Discussion :

[pascaldm]

Le principe d'une solution chiffrée de bout en bout induit que l'éditeur, le fabricant ou l'opérateur ne possède pas les clefs cryptographiques permettant de recouvrer le contenu en clair. Ces secrets de session ne sont détenus que par les participants à la communication pendant l'exécution de celle-ci. Les participants établissent un canal sécurisé dédié lors de l'établissement de la communication sans l'aide d'un tiers en utilisant les propriétés des algorithmes cryptographiques asymétriques à clef publique (comme l'accord de clef comme Diffie-Hellman). Dans ce cas une réquisition judiciaire ne sert à rien. Personne n'est en mesure de fournir le moyen de déchiffrement.

Changer le modèle de protection de bout en bout induit de modifier les services de sécurité applicatives qui n'apporteront alors plus aucune protection à quiconque...

Veulent-ils aussi inclure dans ces demandes de backdoor les sessions TLS de paiement en ligne (c'est aussi un chiffrement de bout en bout entre le navigateur et le prestataire de paiement) ?

En cas de vote d'une loi contre le chiffrement de bout en bout, la nature ayant horreur du vide, des services alternatifs verront le jour pour remplacer les grandes applications de messagerie instantanée backdorée ! Avec IPv6 l'atteinte d'un objectif avec des applications open source mis en oeuvre par l'utilisateur est à portée de main. Cela va plutôt multiplier les solutions alternatives autour de modèles décentralisés et particuliers. Un modèle décentralisé peer to peer comme PGP.

Les services d'interception existants sont ceux de la téléphonie cellulaire ou fixe dont les communication sont transportées par un opérateur télécom. Ce dernier est d'ailleurs tenu de répondre aux réquisitions judiciaires comme c'est aussi le cas pour un fournisseur de mails, VPN et même de VoIP (SIP utilise un acheminement de proche en proche, pas de bout en bout). D'ailleurs, comment vont-ils procéder avec les réseaux mixnet ? Une loi "liberticide" rendra la situation plus complexe pour ceux qui veulent tout contrôler.

Les criminels ou les terroristes utilisent des services spécifiques non publiques comme Encrochat ou ses concurrents. Ainsi, introduire une backdoor sur un service grand public n’affaiblit que la population, pas les criminels ou les terroristes qui vivent dans l'illégalité... Le contrôle de la vente des armes n'a jamais empêché un criminel ou un terroriste d'être armé.

Il existe maintenant des voies légales pour les services de police sur instruction judiciaire pour déployer des spywares sur des équipements d'un prévenu (circulaire sur la procédure de captation informatique). Dans ce cas, les communications peuvent être captées à l'entrée ou la sortie d'un canal sécurisé.

Les moyens techniques et légaux existent déjà pour les affaires de droit commun, la grande criminalité ou le terrorisme. Les politiques, la justice et les forces de police devraient s'y tenir. Sur le fond, le discours politique des tenants du tout contrôle n'est qu’incompréhension et incompétence en matière d'état de l'art en cryptographie. Alors, adopter une loi liberticide verra une diffusion alternative de moyens de communication sécurisée. En y associant un peu de stéganographie, les prétendants au tout contrôle contrôleront encore moins les communications, notamment les services de renseignement qui devront redoubler d'effort face à une multitude de solutions sur le terrain.

[_toma_]

Pour répondre à la nouvelle et à Popo :
Les US (comme tous les gouvernements) jouent le rôle de la vierge effarouchée puisqu'il ne sont pas en position de domination. Ils prétendent vouloir défendre leur peuple, argument on ne peut plus facile/populiste pour dire poliment à leur allié que cette décision ne leur plaît pas. Pourquoi est-ce qu'elle ne leur plaît pas ? Pas parce qu'il n'en aiment pas le concept mais parce qu'ils n'en auront pas le contrôle.
Il n'y a qu'à voir ce que la NSA a fait avec l'entreprise suisse Crypto AG des années 50 à 70 (20 ans d'espionnage étatique à l'échelle mondiale en territoire étranger putain !) pour se convaincre que ce le Royaume-Uni est en train de demander, c'est ce que tous les gouvernements souhaitent. Mais pour leur usage personnel uniquement. Et je parle des années 50 à 70 mais on sait tous ce qu'il s'est passé depuis (enfin on peut s'essayer à imaginer).

Pour répondre à Pascalpm :
On n'habite pas sur la même planète que ceux qui sont en train de rédiger/demander l'adoption de ce texte. Nous on est informaticiens, de métier ou de passion, mais dans tout les cas, ça a une conséquence : on n'est peut-être pas des spécialistes du sujet mais on peut au moins se projeter, avoir une idée des tenants et des aboutissants, imaginer des conséquences. Bref on peut causer.
Chez les politiques aussi il y a ceux qui savent. Mais eux, ils avancent dans l'ombre (encore une fois l'exemple de Crypto AG est parfait). Ceux auxquels on a affaire, ceux qui avancent dans la lumière, eux, ne savent pas ce qu'est un VPN, un DNS ou Tor et croient qu'il peuvent faire confiance à leur pare-feu open office. Je pense -je peux me tromper- qu'il y a des chances pour que les personnes qui sont en train de présenter ce texte aient autant de connaissance en informatique que Christine Albanel ou que Thierry Mariani en avait en organisation d'événements.






