des téléphones Android depuis 2018
  • Le porte-parole de Google, Ed Fernandez, n’a pas répondu directement à la question de savoir si le gouvernement avait demandé une porte dérobée, mais a indiqué qu’il n’en existait pas
  • Fernandez a déclaré que Google ne pouvait pas accéder aux données de sauvegarde chiffrées de bout en bout d’Android, même en présence d’une injonction légale

Révision de l’IPA en 2023 et inquiétudes antérieures d’Apple

  • L’IPA a été révisé en 2023, permettant au Home Office d’interdire certains services de chiffrement via un technical capability notice
  • Apple avait alors qualifié le projet d’amendement d’« abus de pouvoir sans précédent » de la part du gouvernement
  • L’entreprise craignait qu’une fois la révision appliquée, le Royaume-Uni puisse bloquer secrètement de nouvelles fonctions de protection des utilisateurs à l’échelle mondiale, empêchant Apple de les proposer à ses clients

Position d’Apple et du secteur de la sécurité sur les portes dérobées

  • Le CEO d’Apple, Tim Cook, affirme de longue date qu’un accès par porte dérobée au chiffrement pour les autorités pourrait aussi ouvrir la voie aux « bad guys » vers les données des utilisateurs
  • Les experts en cybersécurité s’accordent à dire que si un tel point d’entrée est créé, ce n’est qu’une question de temps avant qu’un acteur malveillant ne le découvre
  • La position d’Apple s’est renforcée après sa victoire contre l’injonction américaine de 2016 exigeant le déverrouillage de l’iPhone du tireur de San Bernardino, en Californie

Évolution du débat américain sur le chiffrement et intrusion liée à la Chine

  • Les forces de l’ordre américaines se sont longtemps opposées au chiffrement, mais les inquiétudes récentes se sont davantage tournées vers de vastes intrusions cyber attribuées à des hackers soutenus par l’État chinois
  • Les attaquants avaient pu infiltrer de grands opérateurs télécoms et accéder sans restriction à des appels téléphoniques privés
  • Lors d’une conférence de presse en décembre, un représentant du Department of Homeland Security, aux côtés de responsables du FBI, a averti qu’il ne fallait pas supposer que les réseaux téléphoniques traditionnels garantissent la vie privée
  • Lors de cette même intervention, il a été recommandé d’utiliser des communications chiffrées lorsque cela est possible
  • Le même mois, le FBI, la NSA et la CISA ont publié un avis conjoint sur une campagne cyber chinoise, recommandant de chiffrer le trafic de bout en bout dans toute la mesure du possible

Réaction des organisations de défense des libertés

  • L’organisation de campagne pour la vie privée Big Brother Watch a déclaré que cette tentative, justifiée par la lutte contre la criminalité et le terrorisme, ne rendrait pas le Royaume-Uni plus sûr
  • L’organisation estime qu’elle affaiblirait les droits fondamentaux et les libertés civiles de l’ensemble de la population

1 commentaires

 
GN⁺ 2025-02-08
Avis sur Hacker News