Des élus avertissent que l’exigence britannique d’une porte dérobée dans les données d’Apple menace aussi les Américains
(washingtonpost.com)- Des élus de grandes commissions de contrôle du Congrès américain ont averti la nouvelle cheffe du renseignement américain que l’ordre britannique d’accès aux données chiffrées d’Apple pourrait aussi mettre les Américains en danger
- La lettre a été envoyée à Tulsi Gabbard, et les élus demandent des mesures pour empêcher les ordres secrets émanant d’un proche allié
- Le point central est que l’ordre britannique exigerait un accès gouvernemental aux données chiffrées des utilisateurs d’Apple
- Les élus estiment que cette demande d’accès du Royaume-Uni pourrait fragiliser le dispositif de protection des données d’Apple, et que ses effets pourraient s’étendre jusqu’aux utilisateurs américains
- À partir du seul texte rendu public, il est difficile de vérifier les conditions précises de l’ordre, la réponse d’Apple et l’existence éventuelle de suites données par le gouvernement américain
L’ordre britannique mis en cause par le Congrès
- Des élus de grandes commissions de contrôle du Congrès américain ont envoyé une lettre à la nouvelle cheffe du renseignement des États-Unis
- Le cœur de la lettre est un avertissement selon lequel l’ordre britannique exigerait un accès gouvernemental aux données chiffrées des utilisateurs d’Apple, ce qui pourrait aussi mettre les Américains en danger
Mesures demandées à Tulsi Gabbard
- La lettre a été adressée à Tulsi Gabbard
- Les élus lui demandent de prendre des mesures pour bloquer les ordres secrets émanant d’un proche allié
Ce que permet de confirmer le texte public
- Ce qu’il est possible de confirmer concerne les données des utilisateurs d’Apple, notamment les données chiffrées
- Le texte fourni ne contient pas de détails sur la base juridique de l’ordre, sa mise en œuvre technique, la position d’Apple ni les réponses apportées ensuite
1 commentaires
Avis sur Hacker News
Je vois ça comme un abus de pouvoir manifeste de la part du Royaume-Uni
Même les personnes vivant hors du Royaume-Uni devraient se sentir menacées. Le gouvernement britannique semble croire qu’il a le droit d’exiger une porte dérobée jusque dans le matériel de personnes qui n’ont jamais mis les pieds au Royaume-Uni et n’ont aucune intention de le faire.
La surveillance de masse est une menace pour tout le monde, mais contrairement à une surveillance contre laquelle il existe des protections comme le chiffrement, il s’agit ici d’exiger une porte dérobée de chiffrement pour tout. Cela inclut des téléphones qui ne passent ni par le territoire britannique ni par ses frontières Internet, et même des appareils qui ne s’approchent d’aucun équipement de collecte des Five Eyes.
La demande concerne les contenus stockés avec ADP, la technologie de chiffrement de bout en bout d’Apple. Y introduire une porte dérobée revient à mettre une porte dérobée dans iOS lui-même sur les téléphones, ce qui crée une surface d’attaque bien plus grande que quelque chose de centralisé.
Cela montre aussi à quel point ce type de réglementation est ridicule. Des acteurs malveillants peuvent la contourner très facilement en utilisant leur propre chiffrement de bout en bout ; au final, seules les données de personnes innocentes se feront piller, tandis que les personnes réellement visées ne seront pas affectées.
Exiger une porte dérobée sur les téléphones présents dans le pays est déjà en soi un énorme abus de pouvoir. Il ne faut pas laisser un abus encore plus grand déplacer la fenêtre d’Overton au point de faire croire qu’une telle chose pourrait un jour être acceptable.
Tant que les gens n’en viendront pas à considérer les logiciels australiens comme risqués au point que cela ait un impact économique, il est très probable que d’autres pays adoptent des lois similaires.
Il faut aussi être prudent avec les logiciels américains. Ce n’est pas sans raison que les entreprises de l’UE ne peuvent pas stocker leurs données sur des serveurs américains.