J'vais pas vous parler deux fois de crypto AG dans le même message sans vous laisser un ou deux liens ;-).
https://fr.wikipedia.org/wiki/Crypto_AG
Magnifique reportage de la RTS :

Et un petit clin d’œil à Christine :
https://linuxfr.org/news/le-pare-feu...ficeorg-existe

[Christian_B]

bdspin écrit "Lisez 1984 de Orwell et vous aurez une idée de ce qu’est un société sans droit à l’anonymat."
Il y a aussi "La Zone du Dehors", roman plus récent, d'Alain Damasio, qui modernise et étoffe le propos.

La source incontournable de ces préoccupations concernant "l'omnisurveillance" est l'essai "Surveiller et punir" de Michel Foucault.
Il date de 1975 mais est malheureusement plus que jamais d'actualité.

L'ignorance ou la passivité de beaucoup sur le sujet conduit à craindre le pire pour l'évolution actuelle.
Ce qui n'est certes pas une raison pour ne pas réagir si on peut le faire.

Et une décision sur le sujet à l'ONU ne règlerait sans doute rien.
Voir pour comparaison l'entrée en vigueur depuis janvier 2021 du traité interdisant les armes nucléaires.
Ah bon ? Rien vu venir

[Stéphane le calme]

Apple retire les fonctionnalités de chiffrement de bout en bout d'iCloud au Royaume-Uni
après que le gouvernement l'a contraint à ajouter des portes dérobées au nom de la sécurité nationale

Apple a pris une mesure sans précédent en annonçant la suppression des fonctionnalités avancées de chiffrement de bout en bout d’iCloud pour les utilisateurs britanniques. Cette décision fait suite aux pressions exercées par le gouvernement du Royaume-Uni, qui exigeait l’ajout de portes dérobées (backdoors) permettant aux autorités d’accéder aux données des utilisateurs.

Contexte

À ce moment-là, Apple n'a pas fait de commentaire, mais l'entreprise s'est toujours opposée à la création d'une « porte dérobée » dans son service de chiffrement, arguant que si elle le faisait, ce ne serait qu'une question de temps avant que des acteurs malveillants ne trouvent eux aussi un moyen d'y accéder. Pourtant, elle a décidé qu'il ne serait plus possible d'activer la protection avancée des données au Royaume-Uni, ce qui signifie que toutes les données des clients britanniques stockées sur iCloud - le service de stockage cloud d'Apple - ne seront pas entièrement chiffrées.

Le chiffrement de bout en bout n'étant pas disponible, cette loi permet aux agences gouvernementales britanniques d'assigner Apple à accéder aux données de n'importe quel compte iCloud, sans aucune restriction. Selon les dispositions de la nouvelle loi, Apple n'est même pas autorisée à informer ses utilisateurs lorsque cela se produit.

Un recul sur la sécurité des données

Depuis plusieurs années, Apple se positionne comme un défenseur de la vie privée, mettant en avant le chiffrement fort comme un moyen de protéger les données de ses utilisateurs contre les intrusions, qu’elles proviennent de pirates informatiques ou même des gouvernements. L’entreprise avait notamment introduit la fonction Advanced Data Protection, qui offrait un chiffrement de bout en bout pour iCloud, empêchant même Apple d’accéder aux fichiers stockés.

La protection avancée des données pour iCloud est un réglage optionnel qui vous permet de bénéficier du niveau de sécurité le plus élevé proposé par Apple pour les données stockées dans le cloud. Si vous choisissez d’activer la protection avancée des données, la majorité de vos données iCloud sont protégées par un chiffrement de bout en bout, y compris les sauvegardes iCloud, les photos, les notes et d’autres encore. Personne d’autre que vous ne peut accéder à vos données chiffrées de bout en bout, pas même Apple, et elles restent protégées, même en cas de fuite de données dans le cloud.

Le PDG d'Apple, Tim Cook, a toujours insisté sur le fait qu'offrir aux autorités une porte dérobée pour accéder à son chiffrement ouvrirait la voie aux « méchants » pour accéder aux données de ses utilisateurs. Les experts en cybersécurité ont déclaré qu'il ne faudra pas longtemps avant que les acteurs malveillants découvrent un tel point d'entrée. Mais surtout, ils affirment que cette porte dérobée peut être détournée pour des « usages liberticides ».

Les objections de longue date des forces de l'ordre américaines à l'égard du chiffrement ont récemment été reléguées au second plan en raison des inquiétudes suscitées par les cyberintrusions à grande échelle attribuées à des pirates informatiques soutenus par l'État chinois ou par l'État russe. Des pirates affiliés à la Chine ont infiltré les principaux fournisseurs de télécommunications, leur accordant un accès illimité aux appels téléphoniques privés.

Lors d'une conférence de presse en décembre dernier aux côtés de responsables du FBI, un représentant du ministère américain de la Sécurité intérieure a mis en garde les Américains contre l'idée répandue selon laquelle les réseaux téléphoniques traditionnels offrent une protection de la vie privée.

Il leur a conseillé plutôt d'utiliser des communications chiffrées chaque fois que cela est possible. Le même mois, le FBI, la NSA et la CISA ont publié un avis commun détaillant de nombreuses contre-mesures pour lutter contre les campagnes cybernétiques des pirates informatiques affiliés à la Chine. Parmi les recommandations des agences, l'une d'elles indique : « veiller à ce que le trafic soit chiffré de bout en bout dans toute la mesure du possible ».

