Les nouvelles dispositions de protections de données mises en place par Apple et Google déplaisent aux autorités américaines. Ces deux dernières semaines, trois hauts cadres de l’appareil judiciaire et policier ont violemment critiqué ces dispositifs, qui doivent mieux protéger la vie privée des utilisateurs d’iOS et d’Android (les deux principaux systèmes d’exploitation pour mobiles conçus par les deux marques).
Après Cyrus Vance, le procureur de New York, et plusieurs hauts responsables du FBI, c’est au tour du ministre de la justice, Eric Holder, de faire état de craintes que ces mesures n’aident les criminels à échapper à la police. Il a tout particulièrement mis en avant le risque qu’elles empêchent les forces de l’ordre de lutter contre les réseaux de pédopornographie organisés.
CE QUE PROTÈGENT LES NOUVEAUX DISPOSITIFS
Toutes ces déclarations surestiment les mesures de protection mises en place par les deux marques. Rappelons d’abord que les criminels organisés n’utilisent pas les outils de partage grand public fournis par Apple et par Google. Les réseaux d’échanges pédopornographiques sont hébergés dans le « Web caché » ou DarkNet, un ensemble de sites auxquels on ne peut accéder qu’en en connaissant les adresses précises et en utilisant TOR (The Onion Router), un outil de sécurisation des communications.
De plus, les mesures annoncées par Apple et par Google sont loin de concerner toutes les données émises ou partagées par un smartphone, certaines pouvant être récupérées par les autorités par d’autre biais que leurs systèmes d’exploitation. Par exemple, les données générées par des applications et stockées en ligne (applications de discussions instantanées, réseaux sociaux) ou les métadonnées téléphoniques (qui appelle qui, quand, où et combien de temps), disponibles auprès de l’opérateur téléphonique du suspect.
Dans les faits, les nouvelles protections d’Apple et de Google concernent à la fois une plus grande sécurisation de leurs services d’hébergement de fichiers en ligne (le « cloud ») et un changement dans les systèmes d’exploitation de leurs téléphones qui empêche les forces de l’ordre de demander un « déverrouillage manuel » d’un appareil.
En clair, si le propriétaire du téléphone refuse de donner l’accès à ce dernier aux autorités, la police ne pourra plus demander à Apple ou à Google de déverrouiller l’appareil, selon ce qu’affirment les deux entreprises. Apple précise que les données contenues dans ses appareils seront protégées par le mot de passe de l’utilisateur, le code à quatre chiffres utilisé par de nombreux utilisateurs d’iPhone et d’iPad.
Ce qui limite le nombre de possibilités à 10 000, une bagatelle pour un ordinateur moderne, qui pourra aisément forcer cette protection. Par ailleurs, si l’appareil est protégé non pas par un code à quatre chiffres mais par le lecteur d’empreintes digitales, cette protection pourra dans certains cas être contournée : des chercheurs ont déjà largement prouvé que c’était possible.
Cela dans un contexte où, aux Etats-Unis, les forces de l’ordre ont le droit de recourir à des entreprises spécialisées qui peuvent légalement pirater le téléphone, indépendamment de l’accord d’Apple ou de Google afin d’obtenir des informations sur un suspect.
LES AUTORITÉS ONT ENCORE DE NOMBREUX ACCÈS
Apple et Google peuvent encore avoir et donner accès au stockage des données enregistrées dans le cloud, et qui peuvent être nombreuses chez les personnes profitant de la sauvegarde en ligne : l’iPhone propose fréquemment de synchroniser photos, contacts et autres informations avec iCloud, tout comme Android permet de le faire avec différents services de Google.
Comme le rappelle Micah Lee, expert en protection des données pour le site d’information The Intercept, Apple protège les données hébergées dans ses services, comme iCloud, avec sa propre clé de chiffrement. Ce qui signifie que, sous réserve d’un mandat, les données peuvent être déchiffrées par Apple et fournies aux autorités.
Les demandes en la matière sont fréquentes : lors des six premiers mois de 2014, Apple a communiqué aux autorités américaines les données de 928 comptes. Google en a lui fourni pour 12 574 comptes (mais ce chiffre concerne également des données qui ne sont pas issues d’appareils mobiles).
Il s’agit d’ailleurs d’une obligation légale pour les entreprises américaines ou ayant établi une filiale aux Etats-Unis. En vertu notamment des lois antiterroristes votées après les attentats du 11 septembre 2001, les services de renseignement doivent pouvoir accéder à toutes les informations hébergées sur des serveurs aux Etats-Unis. BlackBerry, dont les téléphones comportent une messagerie sécurisée, doit par exemple donner accès aux informations transitant sur ses serveurs en cas d’enquête.
