2 points par GN⁺ 2025-02-22 | 2 commentaires | Partager sur WhatsApp
  • Après que le gouvernement britannique a exigé un droit d’accès aux données des utilisateurs, Apple empêche désormais ses clients au Royaume-Uni d’activer pour la première fois la fonctionnalité de sécurité la plus avancée appliquée à iCloud, Advanced Data Protection
  • ADP est une fonctionnalité optionnelle qui chiffre de bout en bout les données stockées en ligne, comme les photos et les documents, afin que seul le titulaire du compte puisse les consulter ; même Apple ne peut pas accéder aux données protégées lorsqu’elle est activée
  • À partir du 21 février 2025 à 15:00 GMT, les utilisateurs britanniques qui tenteront d’activer ADP verront s’afficher une erreur, et ADP sera également désactivée ultérieurement pour les utilisateurs existants
  • Sans ADP, certaines données iCloud ne bénéficieront que d’un chiffrement standard ; Apple pourra y accéder et les partager avec les forces de l’ordre en présence d’un mandat
  • Il n’est pas certain que cette mesure dissipe les exigences du Royaume-Uni au titre de l’Investigatory Powers Act et les inquiétudes liées à une backdoor mondiale ; les réactions hostiles se poursuivent aussi dans la classe politique américaine et parmi les défenseurs de la vie privée

Retrait d’ADP et impact sur les utilisateurs iCloud britanniques

  • Apple a pris une mesure sans précédent en cessant de proposer Advanced Data Protection (ADP) à ses clients au Royaume-Uni
    • ADP chiffre de bout en bout les données stockées dans iCloud, comme les photos et les documents, afin que seul le titulaire du compte puisse y accéder
    • Les données pour lesquelles la fonctionnalité est activée ne peuvent actuellement pas être consultées, même par Apple
  • Au Royaume-Uni, il n’est plus possible d’activer ADP pour la première fois
    • À partir du 21 février 2025 à 15:00 GMT, les utilisateurs britanniques qui tenteront d’activer ADP verront s’afficher un message d’erreur
    • L’accès des utilisateurs ADP existants sera également désactivé plus tard
    • On ignore combien de clients Apple britanniques s’y sont inscrits depuis la mise à disposition d’ADP en décembre 2022
  • Avec la disparition d’ADP, toutes les données iCloud des clients britanniques ne seront plus protégées par un chiffrement complet de bout en bout
    • Apple peut accéder aux données protégées par un chiffrement standard
    • Si les forces de l’ordre disposent d’un mandat, Apple peut partager ces données
  • Apple s’est dite “gravely disappointed” que ses clients britanniques ne puissent plus utiliser cette fonctionnalité de sécurité
    • L’entreprise maintient qu’elle n’a jamais créé de “backdoor” ni de “master key” dans ses produits, et qu’elle ne le fera jamais
    • Elle estime qu’il est plus urgent que jamais de renforcer la sécurité du stockage cloud grâce au chiffrement de bout en bout
    • Elle espère pouvoir à l’avenir proposer également au Royaume-Uni le plus haut niveau de sécurité pour les données personnelles