Dans un communiqué, l'organisation Big Brother Watch, qui milite pour la protection de la vie privée, a déclaré : « cette tentative malavisée de lutter contre la criminalité et le terrorisme ne rendra pas le Royaume-Uni plus sûr, mais érodera les droits fondamentaux et les libertés civiles de l'ensemble de la population ».

Néanmoins, la législation britannique sur la surveillance numérique, notamment à travers l’Investigatory Powers Act (IPA), impose aux entreprises technologiques des obligations accrues en matière d’accès aux données. Londres justifie ces mesures par la lutte contre la criminalité et le terrorisme, arguant que des systèmes de chiffrement impénétrables compliquent les enquêtes des forces de l’ordre.

Apple cède face aux exigences du gouvernement britannique

Face à la menace de sanctions ou d’interdictions de certains services au Royaume-Uni, Apple a préféré se conformer à la réglementation locale en supprimant la possibilité pour les utilisateurs britanniques d’activer le chiffrement avancé d’iCloud. Ce choix marque un revirement pour l’entreprise, qui avait auparavant résisté à des demandes similaires aux États-Unis et dans d’autres pays.

En revanche, Apple maintient cette fonctionnalité pour ses utilisateurs dans d’autres régions du monde, notamment aux États-Unis et en Europe continentale. Cela crée ainsi une fragmentation de la sécurité en fonction des législations locales, une tendance inquiétante pour les défenseurs de la vie privée.

L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie qu'elles ne peuvent être déchiffrées que par la personne qui possède le compte iCloud sur ses propres appareils. Apple a lancé l'ADP à la fin de l'année 2022, permettant aux données iCloud telles que les sauvegardes de fichiers et les photos d'être protégées par cette fonctionnalité. La suppression de l'ADP signifie que les fichiers des utilisateurs britanniques seront accessibles à Apple et pourront être partagés avec les forces de l'ordre, bien que cela nécessite toujours un mandat.

Certains types de données iCloud sont chiffrés de bout en bout par défaut et le resteront même au Royaume-Uni. Il s'agit notamment des mots de passe, des données de santé, des informations de paiement et des journaux iMessage. Les sauvegardes de fichiers iCloud, les photos, les notes et les mémos vocaux font partie des types de données qui ne seront plus chiffrées.

Apple a déjà cessé de proposer la protection avancée des données aux nouveaux utilisateurs au Royaume-Uni, les informant qu'elle « ne peut plus offrir » le service. Apple ne pourra pas désactiver automatiquement la protection avancée des données sur les comptes iCloud existants, en raison du mode de fonctionnement de la fonction de chiffrement de bout en bout.

La société se dit très déçue de devoir prendre ces mesures. Voici la déclaration complète d'Apple :

« Apple ne peut plus proposer la protection avancée des données (ADP) au Royaume-Uni aux nouveaux utilisateurs et les utilisateurs britanniques actuels devront éventuellement désactiver cette fonction de sécurité. L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie que les données ne peuvent être déchiffrées que par l'utilisateur qui en est propriétaire, et uniquement sur ses appareils de confiance. Nous sommes profondément déçus que les protections fournies par ADP ne soient pas disponibles pour nos clients au Royaume-Uni, compte tenu de l'augmentation constante des violations de données et d'autres menaces pour la vie privée des clients. Il est plus urgent que jamais de renforcer la sécurité du stockage en nuage grâce au chiffrement de bout en bout. Apple s'engage à offrir à ses utilisateurs le plus haut niveau de sécurité pour leurs données personnelles et espère pouvoir le faire à l'avenir au Royaume-Uni. Comme nous l'avons déjà dit à maintes reprises, nous n'avons jamais construit de porte dérobée ou de clé maîtresse pour aucun de nos produits ou services et nous ne le ferons jamais ».

Un précédent dangereux pour la cybersécurité ?

Cette concession d’Apple alimente les craintes des défenseurs des droits numériques, qui y voient un précédent préoccupant. En acceptant de supprimer une fonction essentielle de protection des données sous la pression d’un gouvernement, l’entreprise pourrait être incitée à faire de même dans d’autres pays, ouvrant ainsi la porte à des exigences similaires de la part d’autres régimes, y compris ceux aux tendances plus autoritaires.

De plus, les experts en cybersécurité avertissent que l’affaiblissement du chiffrement crée des vulnérabilités exploitables non seulement par les gouvernements mais aussi par des acteurs malveillants. En effet, toute porte dérobée créée pour un usage légal peut potentiellement être détournée par des cybercriminels, mettant en danger la confidentialité des utilisateurs.

Un dilemme entre conformité légale et protection des utilisateurs

La décision d’Apple de supprimer le chiffrement de bout en bout d’iCloud au Royaume-Uni illustre le conflit permanent entre les exigences gouvernementales et la protection de la vie privée. Alors que l’entreprise a toujours défendu un modèle centré sur la sécurité des utilisateurs, elle se retrouve contrainte de faire des compromis dans un contexte législatif de plus en plus intrusif.

Si cette tendance se confirme, la question se pose : les entreprises technologiques pourront-elles encore garantir la sécurité et la confidentialité des données face aux pressions des États ? Pour l’instant, les utilisateurs britanniques devront se contenter d’une protection affaiblie, tandis que la communauté internationale surveille de près l’impact de cette décision sur l’avenir du chiffrement et de la cybersécurité globale.

