- Le gouvernement britannique redemande à Apple d’introduire une porte dérobée dans son service de sauvegarde chiffrée
- Cette demande est désormais limitée aux utilisateurs britanniques, mais le risque fondamental reste inchangé
- Au lieu d’introduire une porte dérobée, Apple a décidé de retirer la fonctionnalité Advanced Data Protection au Royaume-Uni
- Les exigences de porte dérobée du gouvernement portent atteinte à la sécurité et à la vie privée de tous les utilisateurs et augmentent les risques de piratage
- De telles mesures créent un précédent international et soulèvent une atteinte aux droits humains fondamentaux
Tentative du gouvernement britannique d’imposer une porte dérobée au chiffrement d’Apple
Selon un article du Financial Times, le gouvernement britannique a récemment de nouveau demandé à Apple d’introduire une porte dérobée dans son service de sauvegarde chiffrée. La différence par rapport à la demande précédente est qu’elle ne s’applique cette fois qu’aux utilisateurs britanniques, mais la gravité fondamentale du problème ne change pas.
« Technical Capability Notice (TCN) » et fondement juridique
Cette nouvelle demande du gouvernement britannique s’appuie sur le pouvoir de « Technical Capability Notice (TCN) » prévu par l’Investigatory Powers Act.
Dès l’introduction initiale de cette loi, des inquiétudes avaient été soulevées quant au risque qu’elle soit détournée pour imposer à Apple et à d’autres grandes entreprises technologiques une surveillance de leurs utilisateurs.
Suspension d’Advanced Data Protection
En janvier de cette année, avec l’émission d’un TCN par le gouvernement britannique, Apple s’est retrouvé face à l’obligation soit de créer une porte dérobée de chiffrement, soit de désactiver Advanced Data Protection au Royaume-Uni, une fonctionnalité offrant un chiffrement de bout en bout complet.
Apple a refusé d’introduire une porte dérobée et a choisi à la place de retirer cette fonctionnalité au Royaume-Uni.
Changement du périmètre de la demande et ses effets
L’ordre initial visait les données de tous les utilisateurs d’Apple, mais en août, selon les services de renseignement américains, le Royaume-Uni aurait affirmé avoir retiré cette demande.
Cependant, si Apple n’a pas réintroduit la fonctionnalité, c’est qu’en réalité la demande avait été modifiée pour en limiter la portée aux utilisateurs britanniques.
Menaces pour la sécurité et les droits humains
Le fait que le gouvernement répète ses demandes de porte dérobée affaiblit ainsi la sécurité et la liberté des utilisateurs britanniques.
Même une porte dérobée conçue pour le gouvernement ou les autorités judiciaires finit par accroître les risques de sécurité, notamment en matière de piratage, de vol de données personnelles et de fraude.
Il est également souligné qu’une telle demande crée un précédent dangereux susceptible de s’étendre à l’ensemble des entreprises et d’encourager des exigences similaires de la part de gouvernements autoritaires.
Les inquiétudes ont encore grandi après qu’une controverse a éclaté autour de l’accès à des serveurs liés au récent déploiement par le gouvernement britannique d’un système d’identité numérique obligatoire.
Évolutions à venir et question des droits
L’examen du recours était prévu pour janvier 2026, mais cette modification de l’injonction pourrait aussi entraîner des changements dans la procédure judiciaire.
Apple maintient qu’il faut continuer à refuser de telles demandes de porte dérobée.
Les tentatives d’affaiblir le chiffrement de bout en bout en visant un pays en particulier finissent en définitive par porter atteinte à la vie privée de tous les utilisateurs ainsi qu’à leurs droits humains fondamentaux.
2 commentaires
C’est amer de voir que cela ne concerne pas que les autres. Chez nous aussi, le débat public n’arrive pas vraiment à se structurer, trop accaparé par les affrontements droite-gauche, et on ne réagit pas comme il le faudrait aux absurdités commises par les politiques.