Exigences gouvernementales et opposition internationale

  • La demande du gouvernement britannique aurait été envoyée par le Home Office au titre de l’Investigatory Powers Act (IPA)
    • L’IPA peut contraindre les entreprises à fournir des informations aux forces de l’ordre
    • Apple n’a pas commenté cette notification, et le Home Office a déclaré qu’il ne confirmerait ni ne démentirait son existence
    • La BBC et le Washington Post ont contacté plusieurs sources au fait du dossier
  • Les défenseurs de la vie privée ainsi que certains acteurs de la technologie et des politiques publiques ont vivement réagi
    • Des militants de la vie privée ont qualifié cela d’“unprecedented attack” contre les données privées des individus
    • Will Cathcart, responsable de WhatsApp, a écrit sur X que si le Royaume-Uni oblige Apple à intégrer une backdoor mondiale dans sa sécurité, tout le monde, dans tous les pays, sera moins en sécurité
    • Deux hauts responsables politiques américains estiment que, si la demande n’est pas retirée, elle représente une menace si grave pour la sécurité nationale des États-Unis que le gouvernement américain devrait réévaluer ses accords de partage de renseignement avec le Royaume-Uni
  • Il n’est pas clair que le seul retrait d’ADP au Royaume-Uni mette fin à la controverse
    • Les ordres émis au titre de l’IPA s’appliquent dans le monde entier, et ADP continue de fonctionner dans les autres pays
    • Le sénateur Ron Wyden a déclaré que le retrait des sauvegardes chiffrées de bout en bout au Royaume-Uni crée un précédent dangereux que des États autoritaires pourraient suivre
    • Wyden estime que cette mesure ne suffira probablement pas à pousser le Royaume-Uni à retirer sa demande, et qu’elle pourrait gravement menacer la vie privée des utilisateurs américains

Débat sur le chiffrement et la sécurité des enfants

  • Certaines réactions appellent aussi à trouver un équilibre entre sécurité des enfants et chiffrement
    • Rani Govender, de la NSPCC, a déclaré que les entreprises technologiques comme Apple doivent trouver un équilibre entre la sécurité des enfants et des utilisateurs, et la protection de la vie privée
    • La NSPCC estime que les services chiffrés de bout en bout peuvent entraver les efforts de protection des enfants, comme l’identification du partage de contenus d’abus sexuels sur mineurs (CSAM)
  • À l’inverse, certains répondent que le chiffrement est un outil courant de protection de la vie privée
    • Emily Taylor, cofondatrice de Global Signal Exchange, a déclaré que le chiffrement concerne la protection de la vie privée des consommateurs, et qu’il n’est pas assimilable au dark web, où circulent principalement les CSAM
    • Taylor a expliqué que le chiffrement est un outil de protection de la vie privée utilisé au quotidien, par exemple dans les communications bancaires et les applications de messagerie chiffrées de bout en bout
  • Cette controverse intervient dans un contexte de réaction croissante aux États-Unis face à la pression réglementaire étrangère exercée sur les entreprises technologiques américaines
    • Le vice-président américain JD Vance a déclaré début février, lors d’un discours au Paris AI Action Summit, que l’administration Trump s’inquiétait d’informations selon lesquelles certains gouvernements étrangers chercheraient à accroître la pression sur les entreprises technologiques américaines actives à l’international

2 commentaires

 
unsure4000 2025-02-22

Tout le monde va sûrement s’empresser de faire la même demande. C’est vraiment très regrettable.

 
GN⁺ 2025-02-22
Avis sur Hacker News
  • Oui, en réalité l’affaire était bien plus grave que ce qu’a expliqué le gouvernement
    La demande du gouvernement britannique est arrivée sous la forme d’un « technical capability notice » de l’Investigatory Powers Act, et consistait à demander à Apple de créer une porte dérobée donnant accès aux données chiffrées des utilisateurs dans le monde entier
    Si l’on pense aux cas où un appareil est fouillé à l’aéroport au titre du Counter Terrorism Act, il n’y a ni droit à un conseil juridique ni droit au silence, et cela peut viser non seulement les Britanniques mais aussi les étrangers passés par le territoire britannique
    C’est presque la plus grande porte dérobée dont j’aie jamais entendu parler, et ce qui m’inquiète encore plus, c’est qu’Apple semble être la seule entreprise à s’y opposer publiquement
    Les appareils Android aussi encouragent sans cesse les sauvegardes cloud et rendent leur désactivation difficile ; difficile d’être sûr que Google ou Microsoft n’ont pas déjà cédé à des demandes similaires
    En plus, comme la plupart des authentifications à deux facteurs passent par de grandes entreprises tech ou par le téléphone, cela revient au final à remettre les clés de tous les comptes, et on a l’impression que la bataille pour la vie privée et la sécurité est en train d’être perdue