De leur côté, des législateurs américains estiment que « La demande du Royaume-Uni d'accéder aux données stockées dans iCloud d'Apple menace les Américains ».

Le sénateur Ron Wyden (D-OR) et le représentant Andy Biggs (R-AZ) ont envoyé une lettre à Tulsi Gabbard dans laquelle ils affirment que si Apple se conforme à la demande du ministère britannique de l'Intérieur, la sécurité des citoyens américains et des données gouvernementales sera mise en péril :

Apple ne produit pas de versions différentes de son logiciel de chiffrement pour chaque marché. Si Apple est contraint d'intégrer une porte dérobée dans ses produits, cette porte dérobée finira par compromettre la sécurité des données des Américains, ainsi que celle des innombrables agences gouvernementales fédérales, nationales et locales qui confient des données sensibles aux produits Apple.

Après des années de pressions exercées par de hauts responsables du gouvernement américain en faveur d'un chiffrement plus faible et de portes dérobées pour la surveillance, il semble que le gouvernement américain se soit finalement rallié à une position que nous défendons depuis longtemps : un chiffrement fort de bout en bout protège la sécurité nationale.

Ron Wyden et Andy Biggs affirment que si le Royaume-Uni ne renonce pas à cette initiative, cela remettrait en cause la confiance de longue date entre les deux pays : « Si le Royaume-Uni ne renonce pas immédiatement à cet effort dangereux, nous vous demandons instamment de réévaluer les accords et les programmes de cybersécurité entre les États-Unis et le Royaume-Uni, ainsi que les échanges de renseignements entre les États-Unis et le Royaume-Uni », indique la lettre.

Sources : Apple, vidéo dans le texte

Et vous ?

La suppression du chiffrement de bout en bout au Royaume-Uni pourrait-elle créer un précédent pour d’autres pays ?

Jusqu’où les gouvernements doivent-ils aller pour garantir la sécurité publique sans empiéter sur les droits à la vie privée ?

Pensez-vous que les législations comme l’Investigatory Powers Act sont justifiées, ou sont-elles une menace pour les libertés individuelles ?

L’affaiblissement du chiffrement met-il réellement en péril la sécurité des utilisateurs contre les cyberattaques et les pirates informatiques ?

Existe-t-il des alternatives pour les utilisateurs britanniques souhaitant protéger leurs données ?

Les entreprises comme Apple devraient-elles avoir le droit de refuser catégoriquement toute demande de surveillance gouvernementale ?

Apple aurait-elle dû envisager d’autres solutions, comme se retirer du marché britannique, au lieu de céder aux demandes du gouvernement ?

[noremorse]

Pendant ce temps là, l’Elysée engage des sociétés privées pour surveiller les comptes libertariens pro Miley et Musk.
Et on se permet de donner des leçons de démocratie à la Russie

[Stéphane le calme]

Apple porte plainte contre l’injonction britannique lui imposant une porte dérobée dans iCloud,
après avoir retiré des fonctionnalités de chiffrement de bout en bout sur le territoire

Apple a pris une mesure sans précédent en annonçant la suppression des fonctionnalités avancées de chiffrement de bout en bout d’iCloud pour les utilisateurs britanniques. Cette décision fait suite aux pressions exercées par le gouvernement du Royaume-Uni, qui exigeait l’ajout de portes dérobées (backdoors) permettant aux autorités d’accéder aux données des utilisateurs. En parallèle, Apple a engagé une action en justice pour contester cette injonction du gouvernement. Cette démarche marque une étape significative dans le débat mondial sur l'équilibre entre la sécurité nationale et la protection de la vie privée des utilisateurs.

Depuis plusieurs années, Apple se positionne comme un défenseur de la vie privée, mettant en avant le chiffrement fort comme un moyen de protéger les données de ses utilisateurs contre les intrusions, qu’elles proviennent de pirates informatiques ou même des gouvernements. L’entreprise avait notamment introduit la fonction Advanced Data Protection (ADP), qui offrait un chiffrement de bout en bout pour iCloud, empêchant même Apple d’accéder aux fichiers stockés.

La protection avancée des données pour iCloud est un réglage optionnel qui vous permet de bénéficier du niveau de sécurité le plus élevé proposé par Apple pour les données stockées dans le cloud. Si vous choisissez d’activer la protection avancée des données, la majorité de vos données iCloud sont protégées par un chiffrement de bout en bout, y compris les sauvegardes iCloud, les photos, les notes et d’autres encore. Personne d’autre que vous ne peut accéder à vos données chiffrées de bout en bout, pas même Apple, et elles restent protégées, même en cas de fuite de données dans le cloud.

Apple cède face aux exigences du gouvernement britannique

Face à la menace de sanctions ou d’interdictions de certains services au Royaume-Uni, Apple a préféré se conformer à la réglementation locale en supprimant la possibilité pour les utilisateurs britanniques d’activer le chiffrement avancé d’iCloud. Ce choix marque un revirement pour l’entreprise, qui avait auparavant résisté à des demandes similaires aux États-Unis et dans d’autres pays.