Avis sur Hacker News
Je me demande ce que signifie « utilisateurs UK » : s’agit-il des utilisateurs configurés sur l’App Store britannique ou de ceux qui utilisent un moyen de paiement britannique ? Je me demande aussi si un Américain vivant au Royaume-Uni pourrait poursuivre Apple devant un tribunal américain pour rupture de contrat. Je ne comprends pas non plus comment il serait possible de désactiver Advanced Data Protection (ci-après ADP) sans consentement explicite. Pour déchiffrer les données existantes, l’utilisateur devrait fournir lui-même la clé secrète, donc cela semble difficile sans son accord. Je me demande si l’iPhone pourrait éventuellement déchiffrer localement l’intégralité de l’archive iCloud sur plusieurs heures, puis la renvoyer sans chiffrement.
Si cela devait arriver, il est probablement plus vraisemblable que le téléphone envoie directement la clé secrète à Apple.
Il est naturel qu’un citoyen américain vivant au Royaume-Uni soit lui aussi soumis au droit britannique. Concernant la désactivation d’ADP, je me souviens d’anciennes discussions disant que les clés n’existaient que sur l’appareil de l’utilisateur et qu’Apple n’y avait pas accès, donc il n’y avait aucun moyen de le désactiver sans perdre les données. J’avais d’ailleurs déjà désactivé ADP moi-même autrefois à cause de ce risque.
Au Royaume-Uni, la police peut obliger les citoyens à fournir le mot de passe de leur téléphone, et un refus peut même entraîner une peine de prison. En renonçant au cloud chiffré, Apple nous rapproche toujours plus d’un monde à la 1984. La France aussi a tenté d’imposer des backdoors dans des messageries chiffrées comme Signal ou WhatsApp, sans que cela soit adopté. Malheureusement, les gens ordinaires mesurent rarement l’importance de la vie privée. J’ai le sentiment qu’on n’enseigne pas que la démocratie et la liberté commencent par la vie privée. À l’école, les cours d’éducation civique expliquaient surtout le fonctionnement des institutions politiques, sans véritable discussion ni enseignement sur ce qu’est la liberté, sur la facilité avec laquelle on peut la perdre, ou sur la manière de l’acquérir.
Le simple fait qu’Apple ait commencé à proposer son propre cloud, c’est-à-dire à stocker en un même endroit les données de nombreuses personnes sur l’ordinateur de quelqu’un d’autre, était déjà un énorme problème. Je cite souvent la formule : « le cloud = l’ordinateur de quelqu’un d’autre ».
Quelqu’un demande une source concernant l’obligation pour les citoyens britanniques de remettre leur mot de passe.
Face à ce type d’ingérence excessive de l’État, le fait le plus important est qu’il n’existe absolument aucune opinion publique démocratique en sa faveur. Chercher une rationalité à la répétition de ces attaques est une perte de temps. La vraie question est de savoir pourquoi ils réclament de tels pouvoirs, qui les a demandés, et pourquoi ils devraient bénéficier d’un traitement spécial. Les politiciens (Starmer, etc.) ne s’intéressent pas réellement à ce sujet. Il faut plutôt identifier qui les pousse à fabriquer des outils capables de neutraliser la démocratie. Il faut commencer par trouver qui a réellement rédigé le texte initial du projet de loi, et révéler non pas seulement quel député l’a porté, mais aussi quels membres du staff ou quels réseaux l’ont conçu.
À chaque excès du gouvernement, c’est toujours présenté comme si c’était « la faute des autres ».
Il est clair que les services de sécurité sont derrière tout cela. Les mêmes campagnes médiatiques se répètent depuis des décennies : autrefois dans la presse tabloïd, aujourd’hui en ligne. La controverse autour de l’OSA (Official Secrets Act) était comparable. On voit des articles absurdes, des articles sans véritables sources, et le public reste indifférent parce qu’il existe quantité de groupes d’intérêt au sein de l’État. Souvent, ce ne sont pas réellement les gouvernements eux-mêmes, mais des fonctionnaires qui coordonnent des fuites avec les médias, voire publient des articles visant directement leurs propres ministres. Et les élus n’ont aucun moyen réel de changer cette situation.
