Il est temps de se détacher des services d’Apple

 (heatherburns.tech)
3 points par GN⁺ 2025-11-11 | 1 commentaires | Partager sur WhatsApp
  • Avec le retrait de la fonctionnalité Advanced Data Protection (ADP) d’Apple au Royaume-Uni, les utilisateurs ne peuvent plus protéger une partie de leurs données iCloud par chiffrement de bout en bout (e2ee)
  • Les utilisateurs ayant déjà activé ADP risquent de perdre l’accès à leur compte iCloud s’ils ne désactivent pas eux-mêmes la fonctionnalité
  • Même après le retrait d’ADP, iMessage, FaceTime, iCloud Keychain et les données Health restent protégés par e2ee dans le monde entier
  • En revanche, 10 catégories de données, dont iCloud Backup, Drive, Photos et Notes, basculent vers la protection standard (Standard Data Protection), avec un niveau de sécurité inférieur
  • Cette mesure, liée à l’exigence britannique d’un TCN (Technical Capability Notice), montre que particuliers et organisations doivent réexaminer leur stratégie de sécurité des données

Retrait d’ADP (Advanced Data Protection) et ses effets

  • Apple prévoit de retirer complètement la fonctionnalité ADP au Royaume-Uni
    • Cela est présenté comme une mesure conforme aux exigences du TCN (Technical Capability Notice) du Home Office et à l’Investigatory Powers Act
  • Les utilisateurs ayant déjà activé ADP doivent désactiver eux-mêmes la fonctionnalité pour conserver leur compte iCloud
    • Apple indique ne pas pouvoir désactiver automatiquement ADP
  • Après le retrait d’ADP, 15 catégories de données iCloud de base restent protégées par e2ee
    • Cela inclut iCloud Keychain, Health, iMessage et FaceTime

Données concernées par la fin du chiffrement et actions à entreprendre

  • En raison du retrait d’ADP, 10 catégories de données ne bénéficieront plus de la protection e2ee
    • Éléments concernés : iCloud Backup, iCloud Drive, Photos, Notes, Reminders, Safari Bookmarks, Siri Shortcuts, Voice Memos, Wallet Passes, Freeform
  • Si e2ee est important pour vous, vous devez supprimer ces données d’iCloud
    • Réglages iCloud → Gérer (Manage) → suppression pour chaque élément concerné
  • Il est recommandé d’utiliser Proton comme service alternatif (prise en charge e2ee)
    • Migrer vers un service non chiffré (non-e2ee) n’a pas de sens

Comment migrer Notes et d’autres données

  • Pour transférer Notes, vous pouvez utiliser l’application Exporter afin de les exporter en fichiers Markdown
    • Vous pouvez ensuite migrer vers des applications de notes compatibles e2ee comme Standard Notes, Obsidian ou Joplin
  • L’usage d’un service de notes non chiffré est signalé comme un risque de sécurité
  • Il est également mentionné qu’il vaut mieux réduire la dépendance au cloud basé aux États-Unis (“American stack”) lors de la migration des données

TCN (Technical Capability Notice) et impact sur l’ensemble d’iCloud

  • D’après les informations rendues publiques, le premier TCN exigeait un accès non seulement aux données ADP, mais à l’ensemble des données iCloud
    • Selon le Financial Times, le gouvernement britannique aurait demandé un accès de surveillance de masse à l’ensemble du service de sauvegarde iCloud
    • Il est précisé que cette demande s’applique aussi aux données des utilisateurs iCloud dans le monde entier
  • Les utilisateurs doivent donc réexaminer s’ils font confiance à l’ensemble de l’écosystème Apple
    • En particulier concernant la sécurité des mots de passe et des données de sauvegarde

Impact pour les utilisateurs hors du Royaume-Uni

  • Apple précise que ADP continue d’être proposé hors du Royaume-Uni
  • Il est recommandé aux utilisateurs hors du Royaume-Uni d’activer immédiatement ADP
    • Chemin : Réglages > votre nom > iCloud > Advanced Data Protection
  • Si votre équipe comprend des membres situés au Royaume-Uni, il faut prendre en compte leur risque d’exposition des données lors de la conception du modèle de menace (threat model)