En revanche, Apple maintient cette fonctionnalité pour ses utilisateurs dans d’autres régions du monde, notamment aux États-Unis et en Europe continentale. Cela crée ainsi une fragmentation de la sécurité en fonction des législations locales, une tendance inquiétante pour les défenseurs de la vie privée.

L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie qu'elles ne peuvent être déchiffrées que par la personne qui possède le compte iCloud sur ses propres appareils. Apple a lancé l'ADP à la fin de l'année 2022, permettant aux données iCloud telles que les sauvegardes de fichiers et les photos d'être protégées par cette fonctionnalité. La suppression de l'ADP signifie que les fichiers des utilisateurs britanniques seront accessibles à Apple et pourront être partagés avec les forces de l'ordre, bien que cela nécessite toujours un mandat.

Certains types de données iCloud sont chiffrés de bout en bout par défaut et le resteront même au Royaume-Uni. Il s'agit notamment des mots de passe, des données de santé, des informations de paiement et des journaux iMessage. Les sauvegardes de fichiers iCloud, les photos, les notes et les mémos vocaux font partie des types de données qui ne seront plus chiffrées.

Apple a déjà cessé de proposer la protection avancée des données aux nouveaux utilisateurs au Royaume-Uni, les informant qu'elle « ne peut plus offrir » le service. Apple ne pourra pas désactiver automatiquement la protection avancée des données sur les comptes iCloud existants, en raison du mode de fonctionnement de la fonction de chiffrement de bout en bout.

La société se dit très déçue de devoir prendre ces mesures. Voici la déclaration complète d'Apple :

« Apple ne peut plus proposer la protection avancée des données (ADP) au Royaume-Uni aux nouveaux utilisateurs et les utilisateurs britanniques actuels devront éventuellement désactiver cette fonction de sécurité. L'ADP protège les données iCloud par un chiffrement de bout en bout, ce qui signifie que les données ne peuvent être déchiffrées que par l'utilisateur qui en est propriétaire, et uniquement sur ses appareils de confiance. Nous sommes profondément déçus que les protections fournies par ADP ne soient pas disponibles pour nos clients au Royaume-Uni, compte tenu de l'augmentation constante des violations de données et d'autres menaces pour la vie privée des clients. Il est plus urgent que jamais de renforcer la sécurité du stockage en nuage grâce au chiffrement de bout en bout. Apple s'engage à offrir à ses utilisateurs le plus haut niveau de sécurité pour leurs données personnelles et espère pouvoir le faire à l'avenir au Royaume-Uni. Comme nous l'avons déjà dit à maintes reprises, nous n'avons jamais construit de porte dérobée ou de clé maîtresse pour aucun de nos produits ou services et nous ne le ferons jamais ».

Apple refuse de casser le chiffrement et demande au Royaume-Uni d'annuler sa demande de porte dérobée

Le fabricant de l'iPhone a fait appel à l'Investigatory Powers Tribunal, un organe judiciaire indépendant qui examine les plaintes déposées contre les services de sécurité britanniques, selon des personnes familières de l'affaire et citées par le Financial Times. Le quotidien note que le recours en justice de l'entreprise de la Silicon Valley marquerait la première fois que les dispositions de la loi sur les pouvoirs d'investigation de 2016 permettant aux autorités britanniques de briser le chiffrement sont testées devant le tribunal. L'Investigatory Powers Tribunal examinera si l'avis adressé par le Royaume-Uni à Apple était légal et, dans la négative, pourrait ordonner son annulation.

Selon un rapport du Washington Post publié le mois dernier, les responsables britanniques de la sécurité « ont exigé qu'Apple crée une porte dérobée leur permettant de récupérer tout le contenu que n'importe quel utilisateur d'Apple dans le monde a téléchargé sur le cloud », y compris « la capacité générale de visionner du matériel entièrement chiffré ».

Apple a publiquement critiqué la loi, avertissant l'année dernière que le gouvernement britannique s'arrogeait le pouvoir d'exiger l'accès aux données des utilisateurs de n'importe quel pays, et pas seulement du Royaume-Uni.

L'affaire pourrait être entendue dès ce mois-ci, mais il n'est pas certain que l'audience soit rendue publique. Il est probable que le gouvernement soutienne que l'affaire devrait être restreinte pour des raisons de sécurité nationale.

En janvier, Apple a reçu un « technical capability notice » (TCN, littéralement « avis de capacité technique »). Cet avis, dont l'entreprise ne peut discuter publiquement, visait une couche supplémentaire facultative de chiffrement qui protège son système iCloud, Advanced Data Protection (protection avancée des données).

Apple s'efforce de repousser la menace de ce TCN de la part du Royaume-Uni depuis qu'elle a introduit iCloud ADP en décembre 2022.

Le fabricant de l'iPhone a déposé sa plainte contre l'ordonnance le mois dernier, à peu près en même temps qu'il retirait son service de sauvegarde en ligne le plus sécurisé du Royaume-Uni, plutôt que de se conformer au TCN. Bien qu'Apple ait retiré son service, le gouvernement britannique estime toujours que la société Big Tech n'a pas respecté son ordonnance, qui peut également être utilisée pour accéder aux données de personnes se trouvant en dehors du Royaume-Uni.

Réactions internationales et préoccupations

La décision du Royaume-Uni a suscité la condamnation du président américain Donald Trump et de son nouveau chef du renseignement, qui font pression sur le gouvernement britannique pour qu'il fasse marche arrière.

