Le Royaume-Uni affaiblit la sécurité du monde entier

• Cette semaine, le Royaume-Uni a mis le monde entier en danger
• En 2016, l’« Investigatory Powers Act » a été adopté, élargissant fortement les pouvoirs de surveillance électronique du Royaume-Uni
• Récemment, le Royaume-Uni a ordonné à Apple d’intégrer une porte dérobée de chiffrement dans iCloud, tout en lui interdisant de le révéler publiquement
• Apple avait jusque-là refusé les demandes gouvernementales de porte dérobée, mais a cette fois décidé de supprimer entièrement le chiffrement iCloud pour les utilisateurs britanniques

Protection avancée des données

• Le chiffrement est une technologie qui empêche des personnes non autorisées de lire des données
• La plupart des appareils modernes et du trafic Internet sont chiffrés, mais les fournisseurs de services peuvent encore y accéder
• Certains fournisseurs mettent en œuvre le « chiffrement de bout en bout (E2EE) » afin que les données ne soient accessibles que depuis les appareils des utilisateurs
• Le programme « Protection avancée des données (ADP) » d’Apple, lancé en 2022, chiffre en E2EE presque toutes les données iCloud à l’exception des e-mails, des contacts et des calendriers
• Cependant, à la suite de la demande britannique, Apple a supprimé ADP au Royaume-Uni

Portes dérobées & Salt Typhoon

• Qu’est-ce qu’une porte dérobée ?
  • Une porte dérobée désigne un chemin caché dans un système de chiffrement ou un logiciel permettant un accès direct par le développeur
  • Elle fonctionne généralement discrètement, sans le consentement de l’utilisateur, ce qui la distingue d’un accès d’assistance technique fourni volontairement
• Une porte dérobée peut-elle être utilisée uniquement par les « gentils » ?
  • Les responsables politiques et gouvernementaux affirment souvent que les portes dérobées sont nécessaires à des « fins légitimes », mais cette idée est irréaliste
  • Comme pour une porte dérobée physique, une porte dérobée logicielle ne peut pas empêcher des intrus malveillants d’en profiter
  • Des acteurs malveillants peuvent la contourner en trouvant des vulnérabilités logicielles ou en compromettant des comptes utilisateur via des attaques de phishing
• N’importe qui peut exploiter une porte dérobée
  • La menace interne (insider threat) existe bel et bien, et un employé non fiable peut abuser d’une porte dérobée
  • Par exemple, un ingénieur de Yahoo a déjà piraté des comptes utilisateurs pour voler des photos privées
• L’affaire Salt Typhoon (piratage des réseaux télécoms américains en 2024)
  • En 2024, il a été révélé que le gouvernement chinois avait piraté des réseaux de télécommunications aux États-Unis et dans plusieurs autres pays
  • Au moins 9 grands opérateurs américains (Verizon, T-Mobile, AT&T, etc.) ont été touchés, et ce piratage a exploité des portes dérobées destinées aux forces de l’ordre
  • Ces portes dérobées avaient été conçues à l’origine pour des écoutes approuvées par la justice, mais elles ont finalement servi de la même manière à des hackers liés au gouvernement chinois
  • Dans ce processus, les journaux d’appels et messages de hauts responsables, dont le président Donald Trump et la vice-présidente Kamala Harris, ont été divulgués
• L’idée d’une « porte dérobée réservée aux gentils » est une fiction
  • L’affaire Salt Typhoon constitue une preuve décisive que les portes dérobées finissent inévitablement par être détournées
  • Quand des responsables politiques affirment que « les portes dérobées sont sûres », cela revient à dire que les licornes et les orques existent réellement

