Chiffrement : nouveau bras de fer entre Apple et la justice américaine

Un juge fédéral américain vient de donner 5 jours à Apple pour aider le FBI à accéder aux données stockées dans un iPhone 5C sous iOS9 et utilisé par Syed Rizwan Farook, l’un des auteurs de la tuerie de San Bernardino.

Dans ses conclusions, le juge reconnaît qu’Apple ne peut pas accéder aux données de l’appareil. Mais il exige du constructeur qu’il permette au FBI de trouver le code de verrouillage de l’appareil en force brute. L’idée est de développer une version spécifique d’iOS 9 dépourvue de la fonction d’effacement des données après dix tentatives infructueuses de saisie de code de déverrouillage. L’installation de cette dernière serait forcée à l’occasion du passage de l’appareil en mode dépannage. Et l’iPhone n’embarque pas de mécanisme forçant l’effacement de ses données en cas d’installation forcée de son système d’exploitation. L’astuce technique poussée par le juge pourrait donc fonctionner.

Apple prévoit de faire appel de la décision et son PDG Tim Cook s’est fendu d’une lettre ouverte sur son site Web pour dénoncer « une démarche sans précédent qui menace la sécurité de [ses] clients » : « nous nous opposons à cette décision qui a des implications bien au-delà de la procédure en cause ».

Cette fois-ci, il ne s’agit pas de demander l’une de ces portes dérobées pour lesquelles le FBI milite fortement depuis plusieurs années. Mais pour Tim Cook, il apparaît inacceptable que le gouvernement américain lui demande de fournir une version d’iOS privée de ses mécanismes de sécurité : « le gouvernement suggère que cet outil ne pourrait être utilisé qu’une seule fois, sur un seul téléphone. Mais ce n’est pas vrai. Une fois créée, cette technique pourrait être utilisée encore et encore, sur de nombreux appareils. Dans le monde physique, ce serait l’équivalent d’un passe universel, capable d’ouvrir des millions de verrous […]. Aucune personne raisonnable ne trouverait cela acceptable ». Pire, en somme, qu’une porte dérobée : « entre de mauvaises mains, ce logiciel – qui n’existe pas aujourd’hui – pourrait avoir le potentiel de déverrouiller n’importe quel iPhone que l’on aurait physiquement en sa possession ».

Alors peut-être Apple serait-il bien inspiré de prévoir un mécanisme assurant que l’installation forcée d’un système d’exploitation, alors que l’appareil est en mode dépannage, provoque l’effacement des clés utilisées pour leur chiffrement des données au repos, sans contournement possible.

Avec nos confrères de ComputerWeekly (groupe TechTarget).