Trump a comparé la demande du Royaume-Uni à la surveillance chinoise, tandis que Tulsi Gabbard, directrice du renseignement national des États-Unis, a déclaré que l'exploitation des données des Américains constituerait une « violation flagrante » de la vie privée qui risquerait d'enfreindre l'accord sur les données conclu entre les deux pays.

Le gouvernement britannique estime qu'il est essentiel de percer le bouclier de chiffrement des systèmes, y compris des messageries et des sauvegardes, pour protéger le public des menaces terroristes et enquêter sur les abus sexuels commis sur des enfants.

Depuis des années, les autorités britanniques, américaines et européennes font pression sur les entreprises technologiques, notamment Apple et Meta, qui possède Facebook et WhatsApp, pour qu'elles trouvent des moyens de contourner leurs systèmes de chiffrement.

Toutefois, de nombreux experts en cybersécurité affirment qu'une utilisation plus large du chiffrement est nécessaire pour protéger les utilisateurs contre la fraude, l'usurpation d'identité et d'autres attaques en ligne, dont le volume a considérablement augmenté ces dernières années.

Un porte-parole du ministère de l'intérieur a déclaré : « Nous ne commentons pas les questions opérationnelles, y compris, par exemple, la confirmation ou l'infirmation de l'existence de tels avis. Mais de manière plus générale, le Royaume-Uni a une position de longue date qui consiste à protéger ses citoyens contre les pires crimes, tels que les abus sexuels sur les enfants et le terrorisme, tout en protégeant la vie privée des gens ».

Interrogé sur cette affaire à la Chambre des communes le mois dernier, le ministre britannique de la sécurité, Dan Jarvis, a déclaré : « La suggestion selon laquelle la vie privée et la sécurité sont en conflit n'est pas correcte ; nous pouvons et devons avoir les deux. La loi sur les pouvoirs d'investigation (Investigatory Powers Act) contient des garanties solides et un contrôle indépendant pour protéger la vie privée et veiller à ce que les données ne soient obtenues qu'à titre exceptionnel, et uniquement lorsque cela est nécessaire et proportionné ».

Sources : Apple (1, 2), Investigatory Powers Tribunal

Et vous ?

Apple a-t-elle raison de s’opposer à l’injonction britannique, ou est-ce une entrave aux efforts de lutte contre la criminalité et le terrorisme ?

Où devrait-on tracer la limite entre protection de la vie privée et sécurité nationale ?

Si une entreprise comme Apple crée une porte dérobée pour un gouvernement, cela pourrait-il être exploité par des cybercriminels ou d’autres États ?

D’autres pays pourraient-ils l’exemple britannique en exigeant un accès aux données des utilisateurs, et quelles pourraient être les conséquences pour les entreprises technologiques ?

La décision d'Apple est-elle motivée par des préoccupations éthiques ou par une stratégie commerciale visant à séduire les consommateurs soucieux de leur vie privée ?

[Bruno]

Le Royaume-Uni supprime discrètement les recommandations en matière de chiffrement des sites web gouvernementaux,
après avoir exigé d'Apple une porte dérobée pour accéder aux données iCloud

Le gouvernement britannique semble opérer un revirement inquiétant en matière de politique de chiffrement, en supprimant discrètement les recommandations officielles encourageant l'utilisation d'outils de chiffrement pour protéger les données sensibles. Cette décision intervient peu de temps après que les autorités ont exigé d'Apple la création d'une porte dérobée permettant d'accéder aux données chiffrées stockées sur iCloud, une demande qui a conduit Apple à désactiver sa fonction de chiffrement de bout en bout (Advanced Data Protection, ADP) pour les utilisateurs britanniques. Ce changement, repéré par l'expert en sécurité Alec Muffett, soulève des questions sur les priorités du gouvernement en matière de cybersécurité et de protection de la vie privée.

Depuis l'essor du chiffrement au milieu des années 1990, les gouvernements du monde entier ont affirmé que cette technologie de brouillage des données permettrait aux criminels et aux terroristes d'enfreindre la loi tout en échappant aux forces de l'ordre. Au fil des ans, les autorités ont toujours trouvé un moyen, qu'il s'agisse d'accéder à des sauvegardes non cryptées ou d'utiliser des logiciels espions, d'accéder aux données directement sur les appareils des particuliers.

En octobre 2023, le Centre national de cybersécurité (NCSC) du Royaume-Uni publiait encore un guide recommandant aux professionnels du droit d'utiliser des outils de chiffrement comme l'ADP d'Apple pour sécuriser leurs données. Cependant, ce document a depuis été supprimé et redirige désormais vers une page ne mentionnant plus le chiffrement, préférant promouvoir des fonctionnalités de sécurité moins robustes comme le mode verrouillage d'Apple.

Le Royaume-Uni exige d'Apple un accès dérobé aux données chiffrées sur iCloud

Cette suppression des recommandations officielles encourageant l'utilisation d'outils de chiffrement pour protéger les données sensibles coïncide avec la révélation que le gouvernement a secrètement ordonné à Apple de mettre en place un accès dérobé aux données iCloud, une mesure qui a suscité une vive opposition de la part de l'entreprise, actuellement engagée dans un recours devant l'Investigatory Powers Tribunal (IPT).