Deuxième TCN et incertitudes à venir

  • Le 1er octobre, le Home Office britannique a émis un deuxième TCN, visant cette fois uniquement les données des citoyens britanniques
    • L’expression “British citizens’ data” a suscité la controverse
    • L’hypothèse d’une distinction selon les informations de passeport a été évoquée, mais les modalités concrètes n’ont pas été rendues publiques
  • Les informations sur ce deuxième TCN ne sont connues que par des fuites dans la presse, les détails officiels restant confidentiels
  • La contestation judiciaire du premier TCN par les organisations Liberty/PI doit être examinée en janvier devant l’Investigatory Powers Tribunal

Conclusion et recommandations

  • Les utilisateurs doivent se préparer à sortir d’Apple, de Google et de la pile technologique américaine (de-Apple, de-Google, de-American Stack)
  • La sécurité des données est soulignée comme un enjeu lié non seulement à la personne concernée, mais aussi à la sécurité de son entourage
  • L’orientation britannique en matière de régulation technologique est qualifiée de “world-leading”, mais décrite en réalité comme affaiblie sur le plan de l’influence internationale
  • À la fin de l’article, il est fait mention d’une photo du mémorial Alan Turing rappelant que la confidentialité des données peut être une question de vie ou de mort

À lire aussi

1 commentaires

 
GN⁺ 2025-11-11
Avis Hacker News

  • Honnêtement, la décision de Google de rendre Android plus fermé est complètement folle
    À mesure que le monde devient de plus en plus autoritaire, je ne comprends pas pourquoi ils voudraient faire d’eux-mêmes un symbole du contrôle et une cible toute désignée pour les attaques
    Si Apple avait pris en charge dès le départ des services de sauvegarde alternatifs ouverts à la place d’iCloud, on n’en serait probablement pas à débattre aujourd’hui d’une interdiction du chiffrement E2E
    Mais Apple a encore rehaussé les murs de son jardin fermé, et le résultat est devenu défavorable non seulement pour ses utilisateurs, mais pour tout le monde

  • Les services alternatifs à Apple étaient bien pires en matière de confidentialité
    Quand j’utilisais Android autrefois, il suffisait d’installer une ROM custom ou de rooter l’appareil pour que les applis bancaires cessent de fonctionner
    Aujourd’hui, l’environnement est encore plus contrôlé, donc un Android de-Googled ne semble plus valoir l’effort
    Les OS mobiles open source en sont encore à leurs débuts, et même la stabilité des pilotes n’est pas assurée, donc on est encore loin d’un usage réellement pratique

    • Apple et Google ont tous deux déjà fourni des données utilisateurs à grande échelle au gouvernement américain via le programme PRISM
      Depuis les révélations de Snowden, j’ai du mal à faire confiance à l’une ou l’autre entreprise

  • L’image et sa légende en bas de page étaient marquantes
    C’est une photo de la statue d’Alan Turing, et le fait qu’il tienne une pomme dans la main est symbolique
    Cela rappelle que la confidentialité des données peut être une question de vie ou de mort
    On peut voir les détails dans l’article Wikipédia sur la mort d’Alan Turing

    • D’après l’article lié, il est expliqué que sa mort aurait plus probablement été accidentelle qu’un suicide
      Mais l’hypothèse du suicide est une histoire trop « parfaite » pour ne pas continuer à circuler culturellement

  • C’est une blague, mais j’ai imaginé Apple colonisant le Royaume-Uni comme l’East India Company pour y instaurer un iGovernment
    Tim Cook deviendrait le nouveau dirigeant, et chaque foyer serait équipé d’un HomePod lançant chaque matin un « Good morning! »
    Le vote se ferait sur iPhone avec authentification FaceID

    • De toute façon, on a déjà l’impression d’être complètement « cuits »
    • Je me suis aussi demandé ce que ça donnerait si des cabinets de conseil comme McKinsey ou KPMG présentaient directement des candidats politiques
    • Je vois bien un slogan du type : « Introducing, Apple Governance, the best government Apple has ever made! »

  • L’article conseillait de « de-Apple, de-Google, de-American Stack »,
    mais je doute que cela permette vraiment, au Royaume-Uni, d’échapper à la politique de backdoor sur l’E2EE du gouvernement