    • Les sauvegardes Google Drive d’Android disposent depuis longtemps d’une option de chiffrement de bout en bout, et Google l’a aussi expliqué sur https://security.googleblog.com/2018/10/google-and-android-h... ; si je comprends bien, les clés ne sont stockées localement que dans le Titan Security Module
      S’ils se conformaient à l’IPA, il faudrait intégrer dans Android un mécanisme pour extraire les clés ; or, sur Android, où la recherche en sécurité est plus facile que sur iOS, ce genre de compromission aurait de bonnes chances d’être découvert, non ?
    • Même si Apple donne l’impression de s’opposer publiquement, il est étrange qu’elle continue à faire des affaires en Chine, contrairement à Google
      Google a quitté la Chine lorsque le gouvernement chinois a exigé toutes les clés des données de ses citoyens
      Apple a tendance à résister seulement quand c’est visible et que cela ne menace pas vraiment son activité ; je la vois davantage comme une entreprise douée en marketing et en gestion d’image que comme une société qui protège réellement les données de ses utilisateurs
    • Si cette sauvegarde Android n’est pas chiffrée, le gouvernement n’a qu’à accéder directement aux données
      Ici, le problème est l’accès à des sauvegardes chiffrées pour lesquelles on suppose qu’Apple ne possède pas les clés
      Et il me semble que les États-Unis peuvent eux aussi accéder, sans véritable supervision, aux données de citoyens non américains stockées aux États-Unis
    • Il est possible qu’en respectant la loi britannique, on finisse par enfreindre la loi d’un autre pays
      Par exemple, si Apple fournissait une porte dérobée sur les données de sénateurs américains, transmettre ces informations pourrait être considéré comme une trahison aux États-Unis
      C’est un exemple entièrement hypothétique, mais au bout du compte, cela peut devenir une question de souveraineté des données
    • On entend souvent dire qu’aux États-Unis les forces de l’ordre mentent, mais l’absence de droit à un conseil juridique et de droit au silence paraît encore pire
  • Fondamentalement, je pense que c’est un problème de culture technique du monde politique
    Ils continuent de s’appuyer sur l’erreur du « si vous n’avez rien à cacher, vous n’avez rien à craindre », et le Royaume-Uni en particulier a une gestion paternaliste de l’État et un soutien autoritaire qui traverse tous les partis
    Ce type de loi est toujours rédigé de façon à pouvoir être appliqué et ciblé de manière ambiguë, afin de contourner d’autres lois ; une fois la loi en vigueur, le prétexte du « pensez aux enfants » risque de disparaître rapidement
    Le gouvernement s’imagine que sa porte dérobée peut distinguer les bons des méchants, mais la seule protection réelle est une sécurité par l’obscurité, puisque révéler l’existence de cette porte dérobée ou même la demande serait illégal
    Pour un attaquant malveillant qui part déjà du principe que les multinationales du cloud sont compromises, cela ne fait qu’ajouter des cibles, et ce genre de porte dérobée serait une occasion rêvée pour les black hats et gray hats qui veulent s’introduire dans les systèmes du gouvernement

