Le Royaume-Uni ordonne à Apple de surveiller les comptes chiffrés des utilisateurs

Les autorités de sécurité britanniques ont exigé d’Apple une porte dérobée permettant de consulter toutes les données chiffrées téléversées dans le cloud par les utilisateurs du monde entier

• Le gouvernement britannique demande un accès général, et non limité à des comptes précis
• Il est rapporté qu’aucun précédent de ce type n’existe parmi les grandes démocraties
• Cette démarche suscite des inquiétudes quant au recours actif des gouvernements aux entreprises pour consulter les données des utilisateurs

Apple envisagerait d’interrompre le stockage chiffré au Royaume-Uni afin de respecter ses engagements en matière de sécurité

• Mais cela ne résout pas le problème des exigences de porte dérobée concernant les services hors du Royaume-Uni, par exemple aux États-Unis

Le Home Secretary britannique a adressé à Apple un « technical capability notice » en vertu de l’Investigatory Powers Act adopté en 2016

• La base légale invoquée comprend des dispositions permettant de contraindre les entreprises à coopérer lorsqu’une autorité d’enquête en a besoin pour recueillir des preuves
• Il existe aussi une règle selon laquelle révéler publiquement cette demande peut constituer une infraction pénale

Apple dispose d’une procédure pour contester cette demande en faisant appel devant un comité technique non public

• Même pendant l’appel, Apple resterait tenue de se conformer immédiatement aux exigences
• Apple a contesté le fait que le gouvernement britannique s’arroge le droit de décider de la sécurité des utilisateurs dans le monde entier

Le gouvernement britannique a refusé de commenter les exigences techniques précises

• Il a indiqué ne pas discuter des « questions opérationnelles »

Des responsables du gouvernement américain étaient également informés des démarches britanniques

• Des responsables de l’administration Trump et des agences de renseignement se sont abstenus de tout commentaire officiel
• Le fait que les exigences britanniques s’appliquent aussi aux utilisateurs non britanniques a été perçu comme particulièrement choquant

Le point central du litige concerne le stockage cloud déchiffrable uniquement par l’utilisateur via « Advanced Data Protection »

• Apple a commencé à le déployer en 2022, et le FBI s’y était vivement opposé à l’époque
• Si cette protection n’est pas activée, les données iCloud restent accessibles aux enquêteurs via une réquisition judiciaire

Le stockage hautement chiffré d’Apple n’est utilisé que par une partie des utilisateurs d’iPhone et de Mac, mais l’activation de cette fonction réduit le risque de piratage tout en diminuant fortement l’accès des enquêteurs

Cette information a provoqué de vives réactions dans l’industrie technologique et chez les décideurs politiques

• Le sénateur américain Ron Wyden, membre de la commission du renseignement du Sénat, a averti que le Royaume-Uni pourrait ainsi mener une surveillance secrète contre des Américains
• Meredith Whittaker de Signal a critiqué une mesure qui, selon elle, créerait une vulnérabilité mondiale du chiffrement

À l’échelle mondiale, les services d’enquête se plaignent depuis longtemps que le renforcement du chiffrement complique les investigations sur des crimes comme le terrorisme ou les abus sexuels sur mineurs

• Les entreprises s’y opposent au nom de la protection de la vie privée
• Selon les critiques, l’existence d’une porte dérobée créerait un risque d’exploitation par des criminels ou des régimes autoritaires

Meta, Google et d’autres proposent eux aussi un chiffrement fort pour les sauvegardes

• Google indique chiffrer par défaut les sauvegardes Android depuis 2018, au point de ne pas pouvoir y accéder en interne
• Meta maintient également qu’il n’existe pas de porte dérobée dans le chiffrement des sauvegardes WhatsApp

Si le Royaume-Uni obtient cet accès, d’autres pays ayant jusqu’ici autorisé le chiffrement, comme la Chine, pourraient formuler des demandes similaires

• Cela pourrait conduire Apple à devoir choisir entre retirer ses services ou fournir une porte dérobée

Ce n’est pas la première fois que le Royaume-Uni critique le déploiement du chiffrement fort par Apple

• En 2022, il avait déjà demandé l’abandon du chiffrement fort au nom de la sécurité des enfants
• Apple avait alors averti que la législation britannique pourrait imposer à l’échelle mondiale des mécanismes de contournement du chiffrement

Apple a aussi soutenu que les exigences britanniques pourraient entrer en conflit avec des arrêts de la Cour européenne des droits de l’homme

• L’entreprise souligne qu’elles entraîneraient un affaiblissement du chiffrement pour les utilisateurs du monde entier

Aux États-Unis, les autorités d’enquête ont longtemps dénoncé les obstacles que le chiffrement créait pour leurs investigations, mais elles semblent désormais davantage préoccupées par les opérations de piratage venues de Chine

• Le gouvernement américain encourage au contraire la population à utiliser des communications chiffrées plutôt que les appels téléphoniques classiques
• Le Royaume-Uni ne s’est pas joint à la recommandation conjointe publiée par le FBI, la NSA et la CISA