Apple retire les fonctionnalités de chiffrement de bout en bout d'iCloud au Royaume-Uni après que le gouvernement l'a contraint à ajouter des portes dérobées au nom de la sécurité nationale

Apple retire les fonctionnalités de chiffrement de bout en bout d'iCloud au Royaume-Uni
après que le gouvernement l'a contraint à ajouter des portes dérobées au nom de la sécurité nationale

Apple a pris une mesure sans précédent en annonçant la suppression des fonctionnalités avancées de chiffrement de bout en bout d’iCloud pour les utilisateurs britanniques. Cette décision fait suite aux pressions exercées par le gouvernement du Royaume-Uni, qui exigeait l’ajout de portes dérobées (backdoors) permettant aux autorités d’accéder aux données des utilisateurs.

Contexte

À ce moment-là, Apple n'a pas fait de commentaire, mais l'entreprise s'est toujours opposée à la création d'une « porte dérobée » dans son service de chiffrement, arguant que si elle le faisait, ce ne serait qu'une question de temps avant que des acteurs malveillants ne trouvent eux aussi un moyen d'y accéder. Pourtant, elle a décidé qu'il ne serait plus possible d'activer la protection avancée des données au Royaume-Uni, ce qui signifie que toutes les données des clients britanniques stockées sur iCloud - le service de stockage cloud d'Apple - ne seront pas entièrement chiffrées.

Le chiffrement de bout en bout n'étant pas disponible, cette loi permet aux agences gouvernementales britanniques d'assigner Apple à accéder aux données de n'importe quel compte iCloud, sans aucune restriction. Selon les dispositions de la nouvelle loi, Apple n'est même pas autorisée à informer ses utilisateurs lorsque cela se produit.

Un recul sur la sécurité des données

Depuis plusieurs années, Apple se positionne comme un défenseur de la vie privée, mettant en avant le chiffrement fort comme un moyen de protéger les données de ses utilisateurs contre les intrusions, qu’elles proviennent de pirates informatiques ou même des gouvernements. L’entreprise avait notamment introduit la fonction Advanced Data Protection, qui offrait un chiffrement de bout en bout pour iCloud, empêchant même Apple d’accéder aux fichiers stockés.

Le PDG d'Apple, Tim Cook, a toujours insisté sur le fait qu'offrir aux autorités une porte dérobée pour accéder à son chiffrement ouvrirait la voie aux « méchants » pour accéder aux données de ses utilisateurs. Les experts en cybersécurité ont déclaré qu'il ne faudra pas longtemps avant que les acteurs malveillants découvrent un tel point d'entrée. Mais surtout, ils affirment que cette porte dérobée peut être détournée pour des « usages liberticides ».

Les objections de longue date des forces de l'ordre américaines à l'égard du chiffrement ont récemment été reléguées au second plan en raison des inquiétudes suscitées par les cyberintrusions à grande échelle attribuées à des pirates informatiques soutenus par l'État chinois ou par l'État russe. Des pirates affiliés à la Chine ont infiltré les principaux fournisseurs de télécommunications, leur accordant un accès illimité aux appels téléphoniques privés.

Lors d'une conférence de presse en décembre dernier aux côtés de responsables du FBI, un représentant du ministère américain de la Sécurité intérieure a mis en garde les Américains contre l'idée répandue selon laquelle les réseaux téléphoniques traditionnels offrent une protection de la vie privée.

Il leur a conseillé plutôt d'utiliser des communications chiffrées chaque fois que cela est possible. Le même mois, le FBI, la NSA et la CISA ont publié un avis commun détaillant de nombreuses contre-mesures pour lutter contre les campagnes cybernétiques des pirates informatiques affiliés à la Chine. Parmi les recommandations des agences, l'une d'elles indique : « veiller à ce que le trafic soit chiffré de bout en bout dans toute la mesure du possible ».

Dans un communiqué, l'organisation Big Brother Watch, qui milite pour la protection de la vie privée, a déclaré : « cette tentative malavisée de lutter contre la criminalité et le terrorisme ne rendra pas le Royaume-Uni plus sûr, mais érodera les droits fondamentaux et les libertés civiles de l'ensemble de la population ».

Néanmoins, la législation britannique sur la surveillance numérique, notamment à travers l’Investigatory Powers Act (IPA), impose aux entreprises technologiques des obligations accrues en matière d’accès aux données. Londres justifie ces mesures par la lutte contre la criminalité et le terrorisme, arguant que des systèmes de chiffrement impénétrables compliquent les enquêtes des forces de l’ordre.


Apple cède face aux exigences du gouvernement britannique

Face à la menace de sanctions ou d’interdictions de certains services au Royaume-Uni, Apple a préféré se conformer à la réglementation locale en supprimant la possibilité pour les utilisateurs britanniques d’activer le chiffrement avancé d’iCloud. Ce choix marque un revirement pour l’entreprise, qui avait auparavant résisté à des demandes similaires aux États-Unis et dans d’autres pays.

En revanche, Apple maintient cette fonctionnalité pour ses utilisateurs dans d’autres régions du monde, notamment aux États-Unis et en Europe continentale. Cela crée ainsi une fragmentation de la sécurité en fonction des législations locales, une tendance inquiétante pour les défenseurs de la vie privée.

L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie qu'elles ne peuvent être déchiffrées que par la personne qui possède le compte iCloud sur ses propres appareils. Apple a lancé l'ADP à la fin de l'année 2022, permettant aux données iCloud telles que les sauvegardes de fichiers et les photos d'être protégées par cette fonctionnalité. La suppression de l'ADP signifie que les fichiers des utilisateurs britanniques seront accessibles à Apple et pourront être partagés avec les forces de l'ordre, bien que cela nécessite toujours un mandat.