    • Ce n’est pas un problème de culture technique, c’est plutôt qu’ils s’en fichent
      Le monde politique veut du contrôle, et considère que si les risques pour les utilisateurs augmentent en mettant ce contrôle en place, ce n’est pas son problème
    • Je me demande ce que signifie exactement « État paternaliste »
      J’ai appris le latin, donc je sais que pater signifie père, mais je ne vois pas ce qu’est un État « paternel »
      « Soutien autoritaire à travers tous les partis » est aussi une formulation vague
      Cela dit, je suis d’accord pour dire que casser le chiffrement du quotidien est une idée vraiment stupide, et je regrette aussi qu’Apple l’ait vendu comme une sorte de fonctionnalité supplémentaire
      Faire tourner openssl ne coûte pas si cher, et c’est bien de l’open source
    • En voyant les États-Unis passer du statut de chef de file du monde libre à celui d’outil de la Russie, j’espère que les gens comprendront que faire confiance au gouvernement actuel ne signifie pas pouvoir faire confiance au prochain, ni à celui d’après
    • Ce que veulent les responsables politiques, c’est une sécurité partielle
      Ils veulent un système qu’eux puissent casser, mais pas les criminels ; c’est peut-être possible en sécurité physique, mais impossible en cybersécurité
      J’ai l’impression que les responsables politiques savent déjà qu’une cybersécurité partielle est impossible mais s’en moquent, et les agences de renseignement qui les conseillent le savent certainement
      Un monde où le secret est illégal rend le travail des hackers plus facile qu’un monde qui les arrête réellement
    • L’illusion selon laquelle une porte dérobée gouvernementale pourrait distinguer les bons des méchants est un point essentiel
      Rien que ces derniers mois ont montré que les personnes qui se trouvent au sein du gouvernement, ou qui aspirent à le devenir, ne sont pas forcément du côté des bons ; même si l’accès était limité au seul gouvernement, il devient de plus en plus difficile de prétendre que « nous sommes les gentils »
  • Apple publie le nombre de demandes gouvernementales de données reçues par pays.
    Le nombre de demandes britanniques a fortement augmenté ces dernières années : https://www.apple.com/legal/transparency/gb.html#:~:text=77%...
    Cela tient probablement en grande partie à la mise en œuvre et à l’automatisation de l’accord d’accès aux données entre les États-Unis et le Royaume-Uni au titre du CLOUD Act, qui a sans doute simplifié les procédures de demande pour les forces de l’ordre et les agences de sécurité nationale britanniques.

    • À voir les chiffres allemands, le Royaume-Uni semble encore jouer dans la cour des débutants.
      https://www.apple.com/legal/transparency/de.html#:~:text=77%...
    • Le problème est que cette loi est très différente, et qu’Apple, ou toute partie recevant une injonction, ne peut pas en parler pleinement.
      Il est donc très probable que ce type de demandes n’apparaisse pas dans les rapports de transparence.
      Maintenant qu’Apple a décidé de désactiver Advanced Data Protection, il est difficile d’exclure la possibilité qu’elle fournisse une backdoor au Royaume-Uni, et c’est très inquiétant, car le public n’aura aucun moyen de savoir à quelle fréquence elle est utilisée ni pourquoi.
    • J’ai du mal à accepter cette analyse.
      Toutes les périodes de six mois entre janvier 2014 et juin 2017 comptent davantage de demandes que n’importe quelle période de six mois des cinq dernières années.
    • C’est triste de voir le berceau de la Magna Carta glisser de plus en plus vers le fascisme et 1984.
      Le gouvernement devrait absolument être tenu d’obtenir un mandat précis pour accéder aux données personnelles.
  • Dire qu’« il est sans précédent qu’une entreprise retire un produit au lieu de coopérer avec le gouvernement » est une déclaration beaucoup trop complaisante envers son propre camp.
    Si Apple fournit une backdoor au Royaume-Uni, les utilisateurs du monde entier s’en trouvent affaiblis.
    Cette décision revient à respecter la loi locale, et ce pays doit assumer les conséquences voulues par les dirigeants qu’il a élus.
    La phrase du paragraphe suivant — « si d’autres opérateurs télécoms retiraient leurs produits et estimaient ne pas avoir à rendre de comptes au gouvernement, cela créerait un précédent très inquiétant » — sonne elle aussi de manière sinistre.