Le grand public ne sait pas, ou ne se soucie pas, de l’extension de la surveillance de masse et des atteintes à la vie privée. Le raisonnement est du genre : « le terrorisme et les abus sur enfants, c’est mal, et si ça permet de les empêcher, je n’ai rien à cacher, alors en quoi est-ce un problème pour moi ? »
J’ai beau le répéter, personne ne me croit, mais je vais continuer à le dire.
Ce genre de chose arrive parce que nous centrons trop souvent le débat sur la vie privée autour des entreprises, et c’est exactement le cadrage que les gouvernements souhaitent.
C’est peut-être controversé, mais je crois fermement que la vie privée vis-à-vis des entreprises n’est pas si importante, alors que la vie privée vis-à-vis des gouvernements est cruciale.
Il ne faut pas laisser les discussions sur les cookies ou le suivi publicitaire détourner le débat ; il faut toujours revenir à la vie privée face aux gouvernements.
Bien sûr, les entreprises et les gouvernements sont souvent de mèche, mais même dans ce cas, il faut se concentrer sur ce qui ne va pas dans le fait qu’un gouvernement achète, récupère ou exige des données auprès d’entreprises.
Le pire qu’une entreprise puisse faire, si l’on exclut le fait de transmettre des données au gouvernement, ressemble surtout à essayer de vendre quelque chose. Le gouvernement, lui, lorsqu’il franchit la ligne, cherche à vous mettre en prison ou à geler votre compte bancaire.
Elles peuvent vendre des données privées à d’autres, monopoliser des fonctions essentielles puis pressurer les utilisateurs jusqu’au bout, ou encore exclure des personnes de services monopolistiques indispensables à la société moderne.
Il faut se concentrer sur les gouvernements comme sur les entreprises.
Vous n’avez aucun contrôle sur Apple, Amazon ou Alphabet. Si le gouvernement veut vous mettre en prison, vous pouvez contester cela devant les tribunaux, et il existe tout un vaste système de contre-pouvoirs.
On ne peut pas adresser de pétition à Google. Ce n’est pas élu, ce n’est pas contrôlé, ce n’est pas responsable devant qui que ce soit, et même les gouvernements semblent incapables d’exercer un vrai pouvoir dessus.
Ce qui le caractérise, c’est surtout la privatisation, et bien sûr aussi la surveillance et la militarisation de la police. En pratique, les entreprises deviennent le gouvernement, mais sans aucune responsabilité, ce qui empêche les gens d’utiliser des mots comme « autoritarisme ».
Dans une démocratie représentative qui fonctionne sainement, les règles et les lois peuvent, dans une certaine mesure, être contrôlées par le public. Influencer les entreprises peut être plus difficile.
Si une banque ferme votre compte, si Visa bloque un paiement ou si une compagnie aérienne refuse de vous embarquer, vous pouvez protester, mais la réponse peut être : « désolé, c’est notre banque, notre avion, notre réseau de paiement ; si ça ne vous plaît pas, construisez le vôtre ».
C’est donc un sujet d’inquiétude pour les citoyens britanniques, qui doivent demander pourquoi le gouvernement veut toutes ces données et l’en empêcher.
Les entreprises et les gouvernements sont très souvent de mèche et se cachent les uns derrière les autres. Apple peut dire : « le gouvernement nous y oblige, nous n’avons pas le choix », et le gouvernement peut dire : « ce n’est pas nous qui surveillons, nous avons seulement acheté des données à Google ou Apple ».
Cela peut paraître cynique, mais pour quiconque a suivi les révélations liées aux agences de sécurité ces dernières années, ce qui se passe est évident.
Quand les États-Unis veulent faire quelque chose d’impopulaire ou de manifestement illégal, il leur suffit de demander au Royaume-Uni ou à un autre pays partenaire de le faire à leur place.
Le gouvernement américain ne peut pas demander à Apple les données de citoyens américains, mais si le Royaume-Uni obtient ces données puis qu’elles sont partagées entre agences, tout irait bien. Cela se produit déjà depuis des années.