En tant que résident britannique, j’espère qu’Apple rejettera les demandes abusives du gouvernement. Plutôt que de céder comme en Chine, il vaudrait mieux quitter le marché britannique.
Si vous attendez d’une multinationale valant des milliers de milliards qu’elle mène à votre place un combat politique, c’est une attente mal placée. Au final, soit les citoyens choisissent leur gouvernement et celui-ci fixe les politiques, soit ils considèrent que ce gouvernement n’a plus de légitimité et changent de système.
Un CEO ne peut pas aller en prison pour le compte de millions de clients. Il ne reste que deux options : soit la loi est du côté du gouvernement, soit il ne faut tout simplement pas confier ses données à l’entreprise.
Si vous voulez qu’Apple refuse les demandes du gouvernement, il faut rappeler que l’an dernier, le gouvernement américain avait en fait fait pression sur le Royaume-Uni pour éviter un affaiblissement de la sécurité des Américains. J’espère vraiment qu’Apple résistera, mais à en juger par les précédents, cela se limitera probablement à un court billet sur son blog officiel.
Quitter le marché britannique aurait peu d’intérêt pratique. C’est Apple qui a docilement coopéré avec la surveillance en Chine tout en en tirant d’énormes profits.
Si un OEM peut insérer une backdoor via une mise à jour OTA, alors c’est au fond notre rapport au logiciel qui pose problème. Tant qu’on n’exigera pas une véritable supervision et une réelle responsabilité au niveau des appareils, ce type d’attaque descendante restera impossible à empêcher. Accuser le Royaume-Uni ne résout rien sur le fond : c’est surtout un exemple du danger qu’il y a à faire confiance aveuglément à une boîte noire.
En réalité, nous ne « possédons » même pas nos appareils : nous n’avons qu’une licence, et nous n’avons pas les droits root. Stallman et d’autres avaient averti depuis longtemps que cela finirait ainsi, mais on les traitait de paranoïaques. Dès l’arrivée des smartphones, il était déjà clair que cela évoluerait dans cette direction.
Si une entreprise peut pousser des mises à jour OTA sur un appareil verrouillé par le trusted computing, alors ce n’est pas une backdoor, c’est carrément une frontdoor. C’est pour cela que je pense que l’action politique est vaine : l’utilisateur n’aura jamais aucun moyen de savoir si Apple et le gouvernement britannique coopèrent déjà.
Si cela fonctionne comme prévu, nous ne nous en apercevrons probablement pas.
Si cette affaire refait surface maintenant, c’est surtout parce que la précédente couverture médiatique était très médiocre. Le Royaume-Uni a retiré, sous la pression du gouvernement américain, sa demande d’accès aux données de tous les utilisateurs, mais il n’a jamais retiré sa demande concernant les données des utilisateurs britanniques.
En ce moment, tout le monde ne suit plus que les histoires liées à Trump sur les réseaux sociaux, en ignorant les choses vraiment étranges qui se passent au Royaume-Uni. Par exemple, des personnes y sont arrêtées pour des questions de langage en ligne. Il y a 20 ans, ce genre d’affaire aurait fait scandale chaque jour sur Slashdot et ailleurs ; aujourd’hui, l’attention du public a diminué.
L’article dit qu’Apple a supprimé cette fonctionnalité au Royaume-Uni, mais je me demande à quel type exact de données le gouvernement britannique cherche à accéder.
ADP est une fonctionnalité pour laquelle Apple ne détient pas les clés de chiffrement. Il semble donc que le Royaume-Uni exige désormais qu’Apple ait la capacité de déchiffrer les sauvegardes chiffrées d’iPhone (des sauvegardes récupérables incluant jusqu’aux mots de passe de l’appareil, aux données personnelles, etc.). Pour les données qui ne relèvent pas d’ADP, Apple peut déjà les déchiffrer, donc c’est vraisemblablement cela qu’ils veulent.
Les utilisateurs qui avaient activé cette fonctionnalité avant son interdiction conservent toujours ADP, donc le gouvernement britannique pourrait chercher à viser les informations de ces utilisateurs existants.
La discussion connexe se poursuit à ce lien