    • Ce n’est même pas vrai.
      Google s’est retiré de Chine il y a longtemps pour ne pas céder aux exigences du gouvernement chinois, et il n’a pas retiré un seul produit, mais toute son activité.
    • Les faux spécialistes de la vie privée comme Caro Robson devraient être tenus responsables.
    • L’inquiétude que des multinationales deviennent si puissantes qu’elles n’obéissent plus aux gouvernements et puissent faire pression sur eux en retirant leurs produits est réelle et croissante.
      Pornhub l’a fait dans certains États américains, et Meta a proféré des menaces similaires dans plusieurs pays.
      Les grandes entreprises ont toujours résisté à la régulation, mais la tactique consistant à punir un pays en retirant un produit semble être utilisée plus souvent récemment.
      Décider où créer des emplois et des installations est aussi un outil de pouvoir des entreprises ; Musk l’a illustré en quittant la Californie pour le Texas, et les entreprises de défense ou pétrolières utilisent également ce type de tactique.
    • Qualifier Caro Robson de « spécialiste de la vie privée » est ironique.
      En réalité, elle semble hostile à la vie privée.
    • Le précédent le plus inquiétant semble plutôt être celui de gouvernements étrangers qui obligent des entreprises étrangères à exercer leurs activités dans leur pays.
  • Cette mesure ne répond pas à la demande initiale du gouvernement, à savoir un accès par backdoor aux comptes cloud chiffrés de bout en bout dans le monde entier.
    La question la plus importante est de savoir comment on peut « retirer » le chiffrement de bout en bout sans perte de données.
    Qu’advient-il des personnes qui l’ont déjà activé ?
    Le raisonnement d’Apple pour refuser une backdoor s’appuie sur le principe américain selon lequel on ne peut pas « contraindre au travail » ; mais si Apple crée une fonction permettant de « désactiver le chiffrement de bout en bout de ce compte », il devient plus difficile de soutenir que cette implémentation relève du travail forcé ou de la parole contrainte.

    • Quand on désactive ADP, la clé de chiffrement locale est téléversée vers les serveurs d’Apple, ce qui permet à Apple de la lire.
      Apple pourrait aussi bloquer l’accès à iCloud jusqu’à ce que l’utilisateur effectue cette opération.
    • On ne peut pas désactiver le chiffrement de bout en bout sans perte de données.
      D’après l’article, si l’utilisateur ne le désactive pas lui-même, Apple ne peut pas le faire à sa place, et le compte iCloud est donc résilié.
    • J’ai entendu dire que les clés de chiffrement ne se trouvent que sur l’appareil, mais Apple contrôle les appareils des « utilisateurs ».
      Elle peut déployer une mise à jour qui force l’appareil à déchiffrer les données et à les téléverser.
    • Les propos du Prof Woodward dans l’article semblent s’appliquer tels quels à la réponse d’Apple à la demande initiale du gouvernement britannique.
      « Le gouvernement britannique a été naïf de penser qu’il pouvait dire à une entreprise technologique américaine quoi faire à l’échelle mondiale. »
    • Apple se trouve vraiment dans une position difficile.
      Je ne vois pas comment satisfaire la demande initiale sans que cela devienne de fait une backdoor, et désactiver le chiffrement de bout en bout sur le marché britannique ne fait que repousser le problème.
      Rien que créer un outil qui pousse les utilisateurs hors du chiffrement de bout en bout sans consentement explicite pourrait ensuite être détourné dans d’autres pays pour obtenir, sur mandat, des messages chiffrés de bout en bout.
  • Ce problème ne concerne pas seulement les utilisateurs d’Apple.
    Si quelqu’un sauvegarde dans le cloud d’Apple une conversation avec vous, votre conversation devient elle aussi accessible, sans que vous ayez le moindre choix.
    Au bout du compte, tout le monde y perd.

