Apple porte plainte contre l'injonction britannique lui imposant une porte dérobée dans iCloud

Après avoir retiré des fonctionnalités de chiffrement de bout en bout sur le territoire

Apple porte plainte contre l’injonction britannique lui imposant une porte dérobée dans iCloud,
après avoir retiré des fonctionnalités de chiffrement de bout en bout sur le territoire

Apple a pris une mesure sans précédent en annonçant la suppression des fonctionnalités avancées de chiffrement de bout en bout d’iCloud pour les utilisateurs britanniques. Cette décision fait suite aux pressions exercées par le gouvernement du Royaume-Uni, qui exigeait l’ajout de portes dérobées (backdoors) permettant aux autorités d’accéder aux données des utilisateurs. En parallèle, Apple a engagé une action en justice pour contester cette injonction du gouvernement. Cette démarche marque une étape significative dans le débat mondial sur l'équilibre entre la sécurité nationale et la protection de la vie privée des utilisateurs.

Depuis plusieurs années, Apple se positionne comme un défenseur de la vie privée, mettant en avant le chiffrement fort comme un moyen de protéger les données de ses utilisateurs contre les intrusions, qu’elles proviennent de pirates informatiques ou même des gouvernements. L’entreprise avait notamment introduit la fonction Advanced Data Protection (ADP), qui offrait un chiffrement de bout en bout pour iCloud, empêchant même Apple d’accéder aux fichiers stockés.

Apple cède face aux exigences du gouvernement britannique

Face à la menace de sanctions ou d’interdictions de certains services au Royaume-Uni, Apple a préféré se conformer à la réglementation locale en supprimant la possibilité pour les utilisateurs britanniques d’activer le chiffrement avancé d’iCloud. Ce choix marque un revirement pour l’entreprise, qui avait auparavant résisté à des demandes similaires aux États-Unis et dans d’autres pays.

En revanche, Apple maintient cette fonctionnalité pour ses utilisateurs dans d’autres régions du monde, notamment aux États-Unis et en Europe continentale. Cela crée ainsi une fragmentation de la sécurité en fonction des législations locales, une tendance inquiétante pour les défenseurs de la vie privée.

L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie qu'elles ne peuvent être déchiffrées que par la personne qui possède le compte iCloud sur ses propres appareils. Apple a lancé l'ADP à la fin de l'année 2022, permettant aux données iCloud telles que les sauvegardes de fichiers et les photos d'être protégées par cette fonctionnalité. La suppression de l'ADP signifie que les fichiers des utilisateurs britanniques seront accessibles à Apple et pourront être partagés avec les forces de l'ordre, bien que cela nécessite toujours un mandat.

Certains types de données iCloud sont chiffrés de bout en bout par défaut et le resteront même au Royaume-Uni. Il s'agit notamment des mots de passe, des données de santé, des informations de paiement et des journaux iMessage. Les sauvegardes de fichiers iCloud, les photos, les notes et les mémos vocaux font partie des types de données qui ne seront plus chiffrées.

Apple a déjà cessé de proposer la protection avancée des données aux nouveaux utilisateurs au Royaume-Uni, les informant qu'elle « ne peut plus offrir » le service. Apple ne pourra pas désactiver automatiquement la protection avancée des données sur les comptes iCloud existants, en raison du mode de fonctionnement de la fonction de chiffrement de bout en bout.

La société se dit très déçue de devoir prendre ces mesures. Voici la déclaration complète d'Apple :

« Apple ne peut plus proposer la protection avancée des données (ADP) au Royaume-Uni aux nouveaux utilisateurs et les utilisateurs britanniques actuels devront éventuellement désactiver cette fonction de sécurité. L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie que les données ne peuvent être déchiffrées que par l'utilisateur qui en est propriétaire, et uniquement sur ses appareils de confiance. Nous sommes profondément déçus que les protections fournies par ADP ne soient pas disponibles pour nos clients au Royaume-Uni, compte tenu de l'augmentation constante des violations de données et d'autres menaces pour la vie privée des clients. Il est plus urgent que jamais de renforcer la sécurité du stockage en nuage grâce au chiffrement de bout en bout. Apple s'engage à offrir à ses utilisateurs le plus haut niveau de sécurité pour leurs données personnelles et espère pouvoir le faire à l'avenir au Royaume-Uni. Comme nous l'avons déjà dit à maintes reprises, nous n'avons jamais construit de porte dérobée ou de clé maîtresse pour aucun de nos produits ou services et nous ne le ferons jamais ».


Apple refuse de casser le chiffrement et demande au Royaume-Uni d'annuler sa demande de porte dérobée

Le fabricant de l'iPhone a fait appel à l'Investigatory Powers Tribunal, un organe judiciaire indépendant qui examine les plaintes déposées contre les services de sécurité britanniques, selon des personnes familières de l'affaire et citées par le Financial Times. Le quotidien note que le recours en justice de l'entreprise de la Silicon Valley marquerait la première fois que les dispositions de la loi sur les pouvoirs d'investigation de 2016 permettant aux autorités britanniques de briser le chiffrement sont testées devant le tribunal. L'Investigatory Powers Tribunal examinera si l'avis adressé par le Royaume-Uni à Apple était légal et, dans la négative, pourrait ordonner son annulation.