    • Je comprends les deux premiers conseils, mais « de-American » me paraît absurde
      La source du problème n’est pas les États-Unis, mais la politique du gouvernement britannique
    • Le stockage cloud E2EE n’est pas réservé aux grandes entreprises
      À la place de Dropbox, j’ai mis en place ma propre pile avec Syncthing + NAS + Backblaze + Wireguard
    • Le Royaume-Uni n’a pas interdit l’E2EE en soi ; Apple a retiré la fonction de chiffrement après avoir refusé de s’y conformer
      Au final, il reste toujours possible pour les utilisateurs de chiffrer eux-mêmes avant l’envoi
    • Moi, je gère désormais mes données au stylo et sur papier. Pour l’instant, ce n’est pas encore interdit au Royaume-Uni
    • Même les entreprises américaines ne peuvent pas garantir un véritable E2EE
      Peut-on vraiment être sûr que Signal téléchargé depuis l’App Store conserve en permanence un « chiffrement incassable » ?

  • Quelqu’un a dit que c’était plutôt un problème appelant à se « de-UK », mais

    • le vrai problème plus large, c’est qu’Apple et Google sont devenus la passerelle de tous les utilisateurs
      Même s’il existe des alternatives à iCloud, les utilisateurs d’iPhone ne peuvent pas les utiliser à cause de contraintes techniques
    • Avec du logiciel libre, on peut contourner ce genre de lois
    • Il y a bien d’autres raisons encore d’éviter Apple, au-delà du Royaume-Uni
    • Bien sûr, 70 millions de personnes ne peuvent pas toutes émigrer, donc ce n’est pas une solution réaliste

  • La nouvelle du retrait par Apple de Advanced Data Protection (ADP) au Royaume-Uni montre au fond
    que tous les services présents dans le pays peuvent difficilement échapper à l’effet de la même loi

    • En réalité, l’E2EE n’est pas une fonctionnalité cloud, c’est quelque chose que l’utilisateur doit mettre en place lui-même
    • Si Apple attire autant l’attention, c’est parce que la part des utilisateurs iOS et macOS est élevée
    • D’autres pays mettent eux aussi en place des dispositifs de surveillance comparables
    • L’idée que « ce n’est probablement pas un problème propre au Royaume-Uni » devient de plus en plus réelle
    • Il y avait aussi le conseil de migrer vers des services E2EE comme Proton

  • Le conseil de se « de-American » m’a paru étrange
    Des entreprises américaines se conforment au droit britannique, alors je ne vois pas pourquoi des Britanniques devraient blâmer les entreprises américaines

    • Oui, c’est un cadrage politique qui instrumentalise le sentiment anti-américain
      En Europe, il arrive souvent que l’on perçoive les États-Unis comme bien pires qu’ils ne le sont en réalité
      Et une fois sur place, beaucoup ont plutôt l’impression que la situation chez eux est encore pire

  • Le CSS de la page était bizarre, ce qui coupait les fins de ligne

    • Le problème venait de overflow: hidden; sur .site-content .post et de max-width: 965px; sur .entry-content
      Il suffit de supprimer max-width ou de réduire la largeur du navigateur en dessous de 1700px pour corriger ça
    • On voit bien dans cette vidéo que le texte est effectivement tronqué au-delà de 1700px
    • La cause est le réglage margin-right: -34.0740%
    • Si on réduit la taille de la fenêtre, le retour à la ligne redevient normal

  • Apple ne fait qu’obéir à la loi, et la loi est faite par les politiques, que nous élisons
    Par conséquent, blâmer Apple n’est pas vraiment logique

    • Mais l’idée centrale du texte n’est pas de dire « qui est mauvais », c’est plutôt une proposition pour reconnaître la réalité et y répondre
    • Ce n’est pas une attaque contre Apple, mais une discussion sur la situation concrète dans laquelle se trouvent les utilisateurs britanniques
    • Dans certains pays, où le vote est fortement influencé par l’argent, ce genre de remarque peut sembler enviable
    • Apple opère aussi dans des pays où il est même impossible de voter
    • Au final, l’auteur n’essaie pas de blâmer Apple, mais de pointer un problème structurel du réel