Des responsables du gouvernement britannique auraient discrètement exigé qu’Apple mette en place une porte dérobée permettant aux autorités d’accéder aux données chiffrées des utilisateurs stockées sur iCloud. Cette demande, formulée en janvier, s’appuierait sur la loi Investigatory Powers Act 2016, surnommée la « Charte des espions » (Snoopers' Charter). Selon les informations rapportées, les autorités britanniques auraient réclamé un accès « global » aux fichiers chiffrés de bout en bout hébergés sur iCloud, visant ainsi tous les utilisateurs mondiaux, plutôt qu’un accès limité à des comptes Apple spécifiques.

D’après les sources, Apple serait susceptible de cesser de proposer son service de stockage chiffré, Advanced Data Protection, aux utilisateurs basés au Royaume-Uni. Cependant, cet accès ne permettrait pas aux autorités britanniques d’obtenir indirectement des données chiffrées provenant d’autres pays, y compris les États-Unis.

Apple a averti que la création d’une telle porte dérobée pour les forces de l’ordre exposerait les données personnelles des utilisateurs à des risques accrus de piratage. Dans une déclaration, Alex Block, porte-parole du ministère de l’Intérieur britannique, a déclaré : « Nous ne commentons pas les questions opérationnelles, y compris, par exemple, la confirmation ou l’infirmation de l’existence de tels avis. »

Le NCSC publie un rapport pour renforcer la cybersécurité des professionnels du droit

En juin 2023, le NCSC (Centre national de cybersécurité) a actualisé son Cyber Threat Report for the Legal Sector dans le but d’aider les cabinets juridiques, les avocats et les professionnels du droit à mieux appréhender les menaces actuelles en cybersécurité et à évaluer l’ampleur des ciblages dont fait l’objet le secteur juridique. Les cybercriminels ne font pas de distinction lorsqu’il s’agit de choisir leurs cibles, ce qui signifie que tous les cabinets juridiques, quelle que soit leur taille, sont vulnérables. Qu’il s’agisse de praticiens indépendants, de cabinets de taille moyenne, de chambres d’avocats, de services juridiques internes ou de grands cabinets internationaux, aucun n’est à l’abri.

Les recommandations suivantes s’adressent particulièrement aux avocats exerçant seuls ainsi qu’aux petites et moyennes structures juridiques, afin de les aider à réduire les risques de cyberattaques. Les organisations de plus grande envergure sont invitées à se tourner vers leurs équipes internes en informatique ou en support technique pour des conseils adaptés.

Cette situation met en lumière un conflit croissant entre les impératifs de sécurité nationale et les droits à la vie privée. D'un côté, le gouvernement britannique justifie probablement ces mesures par la nécessité de lutter contre la criminalité et le terrorisme. De l'autre, les défenseurs de la vie privée et les experts en sécurité dénoncent une atteinte aux libertés individuelles et une fragilisation des protections numériques, essentiels dans un monde de plus en plus connecté.

La suppression des conseils en matière de chiffrement et la pression exercée sur Apple pour affaiblir le chiffrement de bout en bout pourraient avoir des conséquences néfastes, non seulement pour les utilisateurs britanniques, mais aussi pour la confiance globale dans les technologies de sécurité. Ce débat soulève des questions fondamentales sur l'équilibre entre sécurité et liberté, ainsi que sur le rôle des gouvernements dans la régulation des technologies de chiffrement.

Apple contrainte de désactiver le chiffrement de bout en bout pour les utilisateurs britanniques

Apple a annoncé qu’elle ne pouvait plus proposer au Royaume-Uni une fonction de sécurité permettant aux utilisateurs de chiffrer leurs données iCloud. Dans un communiqué, Fred Sainz, porte-parole d’Apple, a expliqué que la fonction Advanced Data Protection (ADP) ne sera plus disponible pour les nouveaux utilisateurs britanniques, et que les utilisateurs actuels devront « éventuellement désactiver cette fonctionnalité de sécurité ».

« Nous sommes profondément déçus que les protections offertes par ADP ne soient plus accessibles à nos clients au Royaume-Uni, alors que les violations de données et les menaces à la vie privée ne cessent d’augmenter », a déclaré l’entreprise. « Il est plus crucial que jamais de renforcer la sécurité du stockage en cloud grâce au chiffrement de bout en bout », a-t-elle ajouté.

Apple n’a pas précisé comment se déroulerait la désactivation de l’ADP pour les utilisateurs l’ayant déjà activée. James Baker, de l’organisation de défense des droits numériques Open Rights Group, a critiqué cette décision : « Les actions du ministère de l’Intérieur ont privé des millions de Britanniques d’une fonction de sécurité essentielle. En conséquence, les citoyens britanniques sont davantage exposés au risque de voir leurs données personnelles et leurs photos de famille volées par des criminels ou des prédateurs. »

Apple a toutefois précisé que certains types de données, comme les informations de santé, les messages iCloud et les données de paiement, qui sont chiffrées de bout en bout par défaut pour tous les utilisateurs, ne seraient pas concernés par ce changement. En revanche, les utilisateurs britanniques ne pourront plus activer le chiffrement de bout en bout pour d’autres catégories de données, telles que les photos, les notes, les sauvegardes et d’autres fichiers précédemment protégés par l’ADP.