    • C’est pourquoi il est important d’utiliser des applications comme Signal, qui permettent de définir une durée de conservation des messages.
      J’ai fait en sorte que tout mon entourage l’utilise.
    • C’est très similaire à des sites comme LinkedIn, qui demandent le partage des informations personnelles et du carnet d’adresses.
      Même si je ne veux pas partager mes contacts, dès qu’une personne que je connais accepte, elle les partage à ma place et je perds mes droits sur mes données.
      Si des informations comme l’anniversaire, l’adresse du domicile, d’autres adresses e-mail ou des numéros de téléphone y sont aussi enregistrées, elles peuvent toutes être concernées.
    • La sécurité dépend de la confiance.
      Le seul véritable outil de confidentialité repose sur le modèle de toile de confiance de PGP, mais il ne fonctionne que lorsque les gens possèdent leur propre ordinateur et leur propre stockage.
      Aujourd’hui, on a fait en sorte que tout le monde loue son ordinateur et son stockage, et dans ce cadre, il est difficile d’établir un modèle de sécurité au bénéfice des utilisateurs.
    • C’est effrayant, donc je vais essayer d’utiliser Signal autant que possible désormais.
  • Citer les propos de Caro Robson, « spécialiste de la confidentialité en ligne », sans préciser qu’elle conseille l’ONU, l’UE et des organisations militaires internationales, ressemble à un exemple typique de biais pro-gouvernemental de la BBC.
    Ce qui est « très, très inquiétant », c’est justement qu’un opérateur télécoms ne retire pas son produit et soit contraint de concevoir un produit trompeur et défectueux par nature.

  • La liberté d’expression est déjà menacée, et maintenant on voudrait aussi renoncer au droit aux communications privées ?
    Les gens qui soutiennent ça croient-ils vraiment que cela ne touchera que les « méchants », et qu’eux ne se retrouveront jamais sous la botte de l’État ?
    Même si vous faites confiance au gouvernement d’aujourd’hui, que ferez-vous si vos voisins élisent un gouvernement idéologiquement opposé à vous ?

    • Je ne pense pas que qui que ce soit soutienne ça
  • Question naïve, mais je suis sincèrement curieux
    ADP est une fonctionnalité qui n’existe que depuis quelques années ; maintenant qu’elle disparaît, les gens se mettent en colère, mais je me demande pourquoi ils ne l’étaient pas pendant les dix années précédentes
    Pensait-on auparavant qu’iCloud était entièrement chiffré ?
    Les gens ne s’intéressaient-ils pas au chiffrement de bout en bout, et maintenant si ?
    Si c’est un si gros problème, pourquoi avoir continué à utiliser quelque chose comme iCloud, et pourquoi ne se sentir trahi que maintenant ?

