Errare humanum est, sed lex
Alors que la proposition de loi Narcotrafic a été évidée en France d’un article qui aurait affaibli le principe du chiffrement de bout en bout, le Royaume-Uni réclame à Apple de percer une porte dérobée dans son chiffrement. La demande a conduit Apple à supprimer une fonction optionnelle. Désormais, elle contre-attaque au tribunal.
Il y aura bientôt un mois, on apprenait que le Royaume-Uni avait demandé à Apple de forer dans ses propres défenses. Pour accélérer certaines enquêtes, les forces de l’ordre pourraient ainsi obtenir des informations protégées jusqu’à présent et par défaut par le chiffrement de bout en bout. Parmi elles, les discussions dans l’application Messages, quand iMessage est utilisé entre deux appareils Apple. Au cœur du dispositif, la loi IPA (Investigatory Powers Act), surnommée « loi des fouineurs ».
Communiquer sans communiquer
L’information était alors au conditionnel. Très peu de temps après cependant, Apple a annoncé que sa Protection avancée des données était supprimée au Royaume-Uni. Une manière pour l’entreprise d’acquiescer ? Pas vraiment, car cette option peu connue est relativement peu utilisée. Elle apporte le chiffrement de bout de bout aux autres services Apple ne l’ayant pas déjà, notamment les sauvegardes iCloud.
Surtout, ce retrait ne répondait pas à la demande du Royaume-Uni : supprimer une fonction optionnelle ne revient pas à percer le chiffrement de bout en bout. On peut supposer qu’il s’agissait à ce moment de commencer à se battre par un avertissement à la population anglaise. Outre-Manche, se rendre dans les paramètres pour activer la Protection avancée des données affiche en effet un message expliquant que la fonction n’est plus disponible dans ce pays. La société ne pouvait expliquer pourquoi : la loi IPA interdit à un prestataire de faire savoir qu’une mesure technique lui a été réclamée.
Parallèlement, Apple a publié le 24 février une note expliquant la situation, sans nommer la loi IPA bien sûr. « Nous sommes profondément déçus que nos clients au Royaume-Uni n’aient plus la possibilité d’activer la protection avancée des données », indiquait l’entreprise. « Comme nous l’avons déjà dit à maintes reprises, nous n’avons jamais construit de porte dérobée ou de clé maîtresse pour l’un de nos produits ou services et nous ne le ferons jamais ».
Devant les tribunaux
Selon le Financial Times, Apple n’a pas seulement supprimé sa Protection avancée des données au Royaume-Uni : elle s’est également rendue dans un tribunal pour s’opposer à la mesure technique. Nos confrères estiment que la procédure est secrète, expliquant pourquoi aucun écho n’était parvenu au public jusqu’à présent. Ce secret serait une conséquence directe de la loi IPA, puisque les mesures techniques ne doivent pas être communiquées.
La société américaine aurait donc fait appel devant l’Investigatory Powers Tribunal, un organe judiciaire indépendant chargé d’examiner les plaintes contre les services de sécurité britanniques. Le Financial Times cite des sources proches du dossier. Ces dernières auraient communiqué sur un autre élément important : c’est la première fois que les pouvoirs conférés par la loi IPA seraient frontalement contestés devant le tribunal spécial.
Même joueur joue encore
Il est probable qu’Apple remporte la partie. Dans ce domaine, l’entreprise a déjà fait ses armes plus d’une fois, dont un affrontement vif avec le FBI dans les mois qui ont suivi l’attentat de San Bernardino. Le Bureau avait exigé d’Apple qu’elle perce dans ses propres défenses pour récupérer les données présentes dans l’iPhone 5c retrouvé sur le corps d’un des terroristes.
Les enquêteurs ne pouvaient plus tenter de codes PIN pour déverrouiller le téléphone, par crainte de l’option entrainant une suppression complète des données en cas d’erreurs répétées. Apple avait fourni des outils, mais refusé d’affaiblir ses défenses (le code PIN est une composante de la clé de chiffrement). Le FBI avait déposé plainte, puis abandonné les poursuites : un prestataire (sans doute Cellebrite) lui avait fourni une faille de sécurité pour contourner les défenses.
Dans le cas du Royaume-Uni, la loi IPA « prétend s’appliquer de manière extraterritoriale, ce qui permet au gouvernement britannique d’affirmer qu’il peut imposer des exigences secrètes aux fournisseurs situés dans d’autres pays et qui s’appliquent à leurs utilisateurs dans le monde entier », déclarait Apple l’année dernière dans un témoignage remis au Parlement britannique en mars 2024. Il était alors question d’augmenter les capacités de cette loi, nombre de ses ajouts ayant été validés depuis.
Une mesure inapplicable ?
La situation est similaire à la France, dont la loi Narcotrafic aurait pu entrainer un affaiblissement du principe de chiffrement de bout en bout. Même si Bruno Retailleau, ministre de l’Intérieur, avait tenté d’expliquer qu’il ne s’agissait pas d’introduire une porte dérobée, la garantie de sécurité s’en retrouvait affaiblie. L’article 8 ter, qui aurait introduit cette obligation pour les prestataires, a finalement été supprimé le soir du 5 mars, à la faveur de plusieurs amendements de suppression adoptés.
La similitude est toutefois forte : si l’article avait été adopté, la France aurait eu la capacité de demander aux entreprises – notamment aux éditeurs de messageries sécurisées – d’instaurer un mécanisme permettant la récupération des conversations lors d’enquêtes. Ce qui revenait à exiger de lourdes modifications auprès de structures américaines.
C’est le cœur du problème. Des entreprises comme Meta et Apple préfèreront sans doute quitter cet ennuyant marché plutôt que d’introduire un affaiblissement qui aurait un impact mondial. Pour que des Anglais ou Français puissent communiquer avec le reste du monde, il faut bien que le protocole soit le même. De plus, la Maison-Blanche s’est montrée très claire sur ses intentions : l’Europe doit cesser d’embêter ses grandes entreprises.
Au Royaume-Uni, on peut constater quoi qu’il en soit un mouvement général contre le chiffrement. Comme remarqué par exemple par l’expert en sécurité Alec Muffett dans un billet de blog, les références au chiffrement disparaissent sur les pages web gouvernementales. Sur le site du NCSC (Centre national de cybersécurité du Royaume-Uni), on ne trouve plus par exemple un document donnant des conseils aux personnes à haut risque. On y trouvait d’ailleurs… la Protection avancée des données d’Apple.