Pour les utilisateurs ayant déjà activé l’ADP, Apple a indiqué qu’elle leur fournirait prochainement des informations supplémentaires ainsi qu’un délai pour désactiver la fonctionnalité tout en continuant à utiliser iCloud. L’entreprise a également souligné que l’ADP reste disponible pour les utilisateurs hors du Royaume-Uni, et que les services de communication chiffrés de bout en bout, comme FaceTime et iMessage, ne sont pas affectés.

« Comme nous l’avons toujours affirmé, nous n’avons jamais créé de porte dérobée ou de clé maîtresse pour aucun de nos produits ou services, et nous ne le ferons jamais », a réitéré Apple, rappelant ses précédentes déclarations.

Apple a engagé une action en justice pour contester cette injonction du gouvernement. L’ADP a cessé d’être proposée aux nouveaux utilisateurs britanniques à partir du 21 février à 15 heures, heure locale. Matthew Green, expert en cryptographie et professeur à l’université Johns Hopkins, a réagi sur X en encourageant les utilisateurs hors du Royaume-Uni à activer l’ADP sans tarder : « Plus il y aura de personnes qui l’utiliseront, plus il sera difficile de la désactiver de cette manière », a-t-il déclaré.

Le Royaume-Uni sacrifie le chiffrement au nom de la surveillance : un risque pour la vie privée et la sécurité

Le revirement du gouvernement britannique en matière de politique de chiffrement, marqué par la suppression des recommandations officielles en faveur du chiffrement et la pression exercée sur Apple pour créer une porte dérobée sur iCloud, est profondément préoccupant. Cette décision semble refléter une priorité accrue accordée à la surveillance et au contrôle des données des citoyens, au détriment de la protection de leur vie privée et de leur sécurité numérique. En exigeant d'Apple qu'elle désactive le chiffrement de bout en bout pour les utilisateurs britanniques, le Royaume-Uni fragilise non seulement la confiance des utilisateurs dans les technologies de sécurité, mais ouvre également la porte à des risques accrus de piratage et d'exploitation des données par des acteurs malveillants.

Cette approche soulève des questions fondamentales sur l'équilibre entre sécurité nationale et libertés individuelles. Si l'argument de la lutte contre la criminalité et le terrorisme est souvent invoqué pour justifier de telles mesures, il est crucial de reconnaître que l'affaiblissement du chiffrement a des conséquences bien plus larges. En créant des failles de sécurité pour les forces de l'ordre, le gouvernement britannique expose également les données des citoyens à des vulnérabilités qui pourraient être exploitées par des cybercriminels ou des régimes autoritaires.

De plus, cette décision met en lumière une tendance inquiétante à la centralisation du pouvoir et à la réduction des alternatives technologiques pour les utilisateurs. En forçant Apple à désactiver l'ADP, le Royaume-Uni limite les options des utilisateurs en matière de protection de leurs données, renforçant ainsi la dépendance à l'égard des grandes entreprises technologiques tout en sapant les efforts pour promouvoir des solutions de chiffrement robustes et accessibles.

Enfin, cette situation illustre un conflit croissant entre les gouvernements et les entreprises technologiques sur la question du chiffrement. Alors que les gouvernements cherchent à accéder aux données des utilisateurs pour des raisons de sécurité, les entreprises technologiques et les défenseurs de la vie privée soulignent l'importance de protéger les communications et les données personnelles contre toute intrusion, qu'elle soit étatique ou criminelle. Ce débat ne se limite pas au Royaume-Uni ; il a des implications mondiales, car les décisions prises par un pays peuvent influencer les politiques d'autres nations et affecter la confiance globale dans les technologies de sécurité.

En somme, le gouvernement britannique semble privilégier une approche à court terme, axée sur le contrôle et la surveillance, au détriment d'une vision à long terme qui protégerait à la fois la sécurité nationale et les droits fondamentaux des citoyens. Cette décision pourrait avoir des répercussions négatives sur la confiance des utilisateurs, l'innovation technologique et la protection des données à l'échelle mondiale. Il est essentiel que les gouvernements, les entreprises et la société civile travaillent ensemble pour trouver un équilibre entre sécurité et vie privée, sans compromettre les protections numériques essentielles dans un monde de plus en plus connecté.

Sources : Security expert Alec Muffett, NCSC(1, 2)

Et vous ?

Quel est votre avis sur le sujet ?

Comment justifier le déséquilibre entre la protection de la vie privée des citoyens et les besoins de surveillance des autorités ?

Comment les citoyens britanniques peuvent-ils protéger leurs données face à cette réduction des protections numériques ?

Voir aussi :

Apple porte plainte contre l'injonction britannique lui imposant une porte dérobée dans iCloud, après avoir retiré des fonctionnalités de chiffrement de bout en bout sur le territoire

Le chiffrement des données est confronté à des risques énormes à cause de l'informatique quantique, car celle-ci dispose de protocoles qui permettent de déchiffrer les données beaucoup plus rapidement

Le Royaume-Uni abandonne sa stratégie de régulation stricte de l'IA au profit d'une collaboration avec Anthropic pour l'aider à transformer ses services publics, après avoir torpillé l'accord sur l'IA à Paris

Le Royaume-Uni ordonne à Apple de créer une porte dérobée pour le chiffrement d'iCloud à l'échelle mondiale, un projet de surveillance de masse qui rappelle celui révélé par Edward Snowden en 2013