Pas de backdoor chez Apple sur l’iPhone, même dans le cas d’affaires terroristes

Protection des donnéesAppleBackdoorConfidentialitéCryptographieiOSiPhoneMot de passe
backdoor

Pas de backdoor chez Apple sur l’iPhone, même dans le cas d’affaires terroristes

backdoorTim Cook, le CEO d’Apple, a décidé de ne pas répondre favorablement à la demande d’un juge, qui ordonnait à la firme de l’aide pour forcer la sécurité de l’iPhone de l’un des auteurs de la fusillade de San Bernardino en Californie.

Le ministère de la justice avait sollicité une injonction, afin de contraindre Apple à déverrouiller un iPhone 5c, appartenant à Syed Rizman Farook, accusé d’avoir tué 14 personnes, lors d’une fête à Inland Regional Center, à San Bernardino, le 2 décembre 2015.

Farook et sa femme, Tashfeen Malik, avaient été tués lors de la fusillade qui avait éclaté avec la police. Cependant le FBI a déclaré qu’il avait besoin d’avoir accès à l’iPhone, afin de déterminer avec qui il était en contact avant de commettre son crime.

Mardi dernier, le 16 février, le juge Sheri Pym, de la cour fédérale de district représentant le district de Central California, a validé la demande du procureur fédéral exigeant qu’Apple donne accès à l’iPhone, en soulignant également que la firme devait fournir au FBI, une assistance technique appropriée.

En guise de réponse, Cook s’est expliqué dans une lettre ouverte à ses clients, publiée le 16 février sur le site d’Apple. Cette dernière mentionne notamment que le fait d’accepter une telle demande reviendrait, pour Apple, à créer un nouveau système d’exploitation iOS, avec une backdoor intégrée.

Le type d’équipement que Farook utilisait, à savoir un iPhone 5c ainsi qu’un autre équipement qui fonctionnait sous iOS 8 (ou une version plus récente), étaient cryptés par défaut, et ne pouvaient pas être décryptés sans le mot de passe de l’utilisateur.

De plus, pour rendre les choses encore plus complexes pour les enquêteurs, ou pour n’importe qui d’autre qui tenterait d’avoir accès à un iPhone verrouillé sans avoir en main le mot de passe, au bout de 10 tentatives de saisie incorrectes du mot de passe, le téléphone efface automatiquement toutes les données, si l’option “effacer les données” est activée.

La création d’une backdoor, pour contourner le système de cryptage mis en place par Apple, reviendrait à “mettre en danger la sécurité de nos clients”. Une nouvelle version d’iOS avec une backdoor, “qui n’existe pas aujourd’hui”, serait “une initiative excessivement dangereuse” :

Plus particulièrement, le FBI nous demande de créer une nouvelle version d’iOS en déverrouillant plusieurs dispositifs de sécurité majeurs, pour l’installer sur un iPhone récupéré dans le cadre d’une enquête. Dans les mains d’une personne mal intentionnée, un tel logiciel qui n’existe d’ailleurs pas aujourd’hui, offrirait la possibilité de décrypter n’importe quel iPhone, à partir du moment où cette personne l’aurait en sa possession.

Le FBI pourra, bien évidemment, utiliser différents mots pour décrire cet outil, mais ne vous méprenez pas : le développement d’une version d’iOS qui contournerait les dispositifs de sécurité en place, comme demandé, résulterait dans la création d’une backdoor, de manière indéniable. Même si le gouvernement mentionne que cet outil ne sera utilisé que dans un cadre bien spécifique, nous n’avons aucun moyen de garantir un tel contrôle.

La position de Tim Cook reste cohérente avec ses dernières prises de position au sujet des backdoors. En effet, Apple avait déjà refusé d’obtempérer suite à une décision de justice, dans au moins 2 affaires, où il avait déclaré qu’il ne pouvait pas satisfaire de telles demandes, car il ne pouvait pas forcer son propre système de cryptage.

Cependant, Apple a affirmé son désir de coopérer avec les services de police de manière générale, et plus particulièrement d’ailleurs dans l’affaire de San Bernardino.

Selon la lettre ouverte de Tim Cook, Apple a obtempéré face aux “citations à comparaître recevables et autres mandats de perquisition”, et a fourni au FBI des données “en leur possession”, quand la demande en avait été faite.

Apple peut par exemple donner accès à des données stockées et non cryptées dans le Cloud, comme il l’a déjà fait dans une affaire criminelle l’an dernier, suite à une demande faite par le FBI, pour avoir accès à des communications cryptées entre des suspects dans une affaire de trafic de drogue.

Cependant, selon Tim Cook, rendre accessible des données au sein d’un iPhone crypté, amènerait les ingénieurs d’Apple à développer l’équivalent d’une “master key”.

Ensuite, lorsque cette master key, permettant le décryptage d’un iPhone sera créée, il n’existe aucun moyen de garantir que la technique pour exploiter une telle backdoor ne sera pas rendue publique, en mettant ainsi en danger tous les propriétaires d’iPhones.

Finalement, Cook déclare qu’il s’agit d’un risque beaucoup trop grand :

Cette dernière bataille juridique représente un nouveau contretemps pour les services de police dans ces “Crypto Wars” permanentes.

James Comey, le directeur du FBI, a déclaré à plusieurs reprises, que les enquêtes menées par les divers services de police étaient régulièrement déjouées par les criminels et les terroristes, qui brouillaient les pistes en utilisant des équipements et des applications cryptés.

Les législateurs du congrès américain, mais aussi au sein des Etats, comme en Californie ou à New York, ont proposé d’imposer aux entreprises du secteur des technologies de créer des backdoors pour faciliter l’accès des services de police.

Cependant, jusqu’à maintenant, les entreprises en question ainsi que les avocats défendant le respect de la vie privée, ne cessent de gagner les batailles contre la création de backdoors, qui mettraient en grand danger l’efficacité du cryptage.

Le destin du cryptage inviolable, et de notre cybersécurité collective, dépendra largement de l’issue de cette bataille juridique, dans laquelle Apple vient de s’engager.

LA POSITION DE SOPHOS CONCERNANT LE CRYPTAGE

Notre éthique ainsi que nos pratiques de développement interdissent formellement les backdoors, ainsi que tous les autres moyens de compromettre l’efficacité de nos produits, et ce quel que soit le motif invoqué. De plus, nous nous opposons vigoureusement à toute loi qui contraindrait Sophos (ou n’importe quelle autre entreprise du secteur technologique), à affaiblir la sécurité intégrée au sein de ses produits.

FULL STATEMENT


//
// ]]>
Billet inspiré de “Apple says NO to iPhone backdoor in terror case” par John Zorabedian de Naked Security
Partagez “Pas de backdoor chez Apple sur l’iPhone, même dans le cas d’affaires terroristes” avec http://wp.me/p2YJS1-2t0

3 Commentaires

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.