Cela ne veut pas dire que c’est faux, mais ce n’est pas simplement parce que le Royaume-Uni serait une marionnette des États-Unis. Il existe aussi une forte volonté en ce sens au sein du Parlement britannique.
https://en.wikipedia.org/wiki/Five_Eyes Cette page mentionne aussi les Nine Eyes et les Fourteen Eyes.
https://en.wikipedia.org/wiki/UKUSA_Agreement
Cela dit, je doute qu’on en soit arrivé là sans le soutien tacite du gouvernement américain.
Si vous vous demandez pourquoi l’UE ne réagit pas, c’est probablement parce qu’elle mène elle aussi depuis longtemps une guerre contre le chiffrement et souhaite disposer d’un droit d’accès
« L’anonymat n’est pas un droit fondamental » : des experts s’opposent à la demande du chef d’Europol d’une porte dérobée dans le chiffrement, 22 janvier 2025
https://www.techradar.com/computing/cyber-security/anonymity...
Le camp anti-chiffrement de l’UE cherche à transformer vos appareils numériques en spyware, 12 juin 2024
https://www.techradar.com/computing/cyber-security/eu-anti-e...
En tant que Britannique, je trouverais assez réjouissant qu’Apple, Google, Meta et Microsoft annoncent ensemble que la protection de la vie privée est une ligne rouge, et qu’ils préfèrent se retirer du marché britannique plutôt que d’accepter ce genre d’exigences
Notre gouvernement reculerait sans doute en moins d’une heure
Franchement, Apple n’aurait peut-être même pas besoin d’être accompagnée par les autres géants de la tech. Bien sûr, cela aiderait, mais le Royaume-Uni ne représente que quelques pour cent du chiffre d’affaires total d’Apple ; ce serait douloureux, mais ils pourraient se retirer. Si Apple veut prouver que la protection de la vie privée compte vraiment, ce pourrait être une option défendable
Si Apple intégrait une backdoor dans ses produits sous la menace d’un gouvernement autoritaire, elle subirait une atteinte à sa réputation, et il faudrait comparer ce dommage au coût d’un retrait complet du Royaume-Uni
Concrètement, si Apple annonçait son retrait du Royaume-Uni, la confiance dans l’industrie tech britannique serait prise de panique. Comment créer une entreprise tech compétitive si les développeurs n’ont même pas accès aux produits Apple ? Après 14 ans de stagnation économique, il n’y a de toute façon pas de surplus de croissance auquel renoncer
Apple doit répondre très fermement à cette affaire. Le Royaume-Uni surestime ses cartes
http://archive.today/ujbf8
Ce n’est une menace que lorsqu’un pays autre que les États-Unis l’exige ; quand ce sont les États-Unis, ce n’est qu’une mesure de sécurité
Ils veulent encore ça après Salt Typhoon ?
Salt Typhoon, c’est l’affaire où la Chine a pris le contrôle de dispositifs d’interception des forces de l’ordre américaines et s’en est servie pour surveiller des responsables politiques, des policiers, et peut-être même les services de renseignement eux-mêmes
Résultat : le gouvernement américain a appelé tout le monde à utiliser des applications de messagerie comme Signal et WhatsApp, qu’ils n’avaient pas réussi à casser [0]
C’était il y a à peine deux mois, ils ont déjà oublié ?
[0] https://www.computerweekly.com/news/366616972/Government-age...
Il est prudent de partir du principe que toutes les failles de sécurité finiront par être découvertes et exploitées par des acteurs malveillants
En sachant cela, créer intentionnellement davantage de failles, avec ou sans bonnes intentions, est irresponsable
Pourquoi cet article politique reste-t-il, alors que les posts liés à DOGE ne restent pas ?
https://news.ycombinator.com/item?id=42981756
Pas besoin d’un nouveau post tous les jours
Et l’histoire des backdoors dans le chiffrement est autant un sujet technique qu’un sujet politique