Le problème des portes dérobées dans un contexte plus large

• Même si l’on admet que le Royaume-Uni a eu tort d’imposer une porte dérobée à Apple, cela n’affecte pas seulement les utilisateurs britanniques
• Cet épisode ne doit pas être compris comme un cas isolé, mais comme une partie d’un schéma plus vaste
• PGP et les Crypto Wars
  • PGP (Pretty Good Privacy), lancé en 1991, a été réglementé par le gouvernement américain comme s’il s’agissait d’une arme
  • Une décision de justice a ensuite établi que « le code est une forme de liberté d’expression », permettant une diffusion beaucoup plus large des technologies de chiffrement
  • Grâce à cette décision, des technologies comme TLS et AES se sont généralisées, rendant possibles les achats en ligne sécurisés et le stockage sûr des données
  • Cette affaire a contribué à faire connaître l’EFF (Electronic Frontier Foundation), dont l’avocate à l’époque était Cindy Cohn, aujourd’hui directrice de l’EFF
• Les Crypto Wars continuent
  • Aux États-Unis aussi, la controverse autour des portes dérobées se poursuit
    • Sous l’administration Trump, le ministre de la Justice William Barr soutenait fermement les portes dérobées
    • L’administration Biden a également soutenu indirectement l’affaiblissement du chiffrement en 2022 avec le « Kids Online Safety Act »
    • La position de Biden sur des textes encore plus répressifs comme l’EARN IT Act et le STOP CSAM Act reste floue
• Les menaces contre la sécurité numérique augmentent aussi en Europe
  • Chat Control : en Europe, une proposition de loi vise à imposer la détection de contenus CSAM dans les applications de messagerie (WhatsApp, etc.)
  • Apple avait également tenté par le passé d’introduire un système similaire, avant de l’abandonner en raison de défauts techniques et des risques d’abus
  • Mais ces tentatives reviennent sans cesse et réapparaissent régulièrement
• Le gouvernement britannique a même tenté, via la campagne #NoPlaceToHide, de présenter les utilisateurs du chiffrement comme des criminels
  • Les initiatives visant à supprimer l’anonymat en ligne et les programmes étendus de surveillance des réseaux sociaux illustrent la diffusion mondiale de politiques attentatoires à la vie privée
  • L’exigence britannique adressée à Apple n’est pas simplement destinée à ses propres citoyens : elle constitue une nouvelle attaque contre la vie privée numérique mondiale et pourrait créer un précédent couronné de succès

Que faire ?

• Au vu de Salt Typhoon et des multiples fuites de données, ceux qui poussent en faveur des portes dérobées semblent soit manquer de compréhension technique, soit vouloir les imposer délibérément
  • Le fait que le gouvernement britannique considère le chiffrement comme une menace et cherche à l’affaiblir rend en réalité les données des utilisateurs plus vulnérables, tout en donnant à d’autres pays un prétexte pour faire de même
• Certains spéculent sur le fait que le retrait d’Apple du marché britannique pourrait être une stratégie en vue d’une riposte judiciaire, mais rien de solide ne l’étaye
  • Si Apple engageait une bataille judiciaire et l’emportait, ce serait un tournant majeur pour la protection de la vie privée
  • Comme dans le passé avec PGP et le cas Phil Zimmermann, une victoire juridique pourrait créer un précédent important pour la défense de la vie privée numérique
  • Les décisions d’un pays, surtout d’une grande puissance, influencent aussi les autres pays, et généralement dans un sens négatif
• Mesures que les utilisateurs peuvent prendre
  • Cesser d’utiliser iCloud :
    • Même si l’Advanced Data Protection (ADP) d’Apple reste disponible dans certains pays, confier toutes ses données au cloud n’est pas un choix fiable
    • Les photos, calendriers, notes et espaces de stockage de fichiers peuvent être migrés vers des services alternatifs plus fiables
    • Liste de services alternatifs privilégiant la vie privée et la sécurité
  • Conserver sur l’appareil, ou ne pas utiliser, les données difficiles à reproduire facilement
    • Pour des services comme les données de santé, les notifications ou les portefeuilles numériques, il peut être préférable de stocker les données sur l’appareil, voire de ne pas utiliser ces fonctions
    • La praticité d’Apple Wallet est réelle, mais certaines études montrent aussi que l’usage des espèces est plus efficace pour gérer son budget
    • Même sans analyse de données de sommeil, le simple respect d’une bonne hygiène de sommeil suffit souvent
  • Participation politique
    • Les lois de protection de la vie privée peuvent constituer une défense importante pour la protection des données (par exemple, dans l’UE où le RGPD s’applique, les sites de recherche de données personnelles sont presque inexistants)
    • Les citoyens britanniques devraient contacter leurs députés pour faire part de leur opposition à l’« technical capability notice » liée à l’Advanced Data Protection d’Apple
    • Ils peuvent aussi obtenir du soutien via des organisations basées au Royaume-Uni comme Big Brother Watch ou Privacy International

Conclusion

• Personne parmi ceux qui accordent de l’importance à la vie privée ne défend la criminalité
• Mais sacrifier les libertés civiles pour arrêter une minorité de criminels est une approche déséquilibrée
• De nombreuses politiques attentatoires à la vie privée sont promues au nom de la « protection des enfants », mais cela ne constitue pas une véritable protection
  • Les enfants et les adolescents ont besoin d’un environnement où ils peuvent grandir librement et apprendre de leurs erreurs
  • Le monde numérique ne doit pas devenir un espace où les erreurs restent à jamais et répriment la liberté individuelle
  • Ce sont des mesures de protection techniques, et non des politiques, qui doivent apporter de vraies solutions
• Interdire le chiffrement ne protège pas : cela crée au contraire davantage de risques
• Comment répondre aux atteintes à la vie privée du gouvernement britannique :
  • Migrer vers des services sûrs qui ne relèvent pas du droit britannique
  • En tant qu’électeur, faire entendre son opposition au gouvernement