    • J’étais déjà en colère que cela n’existe pas avant, et c’est pour cela que je n’avais pas activé iCloud Backup
      Je n’utilisais pas non plus iCloud Photos ; je stockais tout sur un NAS correctement chiffré, avec une configuration compliquée consistant à transférer régulièrement les données
      J’utilisais aussi iMazing et des sauvegardes locales chiffrées selon un planning
      Beaucoup de gens réclamaient le chiffrement de bout en bout pour ce type de données, mais il est aussi vrai que plus le chiffrement devient accessible, plus il peut protéger de personnes
      Tout le monde n’a pas le temps, les compétences ni l’énergie de sauvegarder sur un NAS et de le gérer de façon à ne pas perdre ses données en cas de panne du NAS ou de coupure de courant
      Ce qui me fait plus peur que l’État, c’est qu’un fournisseur de services cloud soit piraté, ou compromis durablement par une vulnérabilité logicielle comme log4j
      ADP protège beaucoup de gens contre les attaques visant le cloud, et la défense contre les demandes gouvernementales est presque un bonus
      Comme on l’a vu avec Salt Typhoon, les backdoors peuvent être découvertes et exploitées, et des vulnérabilités dans des logiciels intégrés comme log4j peuvent mettre à mal même de très grands fournisseurs
      Le retrait de la fonctionnalité au Royaume-Uni remet le sujet sous les projecteurs, mais des inquiétudes étaient déjà régulièrement soulevées auparavant sur des blogs indépendants et dans divers médias
      En tant qu’utilisateur d’ADP hors du Royaume-Uni, je trouve positif qu’Apple cherche à la défendre, et j’apprécie aussi que cette fonctionnalité existe
    • Beaucoup de gens étaient très en colère qu’Apple déploie cette fonctionnalité aussi lentement
      Beaucoup affirmaient aussi que son lancement avait été retardé à cause de pressions gouvernementales [1] ; à noter que cet article a été écrit par le journaliste qui a révélé l’information d’aujourd’hui quelques semaines plus tôt
      Le déploiement du chiffrement prend du temps, donc on ne pouvait que se dire « enfin », mais la fonctionnalité a aussitôt été attaquée par le gouvernement britannique et désactivée au Royaume-Uni
      Je pense qu’Apple aura désormais peur de promouvoir activement cette fonction, même aux États-Unis, et que les techniciens devraient expliquer beaucoup plus clairement à leurs amis non techniciens pourquoi elle est importante
      [1] https://www.reuters.com/article/world/exclusive-apple-droppe...
    • Il fut un temps où aucune communication web n’était chiffrée
      Si vous demandez pourquoi les gens ne se mettaient pas en colère à l’époque, ne pensez-vous pas qu’ils seraient plus furieux si HTTPS était soudainement interdit aujourd’hui ?
      Les droits et les privilèges provoquent généralement plus de colère quand on les retire après les avoir accordés que lorsqu’ils n’ont jamais existé au départ
    • Comme il était depuis longtemps possible, en fonctionnalité de base, de faire des sauvegardes locales chiffrées sur son propre PC ou Mac, les personnes soucieuses de leur vie privée ont toujours eu une option
      Ce qui est plus inquiétant, c’est qu’Apple était déjà prête à lancer des sauvegardes cloud chiffrées il y a quelques années, mais les a retardées à cause de l’opposition du gouvernement américain
      Des articles indiquaient aussi : « Après des années de retard dues aux pressions gouvernementales, Apple a annoncé qu’elle chiffrerait entièrement, dans le monde entier, les sauvegardes cloud des photos, historiques de chat et de la plupart des autres données sensibles des utilisateurs »
      https://www.washingtonpost.com/technology/2022/12/07/icloud-...
      Le gouvernement britannique n’est pas le seul à s’être opposé à une véritable protection de la vie privée
    • J’étais déjà en colère avant, et c’est pour cela que je n’utilisais pas les sauvegardes iCloud
      Je les ai activées après l’arrivée du chiffrement de bout en bout et d’ADP ; si cela disparaît aussi aux États-Unis, je reviendrai aux seules sauvegardes locales chiffrées
  • Le cauchemar continue
    Pour l’instant, j’utilise un service de sauvegarde tiers qui promet que les sauvegardes sont chiffrées avec des clés auxquelles le fournisseur n’a ni accès ni contrôle
    Mais à une époque où ce genre de notifications secrètes est envoyé à d’innombrables entreprises, je ne sais pas si l’on peut faire confiance à cette promesse
    La prochaine étape serait de garantir que les fichiers sont chiffrés avant même d’arriver dans le cloud, mais je n’ai pas encore vu de service offrant la même commodité que les solutions de sauvegarde actuelles pour sauvegarder de manière fluide mon téléphone, les téléphones de ma famille et mes ordinateurs portables
    Les sauvegardes hors site sont indispensables, elles contiennent inévitablement aussi des données client, et je dois les garder confidentielles face aux accès externes
    Comment cela peut-il être possible si tout a une backdoor ?

    • Au Royaume-Uni, on peut vous envoyer en prison si vous ne remettez pas vos clés de chiffrement, donc la discussion elle-même devient dénuée de sens
      Ils ont lentement élargi ce pouvoir au cours des vingt dernières années
    • La commodité a généralement un prix
      Il faut faire en sorte de ne devoir faire confiance à personne, et n’envoyer que des fichiers chiffrés vers un service de stockage ordinaire
      Avec Syncthing + Rclone, on devrait pouvoir créer une configuration similaire tout en gardant le contrôle soi-même
    • Sécurité et commodité sont toujours en conflit
    • À mon avis, la seule chose à laquelle on puisse faire confiance à un haut niveau, c’est son propre serveur *nix
      On sauvegarde les appareils dessus, puis on chiffre sur ce serveur avant d’envoyer vers le cloud