Certains types de données iCloud sont chiffrés de bout en bout par défaut et le resteront même au Royaume-Uni. Il s'agit notamment des mots de passe, des données de santé, des informations de paiement et des journaux iMessage. Les sauvegardes de fichiers iCloud, les photos, les notes et les mémos vocaux font partie des types de données qui ne seront plus chiffrées.

Apple a déjà cessé de proposer la protection avancée des données aux nouveaux utilisateurs au Royaume-Uni, les informant qu'elle « ne peut plus offrir » le service. Apple ne pourra pas désactiver automatiquement la protection avancée des données sur les comptes iCloud existants, en raison du mode de fonctionnement de la fonction de chiffrement de bout en bout.

La société se dit très déçue de devoir prendre ces mesures. Voici la déclaration complète d'Apple :

« Apple ne peut plus proposer la protection avancée des données (ADP) au Royaume-Uni aux nouveaux utilisateurs et les utilisateurs britanniques actuels devront éventuellement désactiver cette fonction de sécurité. L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie que les données ne peuvent être déchiffrées que par l'utilisateur qui en est propriétaire, et uniquement sur ses appareils de confiance. Nous sommes profondément déçus que les protections fournies par ADP ne soient pas disponibles pour nos clients au Royaume-Uni, compte tenu de l'augmentation constante des violations de données et d'autres menaces pour la vie privée des clients. Il est plus urgent que jamais de renforcer la sécurité du stockage en nuage grâce au chiffrement de bout en bout. Apple s'engage à offrir à ses utilisateurs le plus haut niveau de sécurité pour leurs données personnelles et espère pouvoir le faire à l'avenir au Royaume-Uni. Comme nous l'avons déjà dit à maintes reprises, nous n'avons jamais construit de porte dérobée ou de clé maîtresse pour aucun de nos produits ou services et nous ne le ferons jamais ».


Un précédent dangereux pour la cybersécurité ?

Cette concession d’Apple alimente les craintes des défenseurs des droits numériques, qui y voient un précédent préoccupant. En acceptant de supprimer une fonction essentielle de protection des données sous la pression d’un gouvernement, l’entreprise pourrait être incitée à faire de même dans d’autres pays, ouvrant ainsi la porte à des exigences similaires de la part d’autres régimes, y compris ceux aux tendances plus autoritaires.

De plus, les experts en cybersécurité avertissent que l’affaiblissement du chiffrement crée des vulnérabilités exploitables non seulement par les gouvernements mais aussi par des acteurs malveillants. En effet, toute porte dérobée créée pour un usage légal peut potentiellement être détournée par des cybercriminels, mettant en danger la confidentialité des utilisateurs.


Un dilemme entre conformité légale et protection des utilisateurs

La décision d’Apple de supprimer le chiffrement de bout en bout d’iCloud au Royaume-Uni illustre le conflit permanent entre les exigences gouvernementales et la protection de la vie privée. Alors que l’entreprise a toujours défendu un modèle centré sur la sécurité des utilisateurs, elle se retrouve contrainte de faire des compromis dans un contexte législatif de plus en plus intrusif.

Si cette tendance se confirme, la question se pose : les entreprises technologiques pourront-elles encore garantir la sécurité et la confidentialité des données face aux pressions des États ? Pour l’instant, les utilisateurs britanniques devront se contenter d’une protection affaiblie, tandis que la communauté internationale surveille de près l’impact de cette décision sur l’avenir du chiffrement et de la cybersécurité globale.

De leur côté, des législateurs américains estiment que « La demande du Royaume-Uni d'accéder aux données stockées dans iCloud d'Apple menace les Américains ».

Le sénateur Ron Wyden (D-OR) et le représentant Andy Biggs (R-AZ) ont envoyé une lettre à Tulsi Gabbard dans laquelle ils affirment que si Apple se conforme à la demande du ministère britannique de l'Intérieur, la sécurité des citoyens américains et des données gouvernementales sera mise en péril :

Ron Wyden et Andy Biggs affirment que si le Royaume-Uni ne renonce pas à cette initiative, cela remettrait en cause la confiance de longue date entre les deux pays : « Si le Royaume-Uni ne renonce pas immédiatement à cet effort dangereux, nous vous demandons instamment de réévaluer les accords et les programmes de cybersécurité entre les États-Unis et le Royaume-Uni, ainsi que les échanges de renseignements entre les États-Unis et le Royaume-Uni », indique la lettre.

Sources : Apple, vidéo dans le texte

Et vous ?

La suppression du chiffrement de bout en bout au Royaume-Uni pourrait-elle créer un précédent pour d’autres pays ?

Jusqu’où les gouvernements doivent-ils aller pour garantir la sécurité publique sans empiéter sur les droits à la vie privée ?

Pensez-vous que les législations comme l’Investigatory Powers Act sont justifiées, ou sont-elles une menace pour les libertés individuelles ?

L’affaiblissement du chiffrement met-il réellement en péril la sécurité des utilisateurs contre les cyberattaques et les pirates informatiques ?

Existe-t-il des alternatives pour les utilisateurs britanniques souhaitant protéger leurs données ?

Les entreprises comme Apple devraient-elles avoir le droit de refuser catégoriquement toute demande de surveillance gouvernementale ?

Apple aurait-elle dû envisager d’autres solutions, comme se retirer du marché britannique, au lieu de céder aux demandes du gouvernement ?