Selon un rapport du Washington Post publié le mois dernier, les responsables britanniques de la sécurité « ont exigé qu'Apple crée une porte dérobée leur permettant de récupérer tout le contenu que n'importe quel utilisateur d'Apple dans le monde a téléchargé sur le cloud », y compris « la capacité générale de visionner du matériel entièrement chiffré ».

Apple a publiquement critiqué la loi, avertissant l'année dernière que le gouvernement britannique s'arrogeait le pouvoir d'exiger l'accès aux données des utilisateurs de n'importe quel pays, et pas seulement du Royaume-Uni.

L'affaire pourrait être entendue dès ce mois-ci, mais il n'est pas certain que l'audience soit rendue publique. Il est probable que le gouvernement soutienne que l'affaire devrait être restreinte pour des raisons de sécurité nationale.


En janvier, Apple a reçu un « technical capability notice » (TCN, littéralement « avis de capacité technique »). Cet avis, dont l'entreprise ne peut discuter publiquement, visait une couche supplémentaire facultative de chiffrement qui protège son système iCloud, Advanced Data Protection (protection avancée des données).

Apple s'efforce de repousser la menace de ce TCN de la part du Royaume-Uni depuis qu'elle a introduit iCloud ADP en décembre 2022.

Le fabricant de l'iPhone a déposé sa plainte contre l'ordonnance le mois dernier, à peu près en même temps qu'il retirait son service de sauvegarde en ligne le plus sécurisé du Royaume-Uni, plutôt que de se conformer au TCN. Bien qu'Apple ait retiré son service, le gouvernement britannique estime toujours que la société Big Tech n'a pas respecté son ordonnance, qui peut également être utilisée pour accéder aux données de personnes se trouvant en dehors du Royaume-Uni.

Réactions internationales et préoccupations

La décision du Royaume-Uni a suscité la condamnation du président américain Donald Trump et de son nouveau chef du renseignement, qui font pression sur le gouvernement britannique pour qu'il fasse marche arrière.

Trump a comparé la demande du Royaume-Uni à la surveillance chinoise, tandis que Tulsi Gabbard, directrice du renseignement national des États-Unis, a déclaré que l'exploitation des données des Américains constituerait une « violation flagrante » de la vie privée qui risquerait d'enfreindre l'accord sur les données conclu entre les deux pays.

Le gouvernement britannique estime qu'il est essentiel de percer le bouclier de chiffrement des systèmes, y compris des messageries et des sauvegardes, pour protéger le public des menaces terroristes et enquêter sur les abus sexuels commis sur des enfants.

Depuis des années, les autorités britanniques, américaines et européennes font pression sur les entreprises technologiques, notamment Apple et Meta, qui possède Facebook et WhatsApp, pour qu'elles trouvent des moyens de contourner leurs systèmes de chiffrement.

Toutefois, de nombreux experts en cybersécurité affirment qu'une utilisation plus large du chiffrement est nécessaire pour protéger les utilisateurs contre la fraude, l'usurpation d'identité et d'autres attaques en ligne, dont le volume a considérablement augmenté ces dernières années.

Un porte-parole du ministère de l'intérieur a déclaré : « Nous ne commentons pas les questions opérationnelles, y compris, par exemple, la confirmation ou l'infirmation de l'existence de tels avis. Mais de manière plus générale, le Royaume-Uni a une position de longue date qui consiste à protéger ses citoyens contre les pires crimes, tels que les abus sexuels sur les enfants et le terrorisme, tout en protégeant la vie privée des gens ».

Interrogé sur cette affaire à la Chambre des communes le mois dernier, le ministre britannique de la sécurité, Dan Jarvis, a déclaré : « La suggestion selon laquelle la vie privée et la sécurité sont en conflit n'est pas correcte ; nous pouvons et devons avoir les deux. La loi sur les pouvoirs d'investigation (Investigatory Powers Act) contient des garanties solides et un contrôle indépendant pour protéger la vie privée et veiller à ce que les données ne soient obtenues qu'à titre exceptionnel, et uniquement lorsque cela est nécessaire et proportionné ».

Sources : Apple (1, 2), Investigatory Powers Tribunal

Et vous ?

Apple a-t-elle raison de s’opposer à l’injonction britannique, ou est-ce une entrave aux efforts de lutte contre la criminalité et le terrorisme ?

Où devrait-on tracer la limite entre protection de la vie privée et sécurité nationale ?

Si une entreprise comme Apple crée une porte dérobée pour un gouvernement, cela pourrait-il être exploité par des cybercriminels ou d’autres États ?

D’autres pays pourraient-ils l’exemple britannique en exigeant un accès aux données des utilisateurs, et quelles pourraient être les conséquences pour les entreprises technologiques ?

La décision d'Apple est-elle motivée par des préoccupations éthiques ou par une stratégie commerciale visant à séduire les consommateurs soucieux de leur vie privée ?