Apple a pris une mesure sans précédent en annonçant la suppression des fonctionnalités avancées de chiffrement de bout en bout d’iCloud pour les utilisateurs britanniques. Cette décision fait suite aux pressions exercées par le gouvernement du Royaume-Uni, qui exigeait l’ajout de portes dérobées (backdoors) permettant aux autorités d’accéder aux données des utilisateurs. En parallèle, Apple a engagé une action en justice pour contester cette injonction du gouvernement. Cette démarche marque une étape significative dans le débat mondial sur l'équilibre entre la sécurité nationale et la protection de la vie privée des utilisateurs.Depuis plusieurs années, Apple se positionne comme un défenseur de la vie privée, mettant en avant le chiffrement fort comme un moyen de protéger les données de ses utilisateurs contre les intrusions, qu’elles proviennent de pirates informatiques ou même des gouvernements. L’entreprise avait notamment introduit la fonction Advanced Data Protection (ADP), qui offrait un chiffrement de bout en bout pour iCloud, empêchant même Apple d’accéder aux fichiers stockés.
Envoyé par AppleLa protection avancée des données pour iCloud est un réglage optionnel qui vous permet de bénéficier du niveau de sécurité le plus élevé proposé par Apple pour les données stockées dans le cloud. Si vous choisissez d’activer la protection avancée des données, la majorité de vos données iCloud sont protégées par un chiffrement de bout en bout, y compris les sauvegardes iCloud, les photos, les notes et d’autres encore. Personne d’autre que vous ne peut accéder à vos données chiffrées de bout en bout, pas même Apple, et elles restent protégées, même en cas de fuite de données dans le cloud.
Face à la menace de sanctions ou d’interdictions de certains services au Royaume-Uni, Apple a préféré se conformer à la réglementation locale en supprimant la possibilité pour les utilisateurs britanniques d’activer le chiffrement avancé d’iCloud. Ce choix marque un revirement pour l’entreprise, qui avait auparavant résisté à des demandes similaires aux États-Unis et dans d’autres pays.
En revanche, Apple maintient cette fonctionnalité pour ses utilisateurs dans d’autres régions du monde, notamment aux États-Unis et en Europe continentale. Cela crée ainsi une fragmentation de la sécurité en fonction des législations locales, une tendance inquiétante pour les défenseurs de la vie privée.
L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie qu'elles ne peuvent être déchiffrées que par la personne qui possède le compte iCloud sur ses propres appareils. Apple a lancé l'ADP à la fin de l'année 2022, permettant aux données iCloud telles que les sauvegardes de fichiers et les photos d'être protégées par cette fonctionnalité. La suppression de l'ADP signifie que les fichiers des utilisateurs britanniques seront accessibles à Apple et pourront être partagés avec les forces de l'ordre, bien que cela nécessite toujours un mandat.
Certains types de données iCloud sont chiffrés de bout en bout par défaut et le resteront même au Royaume-Uni. Il s'agit notamment des mots de passe, des données de santé, des informations de paiement et des journaux iMessage. Les sauvegardes de fichiers iCloud, les photos, les notes et les mémos vocaux font partie des types de données qui ne seront plus chiffrées.
Apple a déjà cessé de proposer la protection avancée des données aux nouveaux utilisateurs au Royaume-Uni, les informant qu'elle « ne peut plus offrir » le service. Apple ne pourra pas désactiver automatiquement la protection avancée des données sur les comptes iCloud existants, en raison du mode de fonctionnement de la fonction de chiffrement de bout en bout.
La société se dit très déçue de devoir prendre ces mesures. Voici la déclaration complète d'Apple :
« Apple ne peut plus proposer la protection avancée des données (ADP) au Royaume-Uni aux nouveaux utilisateurs et les utilisateurs britanniques actuels devront éventuellement désactiver cette fonction de sécurité. L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie que les données ne peuvent être déchiffrées que par l'utilisateur qui en est propriétaire, et uniquement sur ses appareils de confiance. Nous sommes profondément déçus que les protections fournies par ADP ne soient pas disponibles pour nos clients au Royaume-Uni, compte tenu de l'augmentation constante des violations de données et d'autres menaces pour la vie privée des clients. Il est plus urgent que jamais de renforcer la sécurité du stockage en nuage grâce au chiffrement de bout en bout. Apple s'engage à offrir à ses utilisateurs le plus haut niveau de sécurité pour leurs données personnelles et espère pouvoir le faire à l'avenir au Royaume-Uni. Comme nous l'avons déjà dit à maintes reprises, nous n'avons jamais construit de porte dérobée ou de clé maîtresse pour aucun de nos produits ou services et nous ne le ferons jamais ».
Apple refuse de casser le chiffrement et demande au Royaume-Uni d'annuler sa demande de porte dérobée
Le fabricant de l'iPhone a fait appel à l'Investigatory Powers Tribunal, un organe judiciaire indépendant qui examine les plaintes déposées contre les services de sécurité britanniques, selon des personnes familières de l'affaire et citées par le Financial Times. Le quotidien note que le recours en justice de l'entreprise de la Silicon Valley marquerait la première fois que les dispositions de la loi sur les pouvoirs d'investigation de 2016 permettant aux autorités britanniques de briser le chiffrement sont testées devant le tribunal. L'Investigatory Powers Tribunal examinera si l'avis adressé par le Royaume-Uni à Apple était légal et, dans la négative, pourrait ordonner son annulation.
Selon un rapport du Washington Post publié le mois dernier, les responsables britanniques de la sécurité « ont exigé qu'Apple crée une porte dérobée leur permettant de récupérer tout le contenu que n'importe quel utilisateur d'Apple dans le monde a téléchargé sur le cloud », y compris « la capacité générale de visionner du matériel entièrement chiffré ».
Apple a publiquement critiqué la loi, avertissant l'année dernière que le gouvernement britannique s'arrogeait le pouvoir d'exiger l'accès aux données des utilisateurs de n'importe quel pays, et pas seulement du Royaume-Uni.
L'affaire pourrait être entendue dès ce mois-ci, mais il n'est pas certain que l'audience soit rendue publique. Il est probable que le gouvernement soutienne que l'affaire devrait être restreinte pour des raisons de sécurité nationale.
En janvier, Apple a reçu un « technical capability notice » (TCN, littéralement « avis de capacité technique »). Cet avis, dont l'entreprise ne peut discuter publiquement, visait une couche supplémentaire facultative de chiffrement qui protège son système iCloud, Advanced Data Protection (protection avancée des données).
Apple s'efforce de repousser la menace de ce TCN de la part du Royaume-Uni depuis qu'elle a introduit iCloud ADP en décembre 2022.
Le fabricant de l'iPhone a déposé sa plainte contre l'ordonnance le mois dernier, à peu près en même temps qu'il retirait son service de sauvegarde en ligne le plus sécurisé du Royaume-Uni, plutôt que de se conformer au TCN. Bien qu'Apple ait retiré son service, le gouvernement britannique estime toujours que la société Big Tech n'a pas respecté son ordonnance, qui peut également être utilisée pour accéder aux données de personnes se trouvant en dehors du Royaume-Uni.
[B][SIZE=3]Réactions internationales et pr